人们懒惰不是新闻。同样的事实是,人们喜欢让事情尽可能变得简单。一项新的研究显示,当涉及到安全和密码时,这两个事实并不适用。
英国国家网络安全中心(NCSC)进行的一项分析发现,尽管不断有人提出建议,但仍有大量的人在使用脆弱、容易猜到的密码来保护自己的账户。在被入侵的账户中,最常用的密码是123456,还有很多其他密码也同样不安全。英国国家网络安全中心(NCSC)与“我被攻破了吗”(Have I Been Pwned)的特洛伊搜索(Troy Hunt)合作,还公布了全球10万个最常见密码列表。
英国国家安全委员会进行了第一次“英国网络调查”,发现全球有2320万个账户使用了密码123456。使用来自Have I Been Pwned的数据,我们有可能编制出一份最常用密码的列表,前十位是很多熟悉的面孔:123456、123456789、qwerty、password、111111、12345678、abc123、1234567、password1、12345。
发布密码列表的原因(不仅仅)是为了强调人们在安全问题上可能会很愚蠢,而是作为一个警告。NCSC建议浏览
全球10万个最常见密码列表,并说:“如果你在这个列表中看到你使用的密码,你应该立即修改它。”
在一篇关于密码列表的博客文章中,NCSC回答了一些问题:
- 泄露被破解的密码对罪犯有帮助吗?
- 这些密码已经在公共域中。通过了解攻击者如何使用从入侵中获得的密码,我们可以让这些攻击者更加困难,并帮助您降低对客户或员工的风险。
- 为什么不使用现有的被破解密码列表呢?
- 通过我们与Troy的合作,我们可以提供最新的列表,该列表由NCSC信任的数据源支持。我们也可以通过我们的NCSC指南参考它。
- 不过,也会有其他更具体的密码(比如组织中的员工在密码中使用公司名称)或时间限制(“Spring2019”等)很少出现在全球黑客名单中,但攻击者仍可能尝试使用这些密码。这个列表并不是所有的黑名单,但它应该为你提供一个很好的起点。
建议开发人员和系统管理员利用这个列表来鼓励用户创建更强的密码,建议屏蔽列表中的密码。
那么,创建一个容易记住的强密码的最好方法是什么呢?NCSC建议简单地使用三个随机的单词——很难猜到,但是很难忘记。