信息安全意识-密码安全

密码安全，顾名思义，它指的是对于我们密码的安全。

密码是我们生活中最常见的进行身份验证的一个因素，一般我们在登录系统或者是其他应用程序的时候，最先需要利用用户名和密码来验证我们的身份，这称为单因素身份验证。除了密码之外，我们还可以再进一步利用数字令牌、利用生物特征，比如虹膜扫描，视网膜扫描等来对你进行身份验证，但密码永远是最常见的身份验证的第一个因素。密码作为最基本的一个身份验证的因素，如果没有被保护好，或者被别人猜测到，而网站又没有做到足够的防护，没有检测或者其他加固的安全性措施的话，那么你的系统就完全暴露在攻击者面前，再也没有任何秘密可言。

P1常见密码攻击手段及其危害分析
针对密码攻击的危害，以保险场景为例，保险公司的一个普通客户，突然某一天接到一个谎称是保险公司的客服电话，声称保单查询系统正在升级，需要提供登录保单查询系统的用户名和密码将系统升级。如果没有足够的安全防范的意识，透露了你的用户名和密码信息，那么对方可以通过一系列社会工程学攻击的手段，查询并修改你的信息，甚至是改动账户资金分配。

如果你的密码恰好是你最常用的一个密码，骗子将有可能用你的密码去撞库，接下来你会收到源源不断的外部保险推销的电话和异常登录的短信提示，造成严重的信息泄露。

再假设另外一个场景，比如保险公司有一个积分系统平台，客户可以利用自己的保费去换取积分，并在积分商城兑换相应的礼品。这个积分平台首先会对注册用户开放，如果他的密码设为最常见的123456这样的弱密码，积分平台被黑客仿冒登录后，把用户的积分去兑换为价值不菲的商品，并且邮寄到黑客指定的地址，造成了客户的损失。另外一方面对公司而言，客户会严重怀疑是保险公司系统有漏洞，导致了个人信息的泄露，会造成退保、投诉等业务损失。

所以由此看来，我们密码的各种各样的问题，会造成客户损失、客户投诉、业务损失和监管处罚。这样的事情其实在我们生活中每天都在发生，最终受影响的都是公司的业务。

常见密码攻击手段
​1.暴力破解

暴力破解是指把所有的数字、字母、包括特殊字符等等进行排列组合，把所有的组合尝试一遍来猜测这是不是用户正在使用的密码。虽然看起来