账户密码被猜中？教你一份密码设置指南丨大东话安全

一、某国领导人推特密码被猜中

小白：大东东～看新闻了吗？某国领导人的密码被破解了！

大东：嗯，准确地说是密码被猜中了！

小白：没想到这个拥有8700万粉丝的推特账户使用的密码竟然如此简单，“MAGA2020”——“让美国再次强大”（Make America Great Again）。

大东：某国领导人的个人推特账户自他2017年1月就任总统以来，就一直非常活跃，但也数次爆出密码被安全研究员猜中。

小白：某国领导人的推特账号，这也太不小心了。

大东：不仅如此，猜中密码的研究人员还透露，某国领导人没有为此账户启用两步验证。也就是说，猜出密码的任何人都能够登录帐户、做出更改、发送自己想推的任何言论。

小白：太危险了！

某国领导人的推特账号（图片来自网络）

二、大话始末

大东：其实，这已经不是黑客第一次黑进他的Twitter账户了。

小白：哦？

大东：第一次是在四年前，在2016年大选前夕，三名黑客联手检索了他的密码并进入了他的账户。

小白：时间点都很相似呢！

大东：是的，同样距离总统选举只有三周的时间，俄罗斯和伊朗也有黑客入侵成功。

小白：他的推特账户简直是全球黑客的共同靶子呀！

大东：入侵的黑客Gevers表示，攻击特朗普账户的原因与竞选对手的报道有关，他儿子的一个硬盘被黑客入侵，原因正是拜登使用了一个容易被猜到的密码（Hunter02）。

小白：哈哈，所以Gevers还想检查下Twitter认证账户的安全性咯～

大东：他本人表示，他的工作就是寻找安全漏洞。

小白：黑客也是为总统的密码安全操碎了心啊～

大东：出于良好的意图，Gevers之后给某国领导人发提醒邮件，建议他采取额外的安全措施，或者使用一个稍微长一点的密码。

小白：好奇他们会不会采纳一个黑客的建议～

大东：善意且有用的建议都应该被考虑采纳。

三、密码安全性

1）账户密码简单得惊人

大东：问题的主要原因是账户设置的密码过于简单，这回他被猜中的密码是他在2016年大选中使用的竞选口号的缩写，具有一定的意义和个人标志，因此很容易被他人猜中。

小白：我知道～这就和我把生日日期设成银行密码是一个道理。

大东：请问你的生日是什么时候？

小白：哼，我可不会傻到说出来！

大东：由于密码设置过于简单，入侵者甚至只用5次尝试就猜中了。就算用户想使用具有个人特征的语句作为密码，也应该考虑设置得复杂一些。比如某国领导人的弱密码可以升级成：“!IWillMakeAmericaGreatAgain2020!”（我要让美国再次回到2020年！）

小白：这年头设个密码也真难啊～

2）激活两步验证

大东：其实，账户的两步验证也是一道重要安全保障。

小白：两步验证是啥意思？

大东：举个例子，国内很多网络服务 ，比如购物网站、银行，在支付的时候，除了需要你输入正确的帐号密码之外，常常还额外给你发一条带有验证码的手机短信，以此进一步确认你是帐号的真正主人。

小白：噢～原来就是手机验证码。

大东：这其实就是“两步验证”，或者叫做“双因素验证”的一种实现方式，它这里第二步验证是靠手机短信来发送验证码的。而国外的网络服务还会使用一种叫“身份验证器”或叫“虚拟 MFA”的二步验证方式，它是利用一种“随时间变化的验证码”来取代手机短信，不仅更安全，而且可离线使用，通用性也更强。

小白：我知道了。两步验证也是相当于给帐号多加一把“锁”，在输入正确的账号密码之后，用户同样还需要额外口令才能完成登录。

大东：是的。所以即使你的帐号和密码不慎泄露了，别人在没有这个数字验证码也是无法登录你的账号的，这可以大大提高破解的难度和帐号的安全性。所以建议所有能开启二步验证的重要网络帐号都要全部开启。

两步验证（图片来自网络）

3）密码不要重复使用

大东：此外，当下由于互联网蓬勃发展，每个人日常需要使用的账号密码越来越多，每个账户都需要设置密码。这就带来一个问题，很多用户会设计一个复杂密码，然后在所有登录入口皆用这同一个密码，这里存在着一些潜在的安全隐患。

小白：求指教！

大东：这就是拖库、买库。其实，不管你的密码是否复杂，其实黑客是不知道的，其一般的攻击行为是始发自各大门户网站、电商平台，而不是去扫描偷窥监听你的键盘。

小白：怎么做到的？

大东：有两种手段，一是黑客攻击服务器盗取数据，二是内鬼贩卖数据，里应外合。

小白：哦，这样黑客就能批量盗取一个平台下用户的账户信息，然后再拿这个密码去别的平台尝试登录。

大东：理解得不错！

四、密码设置指南

小白：天惹，上个网真的太难了！

大东：在设置密码的时候应该注意符合安全的复杂性要求。

小白：具体是什么呢？

大东：密码策略一直是活动目录策略中比较特殊的一个策略，所谓密码复杂性，网站的一般要求会包括：密码长度超过8个字符，密码不能包含用户名或全名的任何部分，密码必须至少包含英文大写字母、小写字母、阿拉伯数字、标点符号着4类字符。

小白：这么多账号呢，每个都这么设，我早就忘记了。

大东：你可以使用密码管理软件，保证每个密码的安全复杂度，又能安全保存每个密码。

小白：喔～

大东：不过密码还是要勤更换，最好三个月能换新密码。同时，账户也要开启两步验证，多一重安全防护。

小白：get了，这就改密码去！

参考文献：

1. 荷兰研究人员猜出特朗普的推特密码MAGA2020：https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA

2. 什么是两步验证？怎样开启二步验证？好用的身份验证器密码 App 软件推荐：https://www.iplaysoft.com/two-factor-authentication.html

3. 黑客多次入侵特朗普Twitter账户，称其密码太简单，还发邮件劝特朗普改密码：

https://www.thepaper.cn/newsDetail_forward_9807667

4. 密码不符合系统密码复杂性策略：https://blog.51cto.com/gnaw0725/30217

5. 为什么所有账号使用同一个复杂密码会带来极大的安全问题？https://zhuanlan.zhihu.com/p/27844352

来源：中国科学院计算技术研究所