司空见惯 - 糟糕的密码

对于许多长期从事安全工作的人来说，这可能是一个无关紧要的事实，但大多数用户的密码安全状况糟糕却是不争的事实。SplashData 最近发布了一份关于 2016 年最糟糕密码的报告，对密码选择不当的问题进行了重新审视。

SplashData 的团队调查了去年从企业窃取并泄露给公众的 500 多万个密码，以了解人们在现实世界中使用的验证密码。结果并不乐观。据该公司称，从普遍性和易猜程度的角度来看，最常用的密码也非常不安全。

名列榜首的是 "123456"，约占样本集的 4%，紧随其后的是 "password"。从整个榜单来看，用户仍然倾向于使用简单方便的密码，而非安全的账户：

* 123456

* password

* 12345

* 12345678

* football

* qwerty

* 1234567890

* 1234567

* princess

* 1234

* login

* welcome

* solo

* abc123

* admin

* 121212

* flower

* passw0rd

* dragon

* sunshine

* master

* hottie

* loveme

* zaq1zaq1

* password1

同样令人担忧的是，在这份名单中，前两名违规者的变体更多，有6个123456这样序列数字的变体和 3 个 "password "变体。

SplashData 公司首席执行官摩根-斯莱恩（Morgan Slain）说："对容易猜到的密码稍作修改并不能使其变得安全，黑客会利用这些倾向。

事实上，2016 年也提供了一个完美的轶事证据来说明低劣密码的危险性：民主党全国委员会（DNC）被黑客攻击的部分原因就是密码选择上的疏忽。维基解密的朱利安-阿桑奇（Julian Assange）声称，希拉里-克林顿 2016 年的竞选团队主席约翰-波德斯塔（John Podesta）在他的一个系统中使用了一个 "password "变体，而其他报告显示，波德斯塔在其他几个系统中使用了一个稍微复杂一点但仍然很容易被黑的 "Runner4567"。

正是第二个错误让攻击者一举攻占了多个在线账户，这也说明了一个事实：选择一个高质量的密码只是密码安全的一部分。

在最近的一次采访中，Facebook 首席技术官亚历克斯-斯塔莫斯（Alex Stamos）声称，密码重复使用是用户账户面临的最大网络危险之一。

如果我们看一下实际受到网络伤害的人的统计数据，那么个人面临的最大安全风险就是密码的重复使用。他在接受 TechCity 采访时说："即使是在安全行业备受关注的高级攻击，通常也是从网络钓鱼或重复使用密码开始的。

事实上，Shape Security 公司上周发布的一份报告指出，重复使用的密码正在助长当今网络上的凭据窃取黑客大潮。该公司发布的一份报告显示，当今 90% 的企业登录流量来自攻击者的自动连接尝试，他们使用在其他网站的登录屏幕上窃取的密码来登录，以便接管账户。

Shape 报告称，当他们在数百个网站上来尝试使用偷来的账户密码时，成功率约为可观的2%。

参考：

1，糟糕的密码

'123456' Leads The Worst Passwords Of 2016