徹底幫你分析什么才是弱密碼

 
       當(dāng)時(shí)IT界都震驚了，關(guān)于CSDN密碼泄漏事件，我想只要跟IT工作有點(diǎn)沾邊的朋友都會(huì)議論紛紛。那么到底什么是弱密碼？我們不妨從CSDN這份600萬(wàn)的數(shù)據(jù)樣本中分析。雖然這里的用戶群是IT從業(yè)者，或者里邊也許有大量廣告、僵尸用戶的存在，但我相信還是能一定程度說(shuō)明問(wèn)題，畢竟CSDN不是垃圾網(wǎng)站。基本弱密碼其實(shí)有規(guī)則可尋：

重復(fù)匹配

常見單詞

自然順序和倒序

鍵盤鍵位

       我同樣不贊同非要讓用戶設(shè)置密碼N位，必須包括字母、數(shù)字，甚至字母還要區(qū)分大小寫的情況。位數(shù)還好理解，不是必須字母數(shù)字還大小寫交叉才能增加密碼強(qiáng)度。

       為了驗(yàn)證想法，再做個(gè)類似四年前的實(shí)驗(yàn)（6位升級(jí)到了8位）：

“88888888”，弱

“12345678”，弱

“12345567”，一般

“26380445”，極佳

“designer”，弱

“songvision”，極佳

“#%^&**((”，極佳

“wau65756”，極佳
 

       相反再?gòu)腃SDN數(shù)據(jù)樣本中抽出一些使用比例較高且組合詭異的密碼在Google測(cè)試：

“1234567b”，弱

“1233211234567”，一般

“369258147”，弱

“1234abcd”，弱

“zxcvbnm123”，弱

“1q2w3e4r5t”，弱

“asd123456”，弱

“iloveyou”，弱

“password”，弱

“qwerasdf”，弱

       如果還發(fā)現(xiàn)不了問(wèn)題，提醒測(cè)試人員注意鍵盤鍵位，認(rèn)為“1q2w3e4r5t”是中密碼可以原諒，我最受不了系統(tǒng)告訴我“#%^&** ((”是弱密碼。真正的弱密碼不是靠規(guī)則硬匹配算出來(lái)的，必須在用戶角度結(jié)合場(chǎng)景思考。隨手測(cè)試了網(wǎng)易、搜狐、新浪，發(fā)現(xiàn)四年前的問(wèn)題除Google進(jìn)步了之外，幾乎所有網(wǎng)站還是那個(gè)熊樣。