2021 年的密码习惯 - 我们是否取得了任何进展?

每年都是安全研究人员开始对各种安全实践、趋势和发展进行年度审查的时候。其中最令人好奇的话题之一是密码习惯和普通用户的密码卫生总体水平。

安全公司 Nordpass 使用来自全球 50 个不同国家/地区的整理数据发布了其对密码实践和常用密码的年度审查。可悲的是,结果根本不令人鼓舞,并且没有显示人们选择密码的方式有任何有意义的改进。

Nordpass 使用的数据来自大量泄露密码的数据库,其中包含 4 TB 的记录。这些密码中的大部分是从北美、欧洲、澳大利亚和俄罗斯收集的。

2021 年最常用密码的细分如下:

  • 123456(1.03 亿个实例)
  • 123456789(4600 万个实例)
  • 12345(3200 万个实例)
  • qwerty(2200 万个实例)
  • 密码(2000 万个实例)
  • 12345678(1400 万个实例)
  • 111111(1300 万个实例)
  • 123123(千万个实例)
  • 1234567890(900万个实例)
  • 1234567(900 万个实例)

如果有的话,这表明人们仍然没有学会如何构建强密码,尽管安全和信息技术行业多年来一直试图将这个概念带回家。

在密码数据库中发现的奇怪之处还包括频繁使用名字作为密码——另一个字符串,使用简单的字典几乎可以立即猜出。非常容易猜到的乐队和足球俱乐部的名称也常用于分别与音乐和足球相关的网站和服务。

在过去通常建议混合使用字母、符号和数字的时期之后,这种趋势现在逐渐被不同的密码方法所取代。归根结底,以当前可用的计算能力,在暴力破解密码时唯一重要的是长度。

从这个意义上说,想出一些令人难以置信的复杂字符串,您将很难记住并且可能需要在钱包中保留一张纸,已被替换为选择一个由四个或更多中等长度单词组成的字符串,以提供足够的长度和足够的熵。

从这个意义上说,诸如“L1verpo0lisB3st09$”之类的密码不如对您有意义且您更容易记住的简单短语(例如字符串“GiraffesFeelSadDuringWinter”)安全。

November 17, 2021