Matrix精選

Matrix是少數派的寫作社群，我們主張分享真實的產品體驗，有實用價值的經驗與思考。我們會不定期挑選Matrix最優質的文章，展示來自使用者的最真實的體驗和觀點。

文章代表作者個人觀點，少數派僅對標題和排版略作修改。

2019年12月，密碼安全服務公司SplashData釋出了第9個年度「最爛密碼百強榜單」——。據介紹，該榜單是收集了超過500萬個已洩露密碼後統計出來的，大多來自北美和歐洲使用者。

SplashData估計，大約有10%的使用者使用過至少一個Top25的爛密碼。3%的使用者使用過「123456」。「2019最爛密碼」Top25榜單如下，是否有你正在使用的密碼呢？

排名密碼相比2018年排名變化1123456—2123456789？？13qwerty？？64password？？251234567？？2612345678？？2712345？？28iloveyou？？29111111？？310123123？？711abc123？？712qwerty123？？13131q2w3e4r？14admin？？215qwertyuiop？16654321？？317555555？18lovely？197777777？20welcome？？721888888？22princess？？1123dragon？24password1—25123qwe？「爛密碼」有什麼危害？

2020年，網際網路讓每一個網民都接觸到各式各樣的密碼，深知密碼安全的重要性。很多同學可能都有QQ號被盜的經歷，在吐槽騰訊的安全措施不到位之餘，我們有沒有反思過，自己的密碼是「爛密碼」嗎？足夠安全嗎？

「爛密碼」的危害顯而易見：

爛密碼容易被盜號！爛密碼容易被盜號！爛密碼容易被盜號！

我們以上述表格中排名第13的密碼1q2w3e4r為例，看看駭客可以在多長時間內破解它？

出乎意料，只需要2秒即可破解！我還特意挑了一個看上去挺不規則的密碼1。如果你想知道自己的密碼是否被洩露過，可以前往這裡輸入郵箱驗證一下。注意！是輸入郵箱，千萬不要輸入你的密碼！2

如何保證密碼安全？避免一個密碼遍天下

我們應該「一把鑰匙開一扇門」，而不是僅僅使用「一把萬能鑰匙開所有門」。

相信我派的大部分朋友並不會使用SplashData公佈的「最爛密碼百強榜單」中的密碼。但是可以肯定的是，為了便於記憶，你會多個賬戶共用同一個密碼。也許你會認為，自己的密碼相當複雜，別人不可能猜得到。但是，無論密碼看上去多麼安全，只要多個賬戶共用同一個密碼，就有「撞庫」的風險。

「撞庫」英文名為CredentialStuffing，它的含義如下：

撞庫是駭客透過收集網際網路已洩露的使用者和密碼資訊，生成對應的字典表，嘗試批次登入其他網站後，得到一系列可以登入的使用者。很多使用者在不同網站使用的是相同的帳號密碼，因此駭客可以透過獲取使用者在A網站的賬戶從而嘗試登入B網址，這就可以理解為撞庫攻擊。

舉個栗子，支付寶比QQ的安全等級更高，如果你的這兩個賬戶共用一個密碼，駭客盯上了你的賬戶，就會首先嚐試攻破QQ密碼，一旦成功，他接下來破解支付寶賬號不就手到擒來？因此，即使密碼再複雜，共用同一個密碼，都會使你的密碼安全性大打折扣。更何況，有的人還會主動把自己的密碼說出來？。

不按套路設定密碼

你可能不會設定「最爛密碼百強榜單」中的密碼，但可能會使用姓名簡稱、生日或其他常見數字作為密碼，但這些都非常不安全。在當下的網際網路環境下，騙子都能準確地說出你的身份證號，姓名和生日這樣的資訊還會有隱私可言嗎？

我們推薦，定製一套獨屬於自己的規則，設定專屬密碼。當然每個人因人而異，具體可以參考人民日報給出的建議。

圖片來源於人民日報微博密碼越複雜越安全嗎？

設定密碼時，為了安全起見，很多平臺要求使用者必須設定非常複雜且難以記住的密碼，比如至少8位，包括大寫字母、小寫字母、阿拉伯數字、特殊字元等。這讓很多朋友非常頭疼：好不容易編出來一個符合要求的複雜密碼，還要想辦法記住它，時間一久就會忘記，可真是太南了！

