鲁达 222222、123456、098765、qwert、woaini、121212、223344……
这是你曾使用过的密码吗?
让我猜猜,或许还有姓名首字母+生日?英文名+生日?姓氏+.+生日?姓名首字母+身份证尾号?姓名首字母+手机尾号?……
以上数字并非我随意例举,事实上,这些密码组成规律几乎涵盖了“懒人”密码组合的所有方式:
- 超级懒之单字符重复型
为了方便记忆,“超级懒”一般会选择单字符重复,密码类似“11111”、“22222”、“、、、、、”(别以为你换个顿号你就不懒了)
某研究报告显示,在所有单字符重复型密码中,密码为“111111”的用户高达6万多人。
- 特别懒之用户名=密码
使用过用户名直接等于密码的出来挨打,你说你还能再懒一点吗?
根据报告显示,以abcd@QQ.com为例,密码为abcd@qq.com / abcd / @qq.com 这3种模式的数量占总体的比例高达3%。
- 非常懒之键盘排列=密码
老实说,这是不是你设置密码的方式?
或许还有这样的?
学过数学的或许还有这样的:3.14159265、1 9 25 49 81、1 4 8 16……
- 很懒很懒之“生日”“我爱你”
用过woainiXXX当过密码的勇敢站出来
除了我爱你,我还爱过谁?老实说,“我”的确还爱过很多人……
(看来“雪王之歌”能火起来是有很大的用户基础的)
相信我们在创建一个账号的时候都收到过如下提示:
1、请不要在密码当中包含姓名首字母、生日、身份证、电话号码等公开信息;2、请勿在不同平台使用同一个密码。
虽然这类提示总是在我们登入各方平台时反复出现,但是……我还是没改
在某咨询公司对600名用户上网习惯的调查中发现,仅14%的人为不同网站设置了不同的密码,近一半的受访者表示自己常在多个网站使用相同的密码;在密码更换频率方面,超过三分之一的人表示,只有在网站提示必须更新时才会更改密码,十分之一的人表示他们从未更改过密码,而男性使用“password”一词作为密码的可能性是女性的2.8倍。
(虽然这个样本过于小了些,但仍具有一定的代表性)
或许你会说,我有改密码啊!你的改密码是将字母大写改成小写,或者小写改成大写,字母在前改成字母在后吗?
咳咳,扯远了扯远了,看完这个报告,你觉得你的密码还安全吗??
其实盗号这件事儿远没有你想象得那么炫酷,灰黑产也不是黑客,更不会带着V字仇杀队的面具干活。
大部分黑灰产所采用的盗号手段都是撞库,或有一些技术水平高一些的黑产会辅以脚本,虽然这些手段在我们看来或许并不高明,但不可否认的是它确实很有用不是吗?
撞库:撞库是黑灰产通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
简单来说,就是灰产手里掌握着你的基本信息,如姓名、手机号、身份证、QQ账号、QQ密码等基本信息,在不知道你的支付宝密码的情况下,它会直接使用姓名首字母+生日等基本组合对用户的账户发起批量攻击,如果很不幸恰好你的密码就是这个,那么“恭喜你”,你的账号被黑灰产成功收入囊中。
除此之外,还有一个攻击成功率更高的方式,其基本原理就是大多数人倾向于在多个站点使用同一个密码(老实说你的淘宝、微信、支付宝密码是不是都是同一个?)当攻6击者成功入侵一个安全防护能力很弱的站点A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点B尝试,如果你的两个站点都注册过并且使用了同样的密码,那么再次“恭喜你”,被撞库成功。
如果恰好你的支付密码恰好与被破解的站点密码一致,那会发生什么呢?
可能:
你的xxx网银转账给一个你不认识的人一笔不菲的费用,余额为零
你的xxx贵金属交易系统将你的资产转移到另一个人名下
你的xxx电商平台积分全部兑换为Q币一次性转走
你的xxx汽车过户给一个陌生人
……
啥也别说了,赶紧改密码吧!