[分享]如何创建安全的密码来应对黑客

　许多人都有过网络密码被盗的经历，而防范意识不强是造成密码被盗的主要原因之一，有些人使用数字串“12345678”作为密码，还有些人使用密码的英文单词“password”作为密码。实际上，即使对“password”做一些的变动，比如写“p@ssw0rd”，仍然不是安全的密码。
　　安全密码
　　黑客们使用的暴力破解软件每秒钟可以尝试800万个密码，如何你的密码过于简单，破解它是分分钟的事 。就在本周三，职业社交网站LinkedIn一亿多用户的密码被黑客拿到网上出售。
　　那么，如何保证网络账号的安全呢?首先，检查一下自己的密码是否强度太低，第二，为每个网站创建容易记住且不一样的密码。即使某个网站用户密码遭大面积泄露，也不会殃及其他网站。
　　检查已有密码
　　使用一个简单的词语作为主密码是非常不安全的。“字典攻击”能以极快的速度逐一尝试一种语言中所有词语，所以暴力破解也被称为“穷举法”。黑客们会把盗来的数千万个密码放到暗网上分享或者出售，然后这些密码会被添加到已有的密码破解字典。简单的词语通常会第一步被暴力破解。
　　就拿 “saxophone”作为例子，如果把它作为密码，用英文字典破解只需一会儿的功夫，即使开头字母用大写(Saxophone)也不会增加太大的破解难度。甚至把里面在字母换成数字，变成“sax0ph0ne”，也不能算安全的密码，黑客可以在一两小时内破解这种密码。然而，增加一个数字会起到很大的作用，破解软件可能需要四天才能破解“saxophone1”。
　　另外需要强调的一点是，永远不要在网上测试实际密码的强度。
　　使用长密码
　　网络安全专家认为，一个安全的密码至少是在12到14个字符以上。14个字符的密码需要猜测811万亿次才能破解，长度才能保证安全，而不是复杂度。相比之下，8位的密码只需要几个小时就能破解。
　　但是，很少有人会使用12位以上的密码。这可以理解：长密码很难记住，输入也麻烦。但这个问题其实很好解决，照着下面的步骤做，你一定能创建出自己的安全密码。
　　用句子做密码
　　“saxophone ”可能会很快被破解，但是如果改成“IPlayTheSaxophone”(我吹萨克斯)，可能需要两年的时间来破解。再加长一点变成 “EveryDayIPlayTheSaxophone”(我每天吹萨克斯)，则需要几十亿年的时间来破解。不懂英语的话，把中文拼音也能起到一样的效果，比如“WoMeitianYanzouSakesi”。
　　为了好记，你可以使用电影台词、古诗或者儿歌里的句子做密码。也许你还可以更换其中的一个词。总而言之，句子比随机的一串字符好记得多。
　　在不同网站上使用同一个密码的不同版本
　　通常的建议是为你登录的每一个网站创建不同的密码。
　　从长久来看，在你所登录的网站中，可能有一天会有某个网站的密码数据库被黑客攻破，比如几年前的CSDN密码泄露事件，或者你遭受钓鱼攻击，泄露了某个网站的账户密码。如果你使用同样的邮箱和密码注册所有网站，其他网站的账户密码也就同时泄露了。
　　但是对大多数人来说，要记住一大堆密码是件很困难的事，即使记住这些密码，也有可能会忘记哪个密码是哪个网站的。
　　解决的办法是给每个网站的密码加上“标签”，比如“EveryDayIPlayTheSaxophone@qq”。如果再把其中的一些字母改成数字或者符号，那就更安全了。这样的密码简单易记，而且，如果一个网站的密码泄露了，黑客不能用来登录你的其他网站账户。
　　小心使用特殊字符
　　许多人喜欢把“a”换成“@”，把“o”换成“0”，那样，“saxophone”就变成了“s@x0ph0ne”。问题是，黑客知道有人使用了这种方法，会相应地改变破解方式，破解“s@x0ph0ne”只需不到一个小时。一个著名的例子是，荷兰安全证书提供商NigiNotar员工使用 “production/administrator”(产品管理员)作为用户名，使用“Pr0d@dm1n”作为密码，这个密码被一名21岁的伊朗学生猜到，最终导致这家公司破产。
　　保持“数字卫生”
　　不要使用你的狗或者猫的名字或者名字变体作为你的密码，然后还在社交网站上晒它们的照片，叫出它们的名字。高级可持续性威胁(ATP)小组会搜遍互联网寻找个人信息，并用于攻击银行账户。避免使用跟家庭成员和宠物名字或者以往住址有关的密码。
　　使用密码管理软件
　　这些软件，比如LastPass，提供了浏览器插件，在你第一次输入某个网站的账号密码时，它会帮你将密码保存到其服务器中，这样可以免除你每次登陆都要重新输入账号密码的烦恼。当你输入弱密码时，它还会提醒你更换成强密码。这些软件还能为你生成强密码。
　　不过，也有一些对这些软件感到不放心。如果软件账号的主密码被盗了呢?这样所有其他网站的账户和密码都泄露了。
　　把密码写在纸上
　　如果创建了一个很长的密码，但是担心会忘记，你可以把它写在纸上，并放到家里安全的地方，比如锁在抽屉里。这样要比保存在电脑上安全得多。
　　最差密码排行榜
　　1. 123456
　　2. password
　　3. 12345678
　　4. qwerty
　　5. 12345
　　6. 123456789
　　7. football
　　8. 1234
　　9. 1234567
　　10. baseball
　　11. welcome
　　12. 1234567890
　　13. abc123
　　14. 111111
　　15. 1qaz2wsx
　　16. dragon
　　17. master
　　18. monkey
　　19. letmein
　　20. login
　　21. princess
　　22. qwertyuiop
　　23. solo
　　24. passw0rd
　　25. starwars

