安全密码那些事儿

说起密码，大家再熟悉不过，从我们每天解锁手机、登录邮箱到网络购物，都会涉及到密码。密码对应英文Password，是当前主要的身份认证方法。密码对我们生活的重要性不言而喻，下面让我们详细了解一下密码，才能更好的保护我们的“安全”。

1.中文网民和英文网民使用密码的区别
中文网民更喜欢用数字作为密码，尤其是手机号和生日，英文网民则更喜欢用纯粹字母作为密码。中文网民的密码有27%到45%仅由数字构成，而英文网民密码仅由数字构成的低于16%。英文网民倾向于用某些单词和短语，有25.88％的网民会将5个字母以上的单词作为密码模块，如password（密码）、letmein（让我登录）、sunshine（阳光）、princess（公主），当然也包括“abcdef”“abc123”以及“123456”。

对于具体网站而言，以126邮箱为例，前10位密码是123456，123456789，111111，password，000000，123123，12345678，5201314，18881888，1234567，这10个密码占据总数的3.53%。

而中国铁路12306网站的前十位密码是123456，a123456，5201314，123456a，111111，woaini1314，123123，000000，qq123456，1qaz2wsx。这十位占1.28%。

2.密码猜测算法分为在线破解和离线破解
在线破解需要连网，但不需要拿到网站服务器上存储的密码库，攻击者只需要通过与服务器进行交互，针对目标帐号依次尝试可能的密码，直到猜测出密码，或因尝试次数过多被服务器阻止，因此也叫小猜测次数下的攻击。

离线破解不需要连网，但需要拿到网站服务器上存储的密码库，针对目标帐号，在本地依次尝试可能的密码，直到猜测出密码或因算力有限自动放弃猜测。因此，离线猜测不受猜测次数的限制，一般也称为大猜测次数下的攻击。

而研究表明，中文网民的密码在小猜测次数下（即在线猜测）更弱。

3.密码更容易被定向破解
人类大脑只能记住有限的5-7个密码，可记忆的密码要求尽量短、有规律、不复杂。然而密码太简单或具有共性，也就更容易被破解。要抗猜测的话，密码则应尽量长、无规律、越复杂越好。

由于互联网上服务越来越多，用户拥有几十个或上百的密码帐号。为了方便记忆，用户不可避免地使用流行密码，在不同网站重复使用同一个密码，在密码中嵌入个人相关信息，如姓名和生日。调查发现，用户在新网站注册密码时，往往会重用（44.8%）现有密码，或者修改（32.6%）现有密码，只有14.5%的用户会设置全新密码。

很显然，重复密码带来了用户带来了方便，也给了黑客很大的破解密码空间。

4.如何设置密码？
一是是对帐户分级分类，二是密码越长越好。
我们保护账号的精力也是有限的，那么我们把帐号根据重要程度分级，将重要的账户进行特殊的保护，那些不怎么重要的账号就可以用简单的密码设置，同类帐户可以密码重用。

密码越长越好的意思是，在符合网站要求的前提下，尽量设置长的密码。这里不对字符类型有要求，那样会增加用户的记忆难度，并且对提高安全性来讲可能并不好，也就是说密码长度要比密码的复杂度更重要。

如果要补充的话，就是不能使用个人信息做密码。另外，每过多少天就更换密码的策略不实用，因为现在人们大都有数十个账号，没有那么多精力来管理。

在可预见的未来，密码仍将是主要的身份认证方法。在密码基础之上防范的方法只是锦上添花。因为指纹可以复制且不可更改，基于深度学习的换脸软件又能绕过面部3D识别，那么只有密码在我们大脑当中谁也轻易拿不走，目前密码的脑电波还不能无线远距离破译。

说明一下，靠谱邮件专注企业邮件安全服务和解决方案，邮箱密码的要求和上面提到的一样，长度+复杂度是是必须的。黑客猖獗的今天，邮箱弱密码风险不言而喻的。比如说希拉里邮箱密码被破解出来了，导致了机密邮件被泄露。其实很多名人政要的密码也是很容易被猜测出来，有时弱得超乎你的想象。

请保护好你的密码！