你的密码为什么不安全

password.jpg

我们常说的“密码”，在信息安全领域中实际上叫做“口令”（对应英文是password或passcode）。“密码”这个词来自于密码学，是
研究加密、解密的学问，最早可以追溯到古代军事领域对信息的保护，不夸张的说，密码学是信息安全的基石。

为了方便阅读，照顾大家的习惯，这里就用“密码”这个词。

密码安全是个老生常谈的话题，无论是个人还是企业的信息安全事件中，因密码导致的安全事件层出不穷。

其实密码安全问题不难解决，为什么还常出问题呢？有三方面原因：

第一，从个人角度看，弱密码很普遍。

用户怕麻烦不愿意设置复杂密码，因为一旦忘记密码要找回非常麻烦（实际上，强密码也可以很好记，先留个坑，以后写如何设好记又安全的密码），多数人也想当然认为安全问题不会发生在自己身上，即便是一些具备安全技能的系统管理员同样也常使用弱密码，不管你的系统通过了等保三级、四级，或是各种安全设备和加固措施一应俱全，黑客从弱密码这一点就能很容易的突破防线；

第二，从软件技术和产品设计角度看，相当多的软件系统在密码安全方面很欠缺。

比如密码不加密直接存到数据库、或只做标准Hash不加Salt保存、在网络上明文传输、缺少用户密码强度要求等；

第三，从黑客的角度看，针对密码的攻击和入侵方便快捷、容易得逞。

网络中有大量直接可用的工具和各种库，比如社工库、弱密码库、彩虹表（Rainbow Table）等等。

保障密码安全，需要把前面两个方面做好，第三个方面我们无法控制，但是做好前两个方面，就能给黑客提高破解密码的难度。