我的主要觀點(diǎn)是密碼不應(yīng)成為您生活賴以生存的關(guān)鍵

整個星期，親朋好友都問我是否聽說過有關(guān)最常用密碼的故事。這是一個擁有大量媒體報道的故事(包括eWEEK)。故事的要旨是“ 123456”現(xiàn)在是最常用的弱密碼，超過了“密碼”一詞的使用。

盡管該故事可以笑一兩聲，但我認(rèn)為密碼“ 123456”根本不是問題。實(shí)際上，我可以像其他任何密碼一樣安全或不安全地使用該密碼。我知道您在想什么，不，我并不瘋狂。請允許我解釋一下。

如今，黑客通常不會手動訪問網(wǎng)站或服務(wù)并輸入“ 123456”之類的密碼來獲得訪問權(quán)限;攻擊并非如此?，F(xiàn)代黑客(和安全研究方面的筆測試者)使用自動化工具，通常包括字典型密碼破解工具。這些工具將以字典中的每個單詞組合(例如，英語中的每個單詞)命中給定的網(wǎng)站登錄表單。因此，無論您選擇“ 123456”還是“ dog”一詞，它都一樣容易破解。

更進(jìn)一步，即使您擁有世界上最復(fù)雜的密碼并以明文方式傳輸(即不受安全套接字層或SSL加密保護(hù))，攻擊者也可以輕松地從網(wǎng)絡(luò)上竊取該密碼。 。如果您的密碼以明文形式存儲在設(shè)備或應(yīng)用程序中，則您沒有機(jī)會，因為能夠訪問站點(diǎn)，數(shù)據(jù)庫或應(yīng)用程序的攻擊者可以簡單地“讀取”密碼。

僅使用一個密碼即可訪問站點(diǎn)，無論是“ 123456”還是可以想象的最復(fù)雜的密碼，這都是不夠的，因為在所有情況下，它仍然是單點(diǎn)故障和弱點(diǎn)。

必須進(jìn)行雙重身份驗證，這要求用戶具有第二個密碼-通常必須通過短消息服務(wù)(SMS)自動生成和發(fā)送，該消息已在當(dāng)今許多流行的網(wǎng)站和服務(wù)(包括Gmail和Twitter)上使用。

盡管我不建議這樣做，但是您可能需要在需要兩因素身份驗證并避免被利用的站點(diǎn)上使用密碼“ 123456”。簡而言之，攻擊者仍然可以輸入您的“ 123456”密碼，但是如果沒有第二個因素，他們?nèi)匀粺o法訪問。

關(guān)于弱密碼的另一個有趣的事情是責(zé)任。我絕對不是在提倡任何人都使用弱而容易猜到的密碼，但是我一直認(rèn)為服務(wù)器和網(wǎng)絡(luò)管理員有責(zé)任保護(hù)用戶自己。因此，網(wǎng)站和服務(wù)應(yīng)實(shí)施嚴(yán)格的密碼策略。這意味著策略首先不允許用戶選擇“ 123456”作為其密碼。

我的主要觀點(diǎn)是，密碼不應(yīng)成為您生活賴以生存的關(guān)鍵。還應(yīng)該有其他層，包括加密和兩因素身份驗證。

作為IT專業(yè)人員，我們有責(zé)任保護(hù)用戶并確保密碼“ 123456”不是我們安全中的薄弱環(huán)節(jié)。