你的密码已经多久没改了?那就在今天改掉吧英文- 畅鱼网

———————————-

在2013年，有一个传说弥漫在了IT圈：某家企业由于密码防护意识不高，饱受密码泄露之苦，决定痛定思痛，花一整天改掉企业所有的密码，包括每一台路由器、服务器、数据库、ISP账户、计算机，甚至是语音信箱。

在这家企业大规模更改之后，众多业界巨头中的程序员便纷纷响应，包括三星、微软、宏碁等大厂。人们将每年的这一天——五月份第一个星期四称为世界密码日。

今天就是第八个世界密码日，尽管人们对于隐私越来越重视，但由于密码泄露导致的损失却进一步扩大。根据Juniper Research的调查，2011年，平均每次密码泄露上面的损失为550万美元，而到了2020年，平均损失额超过了1.5亿美元。

今天，小雷就借着世界密码日的机会，来给大家说一堂“密码课”。

糟糕的密码管理

让我们抛开密码的防护问题，首先要承认一点的是，我们很多人从一开始的密码编写就做得远远不到位。

首当其冲的问题就是密码设置过于简单。在2013年的世界密码日上，管理机构就公布了“最容易被攻破的密码清单”，123456、111111等“经典密码”赫然在目。

而糟糕的是，123456哪怕到今天，依然稳坐最简单密码的第一名，而其余的密码，也都是稍微尝试下，就可以轻松窃取的用户密码。

根据统计机构SplashData的估计，从一份包含500万个泄露的账号清单进行统计，仅“123456”就有3%的用户使用过，而前25名密码的总使用人数加起来超过10%，达到了50万人。

继密码设置过于简单的问题后，下一个致命要素则是同一密码多处使用。例如银行卡密码和手机解锁密码都是同样的六位数，所有网络账户都用同一套密码等。

这种密码设置的方式，很容易遭到黑客的“撞库”。黑客只需要拿到一个网站的用户账户和密码，就将其写入一个字典表中并上传到相关论坛。其他黑客就可以在其他网站上进行暴力试错，曾经iCloud的“艳照门”就是被部分黑客用其他网站泄露的密码“撞库”导致的。

在今年的3月份，新浪微博就被曝光有5.4亿用户数据泄露。在调查之后，新浪微博发布公告称，黑客不是通过攻破新浪数据库来进行信息窃取，而是用其它网站上的电话号码搜索+相同密码撞库来进行匹配。

个人隐私的双刃剑：电话号码

在日益严重的密码窃取事件中，电话号码成为了黑客们的新目标。尤其是通过电话号码登陆的社交类app，更是个人隐私泄露的重灾区，部分网站的密码找回机制，就能锁定用户的电话号码，你也可以在无良网站上很轻易地买到电话清单。电话号码本身的泄露问题已经很严重，垃圾短信、钓鱼网站就已经成为了现代生活的一大痼疾，但黑客能从电话上获取更多的信息。

在刚才微博的例子中，黑客所做的就是把用户的电话号码放到支付宝、QQ、微信等社交网站上进行搜索，得到用户的姓名、昵称等隐私信息，一个用户的完整生态就此建立。

通过上述两种方法，在互联网上其实已经可以初步搜索到用户的生活城市、工作职位以及个人履历。这种搜索手段被称为社会工程学（Social Engineering），通过合法手段，普通人就已经毫无隐私可言。而在暗网上，还有专门整理的社会工程学数据库，定位更加精准。

接下来，黑客会通过邮件、短信等方式来试图骗出你的密码。黑客知道了你的大致生活状态，你会很轻易地相信对方是来自某个权威机构。譬如你收到了一封名为“您的apple id已被锁定”钓鱼邮件，很多用户就会去虚假的苹果网站上上输入自己的账号和密码，黑客就会用它去撞库匹配。

但即便电话号码成为了如今数据的主要泄露方式，它依然是我们密码保障的重要一环。短信验证、双重登陆、密码找回都是重要的密码保护方式，我国的实名认证也必须需要电话号码，与其担心号码被不良商家贩卖，不如接受现实，构造一个难以被攻破的密码体系。

如何制造简单省事的安全密码

设置一套安全的密码，说起来容易做起来难。虽然手机上已经可以通过密码管理软件来云端存储，但人的记忆力才是用户最为信任的地方。对于习惯使用密码管理软件的同学们，小雷建议还是将备份抄写在笔记本上携带，防止遗忘，也可以用md2等加密算法进行加密。而对于习惯大脑记忆的同学们，小雷准备了一套完善的“密码分级”制度。