11月22日,瑞星公司发布了一项针对密码强度的专业研究结果,这项研究表明,国内用户在密码使用和创建上存在种种疏漏,一些极其简单的密码被广泛应用于各种使用环境中,给用户带来极大安全风险。根据这项研究,中国用户最常用的十大简单密码是:abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、taobao、root、wang1234。
瑞星安全专家介绍,此项研究基于多个来源,包括网上流传的各种资料表,以及钓鱼网站收集的用户密码列表等。可以部分反映国内用户的使用规律。随着邮箱、手机号等个人资料被广泛的应用于电子商务和支付之中,邮箱密码、手机号的重要性越来越凸显。
研究表明,国内用户的密码主要来源于以下方面:姓名的汉语拼音变体,比如xiaoming(小明)、xiaohong(小红)、liming(李明)等,由于国内两字姓名的普遍性,尤其是王、李、张这些大姓的存在,使得这种创建密码的方法存在很大的重合概率,风险很大。比如在百度上搜索“李明”,有1740万个结果。
除了姓名之外,中国的用户还喜欢用生日和手机号当作密码。在研究过程中,研究人员不止一次看到类似19850804、13560898这样的密码。由于现有的邮箱和SNS网站,通常限定密码最低为8位,所以那些位数相近的数字组合,如生日、固定电话号码、手机号前8位等成为人们常用的密码。
在研究用户使用密码行为的时候,瑞星安全专家发现,至少有75%以上的用户不会主动改变默认的密码,比如当申请ADSL密码重置、手机密码重置之后,很多人选择把系统给的密码记在小本上,而不是自己去设定一个熟悉的,这也导致像admin、root、administrator这样的系统默认密码被广泛应用。
瑞星安全专家指出,在银行卡密码中使用简单密码的危害尤其严重,很多人的钱包里同时带有身份证和银行卡,如果使用生日、邮编、123456这样的数字当密码,很容易被偷到钱包的小偷猜出来,从而造成金钱损失。
基于上述研究,瑞星安全专家提醒广大网民,应采取以下手段进行防范和提高:
1、涉及金钱和隐私的帐号,应使用复杂的密码,要有字母、数字和符号混合。这样的密码应只在一个账户中使用,不在多个账户使用同一个密码。
2、SNS网站、网购网站应使用与别的帐号不同的密码。这些网站的安全措施比较低,即使网站管理者本身可信,也不能确定是否会被黑客攻破,如果使用同一个密码,则有大量信息泄漏的风险。
3、不在电脑上用明文记载任何密码。在瑞星研究的案例中,有的黑客是先在用户电脑上植入木马,然后浏览电脑上的所有TXT文件和Word文件,从中查找用户的个人资料和密码。
4、银行密码因为只支持数字,而且通常仅有8位,所以要严格遵守密码规则,不能使用电话号码、生日、门牌号这样外人可知的数字,否则很容易被破解。