圖片來源於Dribbble

為什麼我們需要設定包括大寫字母、小寫字母、阿拉伯數字、特殊字元組成的密碼？實際上，這是前美國國家標準技術研究院工程師BillBurr在2003年編寫的有關密碼安全性的官方指南中提出的原則，這份指南建議人們使用不規則的大寫字母、特殊字元和至少一個數字來設定密碼，並且最好定期更換密碼，後來被世界範圍內的政府、企業和消費者廣泛採用。

然而，在BillBurr提出這一原則14年後，也就是2017年，當年撰寫的密碼安全性的官方指南產生了誤導。其實遵循這一原則並不能提高密碼的安全性，反而會使密碼更容易受到攻擊，因為使用者設定了複雜密碼後，可能會重複使用，或者為了避免忘掉，往往會寫下來甚至貼在電腦旁邊。而定期更換密碼的建議也具有誤導性，因為很多人只會更換其中部分字元，讓駭客更容易透過已洩漏的密碼進行破解。

美國國家網路安全和通訊整合中心在2018年給出的設定密碼的中，沒有提到設定阿拉伯數字、大小寫字母、特殊字元的組合式密碼，而強調了儘可能把密碼設定到最長。

因此，密碼的安全性與其複雜程度沒有多大的關係，而與密碼的長度密切相關！

為了驗證密碼越長越安全是否真的可靠，我在密碼安全性檢測網站Kaspersky做了一個測試，分別使用下面6個密碼，長度從8位遞增到12位，來測試暴力破解所需的時間：

I_6s@5Y$

I_6s@5Y$O

I_6s@5Y$O？

I_6s@5Y$O？z

I_6s@5Y$O？z9

I_6s@5Y$O？z9%

測試結果如下圖所示，可以看出，密碼每增加一位，暴力破解所需的時間呈幾何級數增長。因此，密碼越長越安全是可靠的。

一般認為，16位的密碼就比較安全了，以目前計算機的計算能力，這個強度的密碼要計算很長時間，當然隨著技術的進步，這個時間可能會被不斷縮短。因此，我們建議，在可能的情況下，至少設定16位長度的密碼。

值得注意的是，既然密碼安全性與其複雜程度關係不大，為什麼上面的例子中，我要把密碼設定得非常複雜？從排列組合的角度看，供選擇的字元種類越多，組合方式就越多，暴力破解的難度也就越大。因此，在密碼足夠長的基礎上，可以認為密碼越複雜越安全。

開啟兩步驗證

兩步驗證又稱二次驗證、雙重認證，是一種保護帳戶的第二層保障。顧名思義，兩步驗證需要兩個步驟來驗證使用者的身份，能夠給網路安全額外增加一層保護，即使密碼被盜，賬戶依然安全。兩步驗證一般要求使用者提供兩種型別的資訊來提高賬戶的安全性，如密碼、個人識別碼、電子郵件驗證碼、簡訊驗證碼、指紋、安全問題等，然後使用者才能登入。第一步一般是密碼，第二步則是其他的驗證資訊。

圖片來源於Dribbble

啟用兩步驗證後，在新裝置上登入賬戶時，需要2個步驟：

像平常一樣輸入賬號密碼

再輸入一個驗證資訊

信任裝置進行確認

簡訊驗證碼

郵箱驗證

使用密碼管理工具

前文提到，密碼要儘可能地長，平臺要求使用數字字母組合密碼，我的密碼又那麼多，沒有過目不忘的記憶力，怎麼可能記得住？

因此，我們就需要密碼管理工具。密碼管理工具相當於一個保險櫃，把你所有的密碼認認真真地記下來，放進保險櫃裡鎖好。你只需要記住一個密碼，就是保險櫃的密碼，就可以找到你的所有賬戶的密碼。只要保證保險櫃的安全，那麼所有的密碼就都是安全的。

