世界密码日｜你的密码安全吗？

全球有数十亿用户每天都在不同设备上使用密码，虽然密码的重要性不容小觑，但糟糕的密码管理和创建做法比比皆是。2019 年，英国国家网络安全中心透露，全球仍有 2300 万人在使用诸如“123456”之类的不安全密码，这表明还有许多用户没有意识到潜在的危险。

但我们面临的问题不止如此。持续的技术进步不仅让用户大受裨益，也为网络犯罪分子提供了新工具来实施攻击。曾经被认为安全的密码现已成为过去式，并会产生新的漏洞。

如同加密货币挖矿使用场景，带有虚拟内存 (vRAM) 的新型显卡支持硬件设备高效处理高速数据，因此这些新型显卡也可被用于类似暴力破解密码的不法行为。最新型号的显卡能够在短短一秒内执行上百万次查验，远快于以前的CPU。这意味着，如果我们设置一个只包含字母和数字的长度少于 12 个字符的密码，攻击者只需几天就能破解。

Hive Systems 的最新报告揭示了网络犯罪分子“破解”我们的密码所需的大致时间：最不安全的密码几乎可以“秒”破，而最强大的密钥则需要 438 万亿年。在短短一年的时间里，这些密码的破解所用时间缩短了高达 90%。随着云服务或人工智能等新手段的出现，未来几年，这一用时可能还会进一步缩短。

设置强密码的目的和原因显而易见，但如何创建安全而强大的密码呢？对此，Check Point 安全专家公司给出了几条建议：

• 越长越复杂，安全性越高。密码长度应至少为 14~16 个字符，且应同时包含大小写字母、符号和数字。有人指出，只要将密码长度增加到 18 个字符，就可以创建一个攻不可破的密钥。这种说法是基于暴力破解攻击所需尝试的次数提出的，其中组合总数等于字符数乘以密码长度。

  
  

• 易记难猜。密码组合应该仅为用户所知，所以建议不要使用个人详细信息，例如纪念日或生日的日期，或家庭成员的名字，因为这类密码更容易被猜出。创建易记密码的一个简单方法是使用完整的句子，可以使用常见或荒谬的场景，例如“meryhadalittlelamb”或者大意相同但部分字符不同的更安全形式，例如“#M3ryHad@L1ttleL4m8”。                                    

• 独特且不可重复。每次访问服务时都创建一个新的密码，并避免在不同的平台和应用中使用相同的密码。一旦密码被破解，这可确保把损失降到最低，并有助于更轻松、快速地修复。根据 Google 的一项调查，至少 65% 的受访者在多个帐户和 Web 服务中重复使用其密码，这大大增加了多个平台或应用遭到攻击的几率。

  
  

• 不外泄密码。看似基本常识，但绝对值得重视。切勿与任何人分享密码，尤其不要在电脑附近写下密码，也不要把密码存储在电脑文件中。就密码保存而言，密码管理器等工具能够以更安全的方式为您代劳。

  
  

• 实现真正安全只有“两步”之遥。除设置强大而安全的密码以外，使用双重身份验证 (2FA) 也是一项主要的安全增强措施。这样，每当攻击者或未授权人员想要访问他人的帐户时，帐户所有者就会在其手机上收到通知，以决定是否允许或拒绝访问。

  
  

• 定期更改密码。有时，即使遵循了上述所有做法，也会发生我们无法掌控的事件，例如公司数据库泄漏。因此，建议定期检查电子邮箱是否已遭到第三方漏洞攻击，并尝试找出可能已被入侵的帐户。一些公开可用的工具可提供相关帮助，例如 Have I Been Pwned 网站，该网站会试着收集有关这些泄露的基本信息，以便为用户提供支持和帮助。同样地，即使没有遭到入侵，也建议每几个月更新一次密码。

来源：Check Point

（本文不涉密）