在現在的生活中雖說電腦或軟體服務的帳號密碼已經可以說是我們生活的必備之物,但其實弱密碼依然是處處可見,主要還是來自於人類對於密碼複雜度的過度自信(你以為夠安全的密碼其實一點都不安全),又或者是為了圖一個方便性而採用的”有規則性”密碼,也有純粹就是懶得想而簡單設想的一個密碼(通常是完全沒有資安概念者),可以說其實在我們生活中還是處處存在著危險的不安全密碼,是有必要整理一下一些常見的,被公認為最好不要用因為容易被猜中的密碼列表給大家參考。
首先登場的是 最無腦的懶人密碼例如"123456"這一類,由於這種密碼幾乎人人都猜得到,所以算是最危險的密碼,因此有些網路服務並不允許這一類最常見的無腦密碼。而通常這些密碼都是純相同數字或字母,又或者是連續數字或字母組成。
"123456789. 123456. 0987654321, 654321, 111111, 112233, 123123, 123321, abc, aaa, abcd, abc123(雖是英數字組合,但順序太簡單)"
[解] : 為加強這一類純數字或純英文密碼的脆弱性, 所以很多系統要求英數字混合。
第二類是 雖然數字字母混合,但是卻是依賴於某種順序性(最常見的是鍵盤按鍵的順序),當然如果順序可以複雜到南以組合的話也可以是很安全,但至少不要太簡單倒可以幾次就被 try 中(從鍵盤)。
“ 1q2w3e4r, 1qaz2wsx, zxcvbnm, asdfghjkl, qwertyuiop, Qwerty123 “
[解] : 可以多重組合並且建議字數長一點(最好在12字元以上),例如 1q2w3e4r + zxcvbnm = 1q2w3e4rzxcvbnm ,增加猜測鍵盤順序難度,另外英文字母穿插大小寫字元(很多系統會要求密碼至少一個大寫跟小寫字母,另外更進一步要求要有特殊標點符號),讓密碼可攻擊面進一步減少。
第三類是 富含簡單意義的字串密碼,他可以是有意義的單字或數字,也可以在有意義的單字之後加上無意義的數字,但數字如果太簡單,這樣的密碼一樣很危險。
“ iloveyou, Password1, sunshine1, superman123, lol123“
[解] : 不要用這一類常見的有意義的單字或字句組成的單字密碼,密碼本身需要有不可預測性。
其他類的脆弱密碼最常見的大概就是可以透過個人資訊推測出來的密碼(如:生日、電話號碼、學校公司名稱....);又或者是使用的密碼是軟體系統出場時的預設密碼(DB 跟Router)或與帳號相同的密碼。
[解] : 密碼部要使用軟體常見預設密碼,也不要設成跟帳號一樣。
而站在系統測試人員的角度,上列的密碼都是應該被測試的以確保系統的密碼安全防禦強度,也應該加入以上加強密碼的解法做為系統強密碼的原則,但一般人則應該記得對這一些密碼敬而遠之。
2021年3月19日星期五
留言列表
