123456
Gizmodo于近期发布了一份2014年最差密码排行榜,并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是,这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年,网络攻击者通过病毒感染Gawker网络,致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗?
有趣的是,在今年的最差密码排行榜中,排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码,其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″,那么恭喜你,此类密码的安全强度要高于大多数密码。
从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变
该榜单集合了包含今年数据外泄的所有登录凭证,由安全公司SplashData负责收集和整理。如下所示,SplashData每年都会发布这样的一些榜单,并注明每个的密码排名位置和去年相比是否发生改变,是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码,我用星号进行标标注。
1. 123456(排名未变)*
2. password(排名未变)*
3. 12345(上升17位)*
4. 12345678(下降1位)*
5. qwerty(下降1位)*
6. 123456789(排名未变)
7. 1234(上升9位)*
8. baseball(新晋上榜)*
9. dragon(新晋上榜)*
10. football(新晋上榜)*
11. 1234567(下降4位)*
12. monkey(上升5位)*
13. letmein(上升1位)*
14. abc123(下降9位)*
15. 111111(下降8)*
16. mustang(新晋上榜)
17. access(新晋上榜)
18. shadow(排名未变)*
19. master(新晋上榜)*
20. michael(新晋上榜)*
21. superman(新晋上榜)*
22. 696969(新晋上榜)
23. 123123(下降12位)*
24. batman(新晋上榜)*
25. trustno1(下降1位)*
有趣的是,80%的”新晋上榜”密码事实上早已出现在了4年前Gawker密码外泄事件中前50个密码的清单中。同样有趣的是,尽管密码”123456789″是SplashData所发布最差密码榜单的常客,却并未出现在不光彩的Gawker密码外泄前50位的榜单中。
The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep
— Gizmodo (@Gizmodo) January 20, 2015
公平地说,Gawker被泄露的密码是经过加密的。只是碰巧188,000个密码因结构过于简单,才造成这些数学算法被轻松解密。加密的密码存放区仅达到最低的安全要求。我们从Gawker黑客事件中学到了即使是技术高超的公司也不善于密码管理。
这一事件的寓意即不新颖也没有什么启示性的东西:只是人们都极其不擅长设置高强度密码而已。说得再宽泛一点,总的来说人们也极其不善于安全防范。这也是为什么技术和安全行业需要将通过自身努力来改变现状的原因。你不能因数据外泄而对用户大加指责,就像你无法责怪这一榜单的始作俑者或泄露数千张好莱坞明星照片的黑客。
我完全可以告诉你,事实上,我已经告诉你如何创建一个强度高且容易记忆的密码。这根本不是什么复杂的事情。而每个人其实都十分清楚如何创建一个牢固的密码。我们知道薄弱密码的危险性并对此嗤之以鼻;我们也知道如何创建一个牢固的密码,但有时只是因为密码过多而懒于管理。
这也是为什么Twitter如此大力开发”Digits”认证技术的原因,苹果开发TouchID也是一样的道理,当然也包括一些前景可观的生物识别、短信或双重认证技术。虽然我们清楚知道这些认证技术也并非完美,但这让我们有机会体验新的认证方式,从而有可能放弃使用缺点突出的认证方式:密码认证。
提示