好奇心日报

好奇驱动你的世界

打开
智能
  • 密码安全

许多人爱用的默认密码,加州立法不让用了

123456 仍然是最受人钟爱的不安全密码

据 TechCrunch 消息,加州通过了一项法律,从 2020 年开始,禁止在所有新消费电子产品中使用“admin”,“123456”和“password”等默认密码。

这项法律将覆盖在加州生产的所有电子设备,从路由器到智能家居都被要求配置“足够合理的安全功能”,且每个设备都要有独特的预编程密码,用户在使用这些设备时,必须强制性修改默认密码,否则无法使用。

用户依赖默认密码造成了严重的安全问题,为黑客攻击打开了方便之门。多年来,僵尸网络利用了安全性较差的设备,在网站上拥有了大量的互联网流量,进行分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,而用户出于各种原因没有对其进行更改。

互联网用户对默认密码的依赖程度令人吃惊——特别是当它出现在一些特别不该出现的敏感场合时。今年 9 月,据乌克兰独立新闻社记者亚历山大·杜宾斯基(Александр Дубинский)披露,乌克兰武装部队(ВСУ)的“第聂伯罗”军事自动化控制系统的用户名是“admin”,密码是“123456”。杜宾斯基称,这个漏洞“让敌人直到 2018 年夏天,都可以随意扫描乌克兰军队的信息”。

密码管理安全公司 SplashData 发布的 2017 年度密码报告显示,在当年的 500 万个外泄的密码中,使用率最高的是“123456”,约有 3% 遭黑客入侵的用户将这段数列设为了密码。排名第 3,第 5 和第7 的分别是“12345678”,“12345”和“1234567”,排名第 6 和第 17 的是“123456789”和“123123”,很显然都是由弱密码“123456”演变来的。人们对这段数列的放心程度令人吃惊。

其他多次出现的弱密码有 qwerty,football,admin,welcome,login,abc123,dragon,passw0rd 和 master 等。最滑稽的是,许多人认为在密码中用0(数字)替代 O(字母)会让密码变得更强,比如 passw0rd。SplashData CEO 称,这种想法是错误且幼稚的,在黑客看来其实很可笑。

那么应该如何设置密码才足够安全呢?Google 安全中心提出了以下几个建议:每个重要帐户(如电子邮件帐户和网上银行帐户)单独使用一个密码;使用由数字、字母和符号组成的较长密码;设置密码恢复选项,并确保这些信息是最新的;定期更新密码等。

Google 安全中心建议用户,编写一串只有自己知道的字符,并将其与特定网站关联以便记忆。例如在设定电子邮件的密码时,可以先写一句话“My friends Tom and Jasmine send me a funny email once a day”,然后将其转换成一串字母和数字。“MfT&Jsmafe1ad”就是一个包含多种变化形式的密码。

题图/pixabay

  • 密码安全