你的口令够安全吗？

相信大家对于“口令”并不陌生：

访问电脑需要口令，登录邮箱需要口令，使用微信也需要口令……可以说口令作为一种最常用的鉴权方式已经被应用到了生活中的方方面面。

那么，你的口令够安全吗？

今天，小编就跟大家聊聊“口令安全”的那些事儿。

什么是口令？

这里说的口令其实就是密码，是人们向电脑或网站等证明自己身份的一串字符。

口令这么重要，它会面临哪些威胁呢？

弱口令猜解

大部分用户都不太具有安全意识，口令会设得比较简单。比如密码和帐号相同、帐号是密码的一部分、自己或直系亲属的生日或电话号码、键盘上连续的一串字符，或字典里的某个单词，有规律或重复的数字如123456（弱密码排行榜状元）、111111等……

在弱口令中，还有一类属于复杂的弱口令，即满足密码的最小长度要求又满足口令的复杂度要求，但确实也够弱，比如abcd@1234等。攻击者先把最流行的弱口令挨个试一遍，没准就能成功了。

暴力破解

除了弱口令猜解，攻击者还可以通过穷举的方式，破解中等强度的密码。

所谓穷举就是所有可能的满足规则的组合都试一遍，一般是在一定长度范围内。无疑密码越长破解耗时就越长，随着CPU的计算能力越来越好，多核CPU的普及，暴力破解的效果也会越来越好。

网络嗅探

该种攻击仅针对网络应用有效，随着Wi-Fi的普及，该种风险也随之增大了。攻击者利用某些嗅探软件，收集网络上传输的数据并进行分析，如果我们在上网过程中，存在明文传输的口令，就可能会被截获。所以网站的设计者一般都会选择https协议进行敏感数据传输，甚至于同时对口令再次加密。

你注意到网站地址栏里的小锁图标和https了吗？

客户端获取

为了免去输入口令的麻烦，很多用户都会使用记住口令的功能，也会使用浏览器的记住口令功能，通常应用或浏览器会把口令记录到一个文件中，如果某天我们的电脑中了木马，那么木马程序就有可能盗走这个保存口令的文件，破解出我们保存过的所有网络应用的口令。

拖库和撞库

拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。如果口令在数据库中明文存储或加密算法被破解，则可获取到用户的口令信息。攻击者拿着这些口令去其他网站撞运气就称为撞库。

木马盗取

如果我们的电脑被攻击者安装了木马，那么我们的一举一动都有可能会被监视。比如，一些小伙伴经常喊QQ号被盗了，那很有可能就是中了QQ的盗号木马。还有硬件的键盘记录器，大家也需要当心。

肩窥

这是一种非技术手段，属于一种简单的社会工程学的攻击手法，是指使用直接的观察技术，如通过某人的肩膀来查看，来获取信息。在款台刷卡结账时，排在后面的顾客多半会后退一步，主动回避。可有些人偏偏就要凑上来看你输密码，实在让人无法忍受。

钓鱼

攻击者会伪造一个跟目标网站一样的网站（比如网银），然后通过某种方式（比如DNS欺骗、欺诈邮件等）引诱我们访问这个假网站，由于假网站和真网站的界面很像，甚至于是一模一样，所以我们很可能信以为真，在假网站中输入我们的口令。一些高明的钓鱼网站会采用类似于web代理的技巧，把我们所有的输入操作，转而提交给真实的网站，然后把真实网站的返回结果展示给我们看，让我们感觉到自己是在跟真实的网站交互，隐蔽性强不易被察觉。

欺骗

近些年，通过电话诈骗，骗取银行卡密码的案例也越来越多，这也属于社会工程学中的攻击手法。不得不说骗子的信息是越来越准确了，小编就接到过类似的电话，把小编的身份证号码报的分毫不差，险些上当。

划

重

点

看到这里是不是有点不淡定了？

既然口令可能面临如此多的威胁，那么我们怎么做才能降低风险呢？

1

避免使用弱口令

口令应该至少8位，且由3种字符以上组成（包括：小写字母、数字、特殊字符、大写字母）。用户需避免使用以下口令：

A：口令与用户名相同或使用用户名中的任何一部分。

B：字典中的单词。

C：曾经用过的口令，甚至于口令的一部分。

D：数字或数字的重复序列。

E：键盘上相邻的键，如qwerty等。

F：个人信息相关，如生日、电话、驾照、地址等。

此外，建议网站设计者使用弱口令检查机制。

2

更多注意事项

除根据系统要求更换口令外，如果遇到不慎被偷窥或疑似口令泄漏的情况，应及时进行口令更换，更换时注意使用强口令。

避免共用口令，不同的网站使用不同的口令，可避免撞库攻击。

妥善保管口令，切忌把口令写到纸上贴到显示器上或压到键盘底下，或把密码记录到桌面等极易被获取的地方。

不要在公用电脑输入口令处理敏感业务。同时避免使用公共场所的Wi-Fi处理敏感业务。

避免使用系统或浏览器提供的记住口令功能。

输入密码时，请注意周围的环境，注意遮挡。

电脑安装杀毒软件，定期更新漏洞库、杀毒、修复漏洞、安装补丁。

谨慎使用移动存储设备，如捡到移动存储设备如U盘等，不要随便插入电脑。

小结

Q&A

说了这么多可能有人会问，又要使用强口令又要不同的网站使用不同的口令，口令那么多那么复杂记不住怎么办？

小编也存在这个烦恼，经过研究，把觉得可行的办法推荐给大家：

1

对口令进行分级管理

不重要的口令咱就不说了，对于重要的口令根据使用的频繁程度分别进行口令设计，很少使用的口令可以设置的相对麻烦一些；频繁使用的口令设置就需要讲究一些，要兼顾易用和安全。可以根据自己的喜好创建些仅对自己容易记忆的口令规则。

例如

宝塔镇河妖，我爱机器猫。

可对应口令：btZhy5@jqm。

我的地盘我做主，要上就上985。

可对应口令：wDdpwzz1s9s985。

总的设计原则就是对自己简单对别人复杂。之前还见过开发的小伙伴用哈希值做口令。

2

使用密码管理器

还是记不住怎么办？可以考虑选择使用密码管理器。但是密码管理器又有那么多种怎么选择合适的呢？这个问题就不在这里多聊了，大家可以自己研究研究。小编的同事们要用密码管理器的话，会选择用KeePass。

亲爱的小伙伴们，

做好准备跟弱口令Say Goodbye了吗？

来源：贵德政府