“兩高一弱”專項工作公安部去年在新聞發布會中做了強調，該工作自去年開展以來，許多網絡安全企業，都就“兩高一弱”給出了自己的解決方案，除了我們看到的常規的弱口令，其實有很多單位雖然也設置有：大寫字母、小寫字母、數字、特殊符號為特征的口令，但是有些單位在設置過程中存在極大的規律性，例如：Xx@ABC@123這一類的口令密碼，其實這類雖然看似滿足了強口令的要求，但是總體來說只是比所謂的弱口令好一點，建議在設置密碼過程中盡量避免出現太強的規律性。

《網絡安全等級保護基本要求》關于安全計算環境的身份鑒別a)項，四個級別，都對身份鑒別信息的復雜度有要求，并要求定期更換。口令是身份鑒別信息的最重要的部分，按照合規要求連說，各單位都落實的等級保護工作，不應該有那么多歷史遺留的“弱口令”了，事實上弱口令亦然是每年護網中被利用最多的安全風險隱患。而弱口令的整改，也是最經濟、最簡單、最有效的一種整改，但在實踐中卻有點令人失望。

其實包括消除“兩高”，也屬于等級保護落實要求項目。而年年合規中，卻成為最突出的安全隱患，這類偽合規、假合規何時是個頭？若各方都能做到真實合規，這類風險將大幅度降低。

今天我們結合維基百科弱口令TOP 100，和大家一起探討一二，希望個人能保護好自身數字財產安全，單位能夠及時緩解“兩高一弱”的弱口令方面的影響。

圖片

弱口令風險

未經授權的訪問

弱口令會為未經授權的訪問打開大門。包括有人進入個人社交媒體賬戶，甚至入侵受保護的網絡、應用系統、商業數據庫等。一旦進入，入侵者就可以提取敏感信息、冒充合法用戶或破壞操作。

賬戶接管

口令安全性薄弱的直接后果是賬戶被盜用。網絡犯罪分子獲得一個賬戶的訪問權限后，通常可以利用該賬戶的信息訪問其他賬戶，尤其是當重復使用相同口令時。這種多米諾骨牌效應可能導致個人和專業數字數據大范圍泄露。

數據泄露

一個弱口令就可能導致大規模數據泄露。當攻擊者入侵一個賬戶時，通常可以瀏覽整個網絡系統，訪問大量機密數據，包括個人信息和商業機密。

身份盜竊

身份盜竊通常始于一個被盜用的口令。攻擊者可以使用被盜憑證冒充個人、申請信貸或從事欺詐活動，所有這些都是以他人的名義進行的。

財務損失

弱口令可能導致直接的經濟損失。在商業環境中，賬戶被盜可能導致資金或知識產權被盜，給公司造成數百萬美元的損失。對于個人而言，銀行或信用卡信息被盜可能會帶來直接且毀滅性的財務影響。

網站接管

對于網站管理員和所有者來說，弱口令會帶來巨大風險。攻擊者獲得訪問權限后可以破壞網站、竊取客戶數據，甚至將流量重定向到惡意網站，從而損害網站的完整性和企業聲譽。

名譽受損

弱口令造成的損害不僅限于直接的經濟損失。對于企業而言，安全漏洞可能會損害其聲譽，導致失去客戶信任，并可能造成無法挽回的品牌損失。

法律后果

最后，弱口令可能會導致法律問題。數據泄露通常會導致受影響方采取法律行動，單位可能會因未能充分保護數據而面臨罰款。當先，“兩高一弱”已經成為專項，若在工作中發現弱口令，拒不整改將可能面臨行政處罰。

常見的密碼破解技術

暴力攻擊

暴力攻擊是黑客使用簡單密碼進入網站的一種反復試驗的方法。這種方法需要系統地檢查所有可能的口令，直到找到正確的口令。雖然耗時，但它可以有效對抗弱口令，尤其是那些長度短且復雜度低的口令。黑客經常使用機器人來加速和自動化這個過程。 

