你认为你的密码很牢固。

我们来谈谈弱密码。

明显的弱点

应避免使用以下密码：

taylor21
qwerty
abcdefgh
iloveyou7
123456
123456789
buddy123

许多类似的密码都可以在公开的暴力破解字典中找到，例如 Rockyou。

E = log2(Rᴸ)

公式其实并不重要。重点在于长度和随机性。

当然，最好能混合使用大小写字母、特殊字符和数字，但字数越多越好。这正是公式所强调的。

即使是复杂的组合，8 个字符的发现速度也比 22 个小写字母的长序列快得多。

对于较长的密码，暴力破解所需的时间将呈指数级增长，例如从数年增长到数分钟。

一些违反直觉的例子

您可以在 rockyou.txt 文件中找到以下密码：

!@#$%^
P@ssw0rd

@fora和0foro通常被用来混淆字符，但暴力破解软件也会包含它们。

不错！

那些网络安全意识尚不健全的人可能会采取一些有趣但却不安全的做法。例如，他们可能会故意使用弱密码，并认为黑客不会尝试如此简单的密码组合。

事情并非如此。黑客会使用包含最基本密码的字典和单词列表。

即使是良好的安全策略也可能具有误导性。

许多网站和应用程序的密码策略都存在缺陷。例如，有些网站和应用程序会限制用户使用非常容易预测的密码策略，比如禁止使用特殊字符或将密码长度限制为 8 个字符。

然而，即使是看似强有力的政策也可能导致意想不到的后果：

至少包含 1 个小写字母、
1 个大写字母
、1 个数字、
1 个特殊字符，至少
包含 8 个字符。

虽然上述规则看起来合理，但用户仍然可以设置容易猜到的密码。

例如，我的名字是朱利安。我可以输入[用户名Julien$7]，这符合政策，但安全性很差。

黑客只需要一个包含我名字的简短列表，然后像 John the Ripper 这样的免费工具就会完成剩下的工作。

7 个行之有效的解决方案

• 设置长密码（如果可能，密码长度应超过 16 个字符）。
• 不要重复使用密码（一个登录名，一个密码）。
• 不要将密码保存在浏览器中，或者确保使用类似主密码之类的加密方式保存密码。
• 定期更改密码
• 使用密码管理器
• 使用haveibeenpwned来确定您的密码是否已泄露。
• 尽可能启用双因素认证/多因素认证

* 之所以选择 16 个字符，是因为大多数安全策略将密码最小长度设置为 8 个字符。我并不是说 8 个字符就是绝对安全的密码。如果可以设置更长的密码，比如 22、23、24 个字符，那就更好了。

极少数情况下，弱密码反而会起到积极作用。

来源：Memcenter

有些组织使用弱密码和易受攻击的应用程序来追踪和抓捕网络犯罪分子。

这种方法叫做蜜罐攻击。其目的是引诱黑客误以为自己正在入侵系统，而实际上，他们是被网络安全团队设下了陷阱。