上個月,某知名字母站的程式碼不幸“被開源”,同時洩露的還有部分用於測試的真實使用者密碼。然而在剛剛經歷過鐵路搶票平臺470萬個人資訊洩露風波的人們看來,這些都不過是小風小浪。

在這個高呼“網路安全”的時代,網民卻日漸沒有了安全感,不管是訂票出行賬戶還是酒店開房賬戶,都已經被歷史證明,沒有什麼是不可能洩露的。

今年四月,英國國家網路安全中心與澳大利亞的網路安全專家特洛伊?亨特合作,基於資料庫中儲存的現實中曾經洩露出的551,509,767條密碼資料集,統計出前10萬條最為常用的密碼公佈,作為黑名單以提醒仍在使用這些密碼的使用者及時更換密碼。

我們根據公佈的10萬條密碼進一步分析,發現了諸多亮點。

鍵盤恐成最大背鍋俠

人們常常用阿Q精神安慰自己一介草民,不會驚動黑客這種高智商犯罪團伙。調侃用著六位數的銀行密碼保護著三位數的銀行存款,頗有點心累。

但是大多數人在拿到新銀行卡的當天都會修改初始密碼,以避免盜刷的風險。

細細想來,選個好記又不容易被猜到的密碼還有點難度。

在這5億多次密碼洩露記錄中,洩露次數最多的三種密碼分別是“123456”“123456789”和“qwerty”,其中,最常被用作初始密碼的“123456”已被洩露高達23,174,662次,堪稱世界第一密碼。

顯然,這三種密碼都呈現明顯的鍵位特徵,這在黑名單公佈的10萬種密碼中也比較常見。

當絞勁腦汁也想不出合適的密碼時,總有人放棄了抵抗,選擇了最省事的方法,選取鍵盤中的一行連續敲了過去。

根據字母和符號作為分隔標誌對密碼進行分隔結果中,共出現3679次“123”字串、645次“1234”子串、331次“123456”子串和275次“12345”子串,而其他長數字串都沒有出現如此高的頻次。

值得一提的是,去除連續數字和相同數字的數字組合,剩下的“69”“14”“08”等數字組合也呈現出九宮格的鍵位特徵。說明鍵位設定可能不同,但人的惰性總不會變。

另外,還有一些網站甚至要求必須在密碼中包含符號,但大家想到最多的標點也會撞上。

最常用到的標點是“.”和“!”,分別出現600次左右。點號往往起著代替空格作為分割符的作用,而“!”則用於表達愛意的強度。

緊隨其後的是“_”和“-”,分別出現229次和191次,而“$”“&”和“*”則較少出現,只有十幾條常用密碼片段使用它們。

密碼裡藏著愛

由於現代網站上常常會要求必須在密碼中加入英文字母,以保證安全性,純數字的密碼已經逐漸成為上古記憶。為了湊上那幾位字母,大家除了輸入連續字母之外,往往會選擇心裡最想說出的某個詞或某句話。

然而,“一千個觀眾心目中只有一個美猴王”在密碼裡也成立。

我們按照數字和符號作為分隔符,提取出英文子串,統計了最常出現的英文子串,發現頻率最高的20個詞中除了出現144次的“qwerty”呈現明顯的鍵位特徵之外,別的都能看出清晰的含義特徵。

最常見的英文單詞是“love”,將近是第二名“qwerty”的兩倍。同時,帶有love單詞的長欄位組合也有較高頻次,比如“iloveyou”和變體“iloveu”分別出現81次和40次。看來能夠擊敗人類選取密碼時惰性的可能只有對某人私密的愛吧。

另一些人表達愛意的方式則更加露骨,直接將自己想說的某個詞或人名作為密碼。

密碼中前20個英文常用詞還有“angel”“football”“soccer”“myspace”“dragon”“baby”“life”和“money”等生活中常見的詞,可見足球迷非常之多,此外也有一些常見的英文姓名。

在密碼中最常出現的英文名是是“alex”,出現了一共116次。而日式英文名“naruto”在英文名字中顯得格外矚目,作為鳴人的英譯名,可以看出這部漫畫在世界範圍內的影響力。

而“chris”“james”“michael”和“jordan”這些名或姓氏出現的原因,是使用者為了記錄自己或心愛人的名字,亦或紀念某位名人便不得而知了。

中文拼音密碼也一樣

由於洩露的密碼主要來自西方國家網站,並沒有完全顯示國人密碼特徵,不過數讀菌從這10萬條密碼中手動搜尋了一些常用拼音,居然有意外收穫。

根據密碼中常用的英文單詞,我們用對應的拼音進行了檢索。

外國人愛用“password”作為密碼,共出現139次,拼音對照方案就是“mima”作為密碼,典型的有“wodemima”“meiyoumima”等。

中國人也愛用“愛”作為自己的密碼,比如“woaini”“woaini521”“aini1314”之類的海誓山盟。

英文有“b****” ”f***” ”s***”等經典髒字,中國人也會在密碼裡輸入“c**n*m*”之類的國罵表達對某人的憤恨。

除此之外,常用的拼音密碼還有“baobei”“hai123”“tianshi”等。

同時,由於一些網站對數字長度往往會有8位以上的要求,而連續數字或相同數字也被禁用。很多人都會選擇某個年月日來填充長數字串,以紀念賬戶主人某個特殊日子,可能是生日或結婚紀念日。

雖然世界各地年份表示規則各不相同,但國內外都愛把年份日期塞入密碼裡。

我們提取密碼中含有正好8位數字且能匹配年月日資料的部分共計6978條,根據規則提取年月日資訊,並進行彙總統計。

最終發現洩漏密碼中的常見日期幾乎全都出現在上世紀八九十年代,可能是這部分出生的使用者是當前網民的主體部分的緣故。

月份在10月、12月、1月最多,均超過600次。密碼日期資料分佈較為均勻,數量最多的是20日,共出現289次,而其餘日期基本都在240次左右。

如果綜合考慮月份和日期的話,大家對一年的第一天情有獨鍾,在10萬條最常用洩露密碼中出現了53次,10月10日和12月12日緊隨其後。

如今,隨著各大網站對密碼要求不斷提高,有時甚至要求同時包括大小寫和符號,這些洩露密碼使用範圍正在逐漸縮小。不過,不用弱口令,常換密碼,不一碼多用,永遠都不會過時。

然而,最讓人心酸的是,一波操作猛如虎,自認為費勁心機、巧妙構思的完美密碼,最後仔細一看發現被網站用明文儲存和傳輸著,被密碼為“admin” 或“root”的豬隊友管理員釋出到了開源平臺上。

附:

如何知道自己的密碼有沒有被洩露呢?外國有心的網路安全專家已經通過整合歷次密碼洩露事件構成的資料庫,來供使用者查詢密碼是否被洩露。

最著名的是“我被搞了嗎”網站:https://haveibeenpwned.com/,使用者可以查詢自己郵箱是否被洩露,以及密碼在歷次洩露事件中出現的次數。

此外,火狐官方建立了一個網站:https://monitor.firefox.com/,使用者可以輸入電子郵箱檢視其密碼是否被洩露,以及是被哪家網站洩露的。

大家可以複製連結,用瀏覽器開啟嘗試。

來自:網易數讀