Check Point：世界密码日，如何加固密码设置？

全球有数十亿用户每天都在不同设备上使用密码，虽然密码的重要性不容小觑，但糟糕的密码管理和创建做法比比皆是。2019 年，英国国家网络安全中心透露，全球仍有 2,300 万人在使用诸如“123456”之类的不安全密码，这表明还有许多用户没有意识到潜在的危险。

但我们面临的问题不止如此。持续的技术进步不仅让用户大受裨益，也为网络犯罪分子提供了新工具来实施攻击。曾经被认为安全的密码现已成为过去式，并会产生新的漏洞。

如同加密货币挖矿使用场景，带有虚拟内存 (VRAM) 的新型显卡支持硬件设备高效处理高速数据，因此这些新型显卡也可被用于类似暴力破解密码的不法行为。最新型号的显卡能够在短短一秒内执行上百万次查验，远快于以前的中央处理器 (CPU)。这意味着，如果我们设置一个只包含字母和数字的长度少于 12 个字符的密码，攻击者只需几天就能破解。

Hive Systems 的最新报告揭示了网络犯罪分子“破解”我们的密码所需的大致时间：最不安全的密码几乎可以秒破，而最强大的密钥则需要 438 万亿年。在短短一年的时间里，这些密码的破解所用时间缩短了高达 90%。随着云服务或人工智能等新手段的出现，未来几年，这一用时可能还会进一步缩短。

设置强密码的目的和原因显而易见，但如何创建安全而强大的密码呢？对此，Check Point 安全专家公司给出了几条建议：

• 越长越复杂，安全性越高：密码长度应至少为 14-16 个字符，且应同时包含大小写字母、符号和数字。有人指出，只要将密码长度增加到 18 个字符，就可以创建一个攻不可破的密钥。这种说法是基于暴力破解攻击所需尝试的次数提出的，其中组合总数等于字符数乘以密码长度。

• 易记难猜：密码组合应该仅为用户所知，所以建议不要使用个人详细信息，例如纪念日或生日的日期，或家庭成员的名字，因为这类密码更容易被猜出。创建易记密码的一个简单方法是使用完整的句子，可以使用常见或荒谬的场景，例如“meryhadalittlelamb”或者大意相同但部分字符不同的更安全形式，例如“#M3ryHad@L1ttleL4m8”。

• 独特且不可重复：每次访问服务时都创建一个新的密码，并避免在不同的平台和应用中使用相同的密码。一旦密码被破解，这可确保把损失降到最低，并有助于更轻松、快速地修复。根据 Google 的一项调查，至少 65% 的受访者在多个帐户和 Web 服务中重复使用其密码，这大大增加了多个平台或应用遭到攻击的几率。

• 不外泄密码：看似基本常识，但绝对值得重视。切勿与任何人分享密码，尤其不要在电脑附近写下密码，也不要把密码存储在电脑文件中。就密码保存而言，密码管理器等工具能够以更安全的方式为您代劳。

• 实现真正安全只有“两步”之遥：除设置强大而安全的密码以外，使用双重身份验证 (2FA) 也是一项主要的安全增强措施。这样，每当攻击者或未授权人员想要访问他人的帐户时，帐户所有者就会在其手机上收到通知，以决定是否允许或拒绝访问。

• 定期更改密码：有时，即使遵循了上述所有做法，也会发生我们无法掌控的事件，例如公司数据库泄漏。因此，建议定期检查电子邮箱是否已遭到第三方漏洞攻击，并尝试找出可能已被入侵的帐户。一些公开可用的工具可提供相关帮助，例如 Have I Been Pwned 网站，该网站会试着收集有关这些泄露的基本信息，以便为用户提供支持和帮助。同样地，即使没有遭到入侵，也建议每几个月更新一次密码。

Check Point公司中国区技术总监王跃霖表示：“每天，网络犯罪分子都会发动新的攻击以窃取用户密码，网络钓鱼等技术通过窃取凭证成功入侵了数千项服务。因此，我们建议用户通过创建更安全的密码来加大网络犯罪分子猜测密码的难度，同时确保用户的始终处于最高级别的安全防护中，从而轻松化解可能存在的网络风险。”