还在用 123456 当密码?我能怎么办?我也很绝望啊!

2018-10-10
天佑 评论
喜欢

9 月底,一名乌克兰记者 Alexander Dubinsky 曝光称乌克兰武装部队自动化控制系统竟然长期使用「admin」和「123456」作为密码来访问其服务器,而乌克兰军方对此竟毫不知情。

此事当然也引发了轩然大波,要知道这样的安全漏洞意味着套出如此简单密码的人可以随意访问乌克兰军队的机密信息。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



不过印象中严谨的军队尚且都用这么容易猜到的数字/字母组合作为密码,那么我们普通人呢?

去年底安全机构 SplashData 就公布了 2017 年最糟糕密码的榜单,前 15 名如下:


还在用 123456 当密码?我能怎么办?我也很绝望啊!



而像上述这么简单的密码不用想都知道是存在相当大安全隐患的。

比如在 9 月,欧洲电信运营商沃达丰就发现捷克一些用户账户遭到了盗刷。不过这些盗刷的黑客用的手段可以说是相当简单粗暴了:他们仅仅用「1234」作为密码对一些手机号码进行随机测试,结果就轻松访问了一共 60 名用户的账户。而盗取了这些账户之后,黑客便用它们在赌博机构上去下注,最终涉及的金额达到了 60 万捷克克朗(约合人民币 18.4 万元)。

当然,这样并不高明的作案手法很快便被查了出来,作案的两名黑客被判入狱三年,但沃达丰在被盗取金额的问题上,却希望那些使用了「1234」作为密码的用户来支付,显然沃达丰认为用户使用的这些弱密码才是盗刷发生的原因。

还在用 123456 当密码?我能怎么办?我也很绝望啊!

▲捷克沃达丰的登录界面,密码只要求 4-6 位数字

在这不评判孰对孰错,不过弱密码本身的确是一个严重的漏洞。而为了消灭这样的弱密码,据外媒 TechCrunch 的报道,美国加州在近日通过了一项法律,规定在 2020 年之后,禁止新的电子产品再用「admin」、「123456」、「password」作为默认密码。

虽说这样的法律或许能够避免一些可以预见的损失,不过这似乎也不是解决问题的根本之道。此外,在弱密码问题的背后突显的另外一个问题是,我们似乎压根记不住越来越多的密码了。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



在钱包一打开就是好几张甚至是十几张卡的今天,大概没有人再有这个脑力给每一张卡单独设一个密码然后再牢牢记住了,给所有的卡设一个简单又好记的密码似乎是个更省心的选择。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



而这样的问题在越来越多的互联网网站/App 上似乎更加突出。

现在无论在哪,每创建一个 ID,设置密码往往都有「至少 8 位」、「必须同时包含大小写和数字」等等要求,虽说这是为了账户安全,但要给每个网站/App 都想出一个复杂的数字+字母的排列并牢记于心,几乎成了一个不可能的任务。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



所以,今天很多人的想法及做法便是「一个密码走天下」。而今年企鹅智酷发布的《中国网民个人隐私状况调查报告》中也提到:

「少数密码通用于大多数账号」的中国网民占比达到 50.8%。对自己拥有的所有账号都采取同一套密码的人占 14.9%。

至于这样做的风险也不必多言,一个账户被盗,所有共享密码的帐号都遭殃。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



那么密码问题的出路在哪呢?

苹果给出的方案是在注册时就会给用户推荐一个复杂无比的强密码,然后将其保存至 iCloud Keychain 里,供共享的设备自动填充密码。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



在登录时,用户便可以直接使用 Face/Touch ID 输入这些密码,用人天生自带的生物密码免去了记忆这些复杂字符的过程。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



谷歌同样也是推行密码的自动填充。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



而微软则更加激进,直接宣布了「密码时代的终结」。

在上月的 Ignite 会议上,微软宣布企业用户能通过带有微软 Authenticator 应用的智能手机用 PIN 码或者是面部/指纹等生物识别技术来登录。


还在用 123456 当密码?我能怎么办?我也很绝望啊!



密码未来将何去何从呢?或许它终将被取代,不过目前密码作为最后一道防线,应该还会与其他的加密手段并存一段时间。


还在用 123456 当密码?我能怎么办?我也很绝望啊!

▲其他手段没用了还是得靠密码