口令泄露引發信息安全問題的若干思考

寧波城市職業技術學院 |邊歡強

迅猛發展的互聯網為用戶帶來了極為便利的信息時代。用戶口令在日常辦公、在線購物、社交娛樂以及網絡支付等領域成為鑒別用戶身份的重要手段。用戶口令作為驗證用戶身份的一種信息，事關用戶的信息安全，而口令泄露勢必給用戶帶來經濟乃至身心的危害。

用戶口令為何泄露

用戶口令為何會泄露？又以哪些方式泄露？在筆者看來，造成口令泄露的主要原因包括弱口令的使用、口令的暴力破解和口令威脅等。

用戶弱口令的使用。弱口令是指容易被猜到或者采用窮舉法進行暴力破解難度相對較低的口令，與弱口令對應的往往是口令庫。口令庫收錄的數量越大、口令撞庫幾率越大、口令所含的位或者字符類型越少，那么口令就越弱。常見的弱口令有：連續或重復的數字，如123456、000000；連續或重復的字母，如abcdef、aaasss；特殊日期或年份，如個人生日、201809；鍵盤常見連續按鍵，如qwerty、poilkj；與用戶相關的名稱信息，如公司名稱、姓名縮寫；具有特殊含義的字符串，如1314520、loveyou；其他常用的字符串，如abc123、test等。

口令的暴力破解。暴力破解主要的方法就是對用戶口令采用窮舉法進行匹配破解，理論上所有的用戶口令均能通過暴力破解方法進行遍歷字符組合而破解，區別只是用戶口令復雜度帶來的破解時間差異。常用的暴力破解有Hash破解法、字典攻擊法、查表法、彩虹表等。

口令威脅。口令威脅多指黑客將攻擊代碼植入用戶訪問的網絡載體，實現感染用戶終端目的，嚴重的甚至會導致攻擊對象的IT系統癱瘓。常見的口令威脅包括水坑攻擊和魚叉攻擊。水坑攻擊是指黑客先分析用戶的網絡活動規律，尋找其常訪網站的弱點，攻破其中一個或者多個用戶常訪網站并植入攻擊代碼，待用戶訪問該網站時受感染；魚叉攻擊則指黑客將寫好的攻擊代碼偽裝成電子郵件附件發送至用戶郵箱，并為該攻擊代碼賦予對用戶而言極具誘惑力的名稱，誘使受害者打開附件而感染。兩者共同的特點是用戶在受感染后，用戶口令即被暴露而泄露。

此外，在支付寶、微信支付盛行的當下環境，掃二維碼支付、小額免口令支付等也是口令泄露的方式。

保護口令三板斧

為了提高用戶的口令強度，保障用戶的信息安全，筆者認為，降低口令泄露風險可以從以下3方面著手。

設計高安全強口令。當前用戶的各類賬號具有相關性。用戶在設計強口令時，一是應根據口令的應用場景設計不同安全等級的口令，特別是涉及資金財產、重要個人隱私、公司核心信息等賬戶，嚴格遵循口令復雜度的要求設計高安全度的口令，并避免各類賬戶間、賬戶內不同環節間的口令重復或者關聯使用；二是要科學把握口令的設計技巧，選取與自身系統關聯性較低、攻擊者難以獲取或不易聯想的元素設置口令，避免采用常見數字或字母組合、按鍵位置組合、日期年份等。

增大暴力破解難度。用戶在設置口令時，可充分使用字母、數字、特殊符號、標點符號等進行組合，并在賬號所在系統設置允許范圍內合理增加口令的長度以提高用戶口令的復雜度，提升用戶口令遭暴力破解的難度。據統計，黑客在一臺雙核的普通電腦上運行暴力破解軟件，對用戶口令進行暴力破解，其破解時間因口令的強度不同具有很大差距：6位長的純數字口令，破解時間不到1秒；6位長的由數字、字母大小寫及特殊符號組成的口令，破解時間需要22小時；而8位長的由數字、字母大小寫及特殊符號組成的口令，破解時間則達到23年。

提高日常保密意識。用戶在日常使用信息網絡過程中，應養成良好的上網習慣，合理使用瀏覽器記住用戶賬號和密碼功能，及時清除瀏覽器cookie記錄，避免黑客收集個人各類雜亂無章的數據堆積形成高識別度的個人網絡行為“大數據”，防止成為水坑攻擊對象；另外，可為私人、公司電子郵箱創建合理安全的收信規則，不下載、不點擊、不訪問未知安全的郵件附件、連接，避免遭受魚叉攻擊。