【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

作者:趨勢科技雲端安全副總裁Dave Asprey

 

看看這張來自滲透測試軟體公司 – Rapid7所做的超棒資料圖表,原始出處在此

 

他們的確證明了有些使用者是如何地忽略密碼安全。像我們這些內行的安全專家都了解強密碼的重要性,但你如果不做密碼強度檢查,你會發現使用者的行為其實很有趣。

 

而且有另外一個常見的問題是,現在足夠「安全」的密碼已經難記到需要寫下來,或是存在某處的檔案內。比較好的做法是用兩三個以上無關的單字加上間隔用的字母混合成一個長密碼。這也很難破解,而且比較容易記住,你就不用將它寫下來而造成另一個安全上的漏洞。

 

或者是用更好的方法,你可以用我們的DirectPass密碼管理程式來徹底解決這問題!

 

六百四十六萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上
六百四十六萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

LINKEDIN密碼解譯

發生什麼事了?

六百四十六萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

十六萬五千筆密碼雜湊值(Hash)已經被破解

學到的教訓

糟糕的密碼

我們看到網友漸漸都在使用過度簡單的密碼。事實上是許多人都直接用單字當密碼,而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

 

前卅大被破解的密碼 
前卅大被破解的密碼 

前卅大被破解的密碼

* 部分是經過修改的單字,不過你可以猜出原本的單字

設定密碼常見的問題

設定密碼常見的錯誤
設定密碼常見的錯誤

髒話密碼

使用髒話當密碼有加倍的壞處,不僅因為這是種弱密碼,而且當密碼外流時也會讓使用者丟臉。你不會想用罵老闆的話當成密碼的,這種密碼可能會讓你需要用LinkedIn去找另一份工作!而且罵人的話也通常都在暴力破解字典的前端

別用網站屬性關聯詞
很多使用者的密碼跟網站有關,這是種糟糕的作法。從LinkedIn案例來看,「link」、「work」、「job」、「connect」和「career」在我們的分析裡排在常見密碼的前20位。而且如果你用七個字母的相關單字做密碼,而平均密碼長度是八個字母時,你就糟糕了。

宗教聯想詞
講到密碼時,別碰宗教是件好事。像是「god」、「angel」和「jesus」是前15名的常用單字。我們之前看到當人們在宗教附屬網站選擇密碼時,常常會落入這一模式。現在也還是一樣。

密碼至少要包含四個單字,要隨機卻也要很容易記住的。許多密碼跟傳統短密碼一樣,像是用「ilove」做密碼開頭。如果密碼是「ilovejen」,那攻擊者基本上只要破解三個字母就好了。
密碼至少要包含四個單字,要隨機卻也要很容易記住的。許多密碼跟傳統短密碼一樣,像是用「ilove」做密碼開頭。如果密碼是「ilovejen」,那攻擊者基本上只要破解三個字母就好了。

 

使用排序數字也是個問題。

許多人就好像還在芝麻街學數數一樣,「1234」、「12345」、「123456」、「654321」和「1234567」都出現在前30名常用密碼。

密碼至少要包含四個單字

許多密碼跟傳統短密碼一樣,像是用「ilove」做密碼開頭。如果密碼是「ilovejen」,那攻擊者基本上只要破解三個字母就好了。

Love 不輕易說出口
當跟家人或所愛的人在一起時,「I love [中間有空格]」是完全適當的字眼。但跟它相關的任何字詞對我來說都是該禁用的密碼。像是「ilove」和「iloveyou」。

@原文出處:New Infographic – Top 30 Most Popular Passwords Stolen from LinkedIn

 

@延伸閱讀

2011 年前 25 大最蠢密碼
2011年前 25 大最蠢密碼

關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站