密碼管理有工具很多，常用的有：

>關聯閱讀：

建議選擇知名的、並且沒有「黑歷史」的密碼管理工具。知名說明他們是信得過的，同時會有很多高手盯著他們的安全性，黑歷史就像個人信譽，有一丁點兒也會大打折扣，一定要避開。上述密碼管理工具的功能差不多，基本都有這些功能：

儲存密碼

自動填充密碼

生成高強度密碼

生成兩次驗證的隨機碼

多裝置資料同步

不過，以上密碼工具我只用過1Password，並且還是贈送的會員資格。沒有選擇這些工具的原因，一是因為我囊中羞澀，不想付費，二是我不想把密碼散落在四處，這樣不便於統一管理。因此，我的主力密碼管理工具是iCloud鑰匙串——Apple在iOS7加入的一項功能。雖然iCloud鑰匙串還有很多不足，比如不能自定義生成密碼的長度與組合方式，Mac上填充不夠優雅等，但畢竟是系統內建、完全免費、可以自動生成與填充密碼，多裝置無縫同步……並且是Apple爸爸的親兒子，安全性也沒問題。要說Apple生態有什麼好，iCloud鑰匙串一定榜上有名。

iCloud鑰匙串自動生成與填充密碼

在macOS上開啟Safari->偏好設定->密碼，iOS&iPadOS上開啟設定->密碼與賬戶->網站與App密碼，可以檢視所有儲存在iCloud鑰匙串中的密碼，以及對儲存的賬號密碼進行修改。同時，iCloud鑰匙串還會用？？對密碼重複或很容易被猜到的密碼進行提示。

密碼之外的安全

網際網路可以說是險象環生，即使你避免一個密碼遍天下，不按套路設定密碼，密碼足夠長，開啟了兩步驗證，騙子還是會無所不用其極，想盡一切辦法來盜取你的密碼。一般來說，下面這些情形是比較危險的：

不加辨別蹭免費Wi-Fi

舊裝置資訊刪除不徹底

下載來路不明的盜版軟體

隨意點選簡訊連結

見二維碼就掃

無視瀏覽器安全警告

這裡主要說一下瀏覽器安全警告。一般來說，主流瀏覽器使用者群體廣泛，有大廠做支撐，有著強大的安全團隊，是值得信任的，比如、、，因此這些瀏覽器的警告不可忽視。

注意，上圖是在特殊網路環境下進行演示，瀏覽器給出的警告，不表示v。qq。com具有欺騙性

為什麼http協議的網站會被標註為不安全？因為http壓根就沒有安全性可言，而目前國內大多數政府、高校網站還在使用http，真是感到很無奈，ballball你們快點更換為https吧。

https為什麼安全？這個問題說起來有一點複雜，如果你感興趣，可以閱讀這篇文章。簡單來說，使用https協議的網站是「有身份的」，因為它有SSL證書，而只有權威機構才能頒發SSL證書，當用戶訪問擁有真實證書的網站時，瀏覽器檢查證書確實屬於這個網站，並且來自權威機構，於是瀏覽器告訴使用者，你這次訪問不會被監控，是安全的。

圖片來源於

我們常用的瀏覽器可以檢視訪問網站的證書，例如下圖，就是在Safari瀏覽器中檢視我派和的SSL證書詳情。

除此之外，，也是增強安全性的重要手段，儘管這在當下的網際網路環境下非常難以做到：發條朋友圈、聊天傳送一張圖片都可能會洩露各種資訊，更不用說各大廠商對使用者「若有若無」的監控。

說到這裡，就不得不提到Apple的3。保護隱私本來是廠商的基本職責，如今卻變成了一種奢求，而Apple因其在隱私保護方面的「極致」追求，更是成為它的一大賣點。

關於iPhone的隱私保護，Apple拍攝過一系列影片來宣傳推廣，比如PrivacyoniPhone的廣告，吸引著包括我在內的很多人選擇iPhone。雖然隱私洩露不一定會威脅密碼安全，但不注重隱私保護，難道可以說是安全的嗎？

最後的忠告：

密碼非兒戲，務必要牢記

上網衝浪爽，陷阱時刻防

道路千萬條，安全第一條