破解网络密码—暴力穷举

密码破解技术中最基本的就是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如邮件帐号、QQ用户帐号、网上银行账号等，而用户的密码又设置的十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。

破解网络密码—击键记录

如果用户密码较为复杂，那么就难以使用暴力穷举的方式破解，这时黑客往往通过给用户安装木马病毒，设计“击键记录”程序，记录和监听用户的击键操作，然后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用户击键信息即可破解出用户的密码。

破解网络密码—屏幕记录

为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置对比截屏的图片，从而破解这类方法的用户密码。

破解网络密码—网络钓鱼

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息（如用户名、口令、帐号、PIN码或信用卡详细信息），网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站，骗取用户帐号密码实施盗窃。

破解网络密码—Sniffer（嗅探器）

在局域网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用Sniffer程序。Sniffer，中文翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

破解网络密码—Password Reminder

对于本地一些保存的以星号方式密码，可以使用类似Password Reminder这样的工具破解，把Password Reminder中的放大镜拖放到星号上，便可以破解这个密码了。

破解网络密码—远程控制

使用远程控制木马监视用户本地电脑的所有操作，用户的任何键盘和鼠标操作都会被远程的黑客所截取。

破解网络密码—不良习惯

有一些公司的员工虽然设置了很长的密码，但是却将密码写在纸上，还有人使用自己的名字或者自己生日做密码，还有些人使用常用的单词做密码，这些不良的习惯将导致密码极易被破解。

破解网络密码—分析推理

如果用户使用了多个系统，黑客可以通过先破解较为简单的系统的用户密码，然后用已经破解的密码推算出其他系统的用户密码，比如很多用户对于所有系统都使用相同的密码。

破解网络密码—密码心理学

很多着名的黑客破解密码并非用的什么尖端的技术，而只是用到了密码心理学，从用户的心理入手，从细微入手分析用户的信息，分析用户的心理，从而更快的破解出密码。其实，获得信息还有很多途径的，密码心理学如果掌握的好，可以非常快速破解获得用户信息。

密码是保护我们隐私的很有效和实用的工具之一，但我们在应用过程中也要注意安全问题的存在，黑客们的手段千变万化，我们应对起来也是非常困难的，希望读者能够了解以上的破解密码的方法，从根本上了解黑客，才能对症下药。