字典攻擊

字典攻擊涉及使用預先安排的可能口令密碼列表，例如字典中的單詞。與嘗試所有可能組合的暴力攻擊不同，字典攻擊更有針對性，測試常用單詞和短語。

彩虹表

彩虹表是用于口令密碼破解的復雜工具。是用于反轉加密哈希函數的預計算表，主要用于破解口令密碼哈希。通過彩虹表攻擊，黑客可以有效地將用戶口令密碼的哈希與表中的哈希進行比較，從而大大減少破解所需的時間。

憑證填充

憑證填充是一種自動化攻擊，利用竊取的賬戶憑證（通常是用戶名和電子郵件地址）通過大規模自動登錄請求獲取對用戶賬戶的未經授權的訪問。這種方法利用了在多個站點之間重復使用密碼的常見做法。這點在等級保護基本要求中，屬于剩余信息保護范疇，所以等級保護要求項背后都有他的邏輯的。

社會工程學

社會工程學涉及操縱個人泄露機密信息。技術包括網絡釣魚，攻擊者在電子通信中偽裝成可信賴的實體，以及借口，攻擊者創建虛構的場景來竊取個人信息。

密碼噴射

密碼噴射是指針對多個賬戶嘗試幾個常用口令密碼的技術。與針對一個賬戶嘗試多個口令密碼的暴力攻擊不同，密碼噴灑針對多個賬戶使用較少的口令，從而降低了觸發賬戶鎖定的可能性。 

這些技術強調了強大的密碼策略和先進的安全解決方案的必要性，特別是對于網站管理員來說，他們不僅要保護自己的數據，還要保護用戶的數據。

創建強密碼的最佳做法

1.開啟嚴格的密碼策略

在常見的操作系統中，如Windows、Linux等以及許多設備中，都有關于密碼（口令）強度的策略功能配置界面，檢查系統、設備是否具有密碼策略管理，并合理開啟密碼策略。

2.增加長度和復雜性

在口令密碼安全領域，長度和復雜性是關鍵。理想的密碼至少應為 12 到 16 個字符。此長度可確保字符組合廣泛，使自動化工具難以破譯。 復雜性同樣重要。大小寫字母、數字和符號的混合會破壞可預測的模式，使黑客難以破解密碼。這不僅僅是在末尾添加大寫字母或數字；復雜性應該貫穿整個密碼。

3. 使用短語設置密碼

密碼短語已成為一種用戶友好且安全的密碼策略。與傳統密碼不同，密碼短語是一串隨機單詞或句子。例如，“BlueDolphinSunsetDrive”比“B1u3D0lph!n”等隨機字符串更安全且更容易記住。 而我國的文化更適合這類密碼設置，比如利用古詩每句話中的某個字，比如春曉的韻腳：Xiao%Niao)Sheng%shao)，或者其他方式組合，這個組合是韻腳及這句詩第幾個字。

密碼短語的長度本身就很強大，敘事性也更容易記住。但是，避免使用常用短語、名言或歌詞至關重要，因為這些很容易猜到。

4. 避免使用常見模式和字典單詞

常見模式，例如連續的鍵盤路徑（例如“qwerty”）或重復的字符（例如“aaa”），會大大削弱密碼安全性。同樣，使用字典單詞，即使使用巧妙的替換（例如“p@ssw0rd”），也不足以抵御復雜的破解算法。 

黑客經常使用能夠輕松預測這些替換的高級工具。創建避免這些模式和字典單詞的密碼對于保持對各種網絡威脅的強大防御至關重要。

5. 不同賬戶使用不同的密碼

安全的基本規則之一是為每個賬戶使用不同的密碼。此策略可防止一個密碼被盜導致多個賬戶遭到未經授權的訪問。記住許多復雜的密碼可能很困難，密碼管理器是一種比較不錯的選擇。

6. 實施多因素身份驗證 (MFA)

