你真的会设置密码吗

李  建

近日，美国某密码管理应用程序提供商对在美泄露的超过200万个密码进行分析，找出其中最易被破解且仍有大量用户使用的25个密码，列出年度“最弱密码”榜单。

与上年度如出一辙的是，“123456”和“password”仍然名列前两位。事实上，该公司2011年开始统计“最弱密码”，这两组密码就是“老主顾”，且一直位列“前茅”。这在令人哑然失笑之余，也引起不少深思：在信息化、网络化时代，我们的密码和信息安全究竟怎样保障？

不少人认为“典守者不得辞其责”。诚然，当各国互联网大数据被搜索引擎尽数掌握，当网络空间成为继领海、领空、领土和太空之后的第五空间，当斯诺登推开“棱镜门”暗战的一角，维护网络信息安全早已成为国家安全的重要内容，无疑也是政府的重要责任。

不过仅仅指望政府是不够的。面对包罗万象的海量信息、错综复杂的交往痕迹，即使政府真的是传说中的“利维坦”，也不可能把每件事情都管起来。最弱密码持续领跑的背后，显然是诸多网民的麻痹大意、不思悔改。

年度“最弱密码”上榜者中，不乏“好客”型的：welcome(欢迎)；也有“请求”型的：letmein(放我进去)；还有“动物偏好”型的：dragon(龙)、monkey（猴子）。依照标准键盘排列所形成的密码也颇受欢迎，像“lqaz2wsx”(键盘左侧斜排)或“qwertyuiop”(键盘第一排字母)。排行榜还反映出流行文化和体育对网民的影响，比如，《星球大战7》的热映让“solo”“princess”“starwars”成为简单密码的“新宠”，而“football”“baseball”则是榜单“常客”。

不可否认，我们的生活已经被密码层层包围：打开手机屏锁，登录QQ、微博，连接无线网，转账交易等都需要输入密码。然而，你真的会设置密码吗？

关于设置密码的“雷区”，相信大多数人都耳熟能详。例如，单纯的数字或字典中的单词，生日、QQ、电话号码、邮箱，或者喜爱的球队、明星名称，在所有场合都使用同一密码、长期使用固定密码等。

弱密码指的就是这类短密码、常见密码、默认密码，以及能被穷举法通过排列组合破解的密码。强密码则是足够长，由大小写字母，数字，扩展符号、标点符号、键盘上没有的特殊字符等随机排列组成的密码，不易被穷举等算法破译。一言以蔽之，强密码必须同时具备两种特性——好记又难猜。

关于强密码的设置技巧，首先可以选取基础密码，然后根据不同的应用场合，通过设置简单的规则叠加其他元素。基础密码可以是某句短语或是某首诗词的首字母，键盘上比较靠近的按键组合，或者亲友名字的首字母以及特殊的纪念日等。如果还想增加难度，可以在键入时将手指在键盘上向某一方向偏移一些位置。比如，基础密码是“green”，输入时将手指向左上方偏移一个键位，就变成了“t433h”。

至于叠加其他元素，可以是“基础密码+网站名称的首字母+某一单词+喜欢的数字排列。如果想要更加安全，还可以插入网站允许的符号。

不少网站要求密码是数字与字母的组合，例如今年排行榜上第24位的“password”,本来把password中的字母“o”换成数字“0”是个讨巧的方式，但用的人多了，反而成了安全隐患。

如果网站对密码有特殊要求，比如不能含有特殊字符，或对长度有限制，可能就需要对这些规则之外的密码另行记录。虽然不同网站对密码的要求有些不同，但有一个准则肯定是适用的——如果不想让黑客在24小时内就破解你的密码，它的长度应该超过14个字符（至少8个字符），且最好同时包含大小写字母、数字与特殊字符。

这样就够了吗？不！很多网站有设置安全问题取回密码这一功能。然而通常情况下，可选择的安全问题既少又很常规，例如父母的名字、毕业的学校以及配偶的生日等，答案局限性太大，不排除有人通过这一途径破解密码。比较安全的做法是安全问题与答案无关。比如问题是“你最喜欢的歌曲”，答案则可以是你向往的一座城市。

当下，电脑、手机病毒日新月异，黑客远比我们想象的更狡猾。中国互联网信息中心反复强调“关注网络安全要像教育孩子一样，让他知道出门锁门、过马路注意过往车辆”。其实，维护密码安全并不复杂，紧一紧思想的弦，睁一睁安全的眼，许多隐患就可以有效规避。

摘自《保密工作》2016年第6期