多重身份驗證 (MFA) 增加了一層重要的安全保障。MFA 要求用戶提供兩個或更多驗證因素才能訪問賬戶，而且需要其中一個因素利用密碼技術。 這種方法可以確保即使密碼被泄露，未經授權的用戶仍然無法在沒有第二個組件的情況下獲得訪問權限。這對于包含敏感個人或財務信息的賬戶尤其重要。

7. 充分利用密碼管理器及其優勢

密碼管理器存儲和加密密碼，同時讓輕松安全地登錄賬戶。用戶只需記住一個主密碼。好處是巨大的——密碼管理器減輕了記住多個復雜密碼的負擔，降低了使用弱密碼或重復密碼的風險，并且通常可以自動更新密碼。它們還可以包括受感染網站的安全警報和安全共享密碼的能力等功能。

在網絡威脅不斷演變的環境中，遵守這些最佳實踐至關重要。通過實施強密碼以及這些策略，個人和組織可以顯著增強其數字安全態勢。

立即改善的可行步驟

對個人的建議

審核當前的口令密碼。檢查所有密碼并評估其強度。遵循最佳實踐，用更強的密碼替換弱密碼。

啟用多因素身份驗證。盡可能啟用多因素身份驗證以增加一層安全性。

定期更新密碼。定期更新密碼，尤其是敏感賬戶的密碼。

警惕網絡釣魚攻擊。了解網絡釣魚攻擊，避免無意中泄露您的密碼。

使用密碼管理器。使用密碼管理器安全地跟蹤您的復雜密碼。

對單位的建議

實施強密碼策略。制定并執行強制使用強密碼的策略。

定期進行安全培訓。定期舉辦培訓課程，幫助員工識別和應對網絡安全威脅，包括與密碼安全相關的威脅。

鼓勵使用密碼管理器。在組織內推廣使用密碼管理器，幫助員工為每個賬戶維護安全、唯一的密碼。

安排例行安全審計。定期審計組織的安全實踐和政策，以識別和解決漏洞。

制定安全事件響應計劃。制定并維護一個明確的計劃來應對安全違規行為，包括因密碼泄露而導致的違規行為。通過實施這些步驟，個人和組織可以顯著加強對密碼相關安全威脅的防御，確保更安全的在線狀態。

如何維護強密碼習慣

定期更新口令密碼

定期更新密碼是強密碼保護的重要組成部分。這種主動方法可確保即使密碼被泄露，其有效期也是有限的，從而減少潛在損失。最佳做法是每三到六個月更改一次密碼，尤其是保存敏感信息或個人信息的賬戶。但是，更新密碼時應避免使用可預測的模式，例如簡單地在現有密碼中添加數字或字母。每個新密碼都應獨一無二，并遵守強密碼創建指南。

知道如何識別網絡釣魚企圖

網絡釣魚是網絡犯罪分子獲取密碼的常用方法。這些嘗試通常以電子郵件或消息的形式出現，模仿合法來源并索要敏感信息。識別網絡釣魚企圖需要對未經請求的信息請求保持懷疑，尤其是當它們傳達緊急性或承諾獎勵時。在回復或點擊任何鏈接之前，請務必驗證來源的真實性。了解最新的網絡釣魚技術和此類騙局的常見指標對于個人和組織的網絡安全至關重要。

避免密碼共享

密碼共享（即使是與可信賴的人共享）也會大大增加安全漏洞的風險。每個共享密碼都是一個潛在的漏洞。為每個賬戶保留單獨的密碼至關重要，并且不鼓勵在個人和專業環境中共享密碼的做法。對于需要共享訪問權限的情況（例如團隊賬戶或家庭使用），請考慮使用允許訪問而無需透露實際密碼的密碼管理工具。

監控賬戶活動

定期監控賬戶活動是檢測未經授權訪問的主動方法。許多在線服務提供近期活動日志，例如登錄時間和位置。定期檢查這些日志以確保所有活動都是合法的。 發現異常，第一時間排查被侵入的可能性。

注:本文中“密碼”多為“口令”，請注意語境，與密碼技術、密碼算法之密碼做區分。