宁波城市职业技术学院 |边欢强

迅猛发展的互联网为用户带来了极为便利的信息时代。用户口令在日常办公、在线购物、社交娱乐以及网络支付等领域成为鉴别用户身份的重要手段。用户口令作为验证用户身份的一种信息，事关用户的信息安全，而口令泄露势必给用户带来经济乃至身心的危害。

用户口令为何泄露

用户口令为何会泄露？又以哪些方式泄露？在笔者看来，造成口令泄露的主要原因包括弱口令的使用、口令的暴力破解和口令威胁等。

用户弱口令的使用。弱口令是指容易被猜到或者采用穷举法进行暴力破解难度相对较低的口令，与弱口令对应的往往是口令库。口令库收录的数量越大、口令撞库几率越大、口令所含的位或者字符类型越少，那么口令就越弱。常见的弱口令有：连续或重复的数字，如123456、000000；连续或重复的字母，如abcdef、aaasss；特殊日期或年份，如个人生日、201809；键盘常见连续按键，如qwerty、poilkj；与用户相关的名称信息，如公司名称、姓名缩写；具有特殊含义的字符串，如1314520、loveyou；其他常用的字符串，如abc123、test等。

口令的暴力破解。暴力破解主要的方法就是对用户口令采用穷举法进行匹配破解，理论上所有的用户口令均能通过暴力破解方法进行遍历字符组合而破解，区别只是用户口令复杂度带来的破解时间差异。常用的暴力破解有Hash破解法、字典攻击法、查表法、彩虹表等。

口令威胁。口令威胁多指黑客将攻击代码植入用户访问的网络载体，实现感染用户终端目的，严重的甚至会导致攻击对象的IT系统瘫痪。常见的口令威胁包括水坑攻击和鱼叉攻击。水坑攻击是指黑客先分析用户的网络活动规律，寻找其常访网站的弱点，攻破其中一个或者多个用户常访网站并植入攻击代码，待用户访问该网站时受感染；鱼叉攻击则指黑客将写好的攻击代码伪装成电子邮件附件发送至用户邮箱，并为该攻击代码赋予对用户而言极具诱惑力的名称，诱使受害者打开附件而感染。两者共同的特点是用户在受感染后，用户口令即被暴露而泄露。

此外，在支付宝、微信支付盛行的当下环境，扫二维码支付、小额免口令支付等也是口令泄露的方式。

保护口令三板斧

为了提高用户的口令强度，保障用户的信息安全，笔者认为，降低口令泄露风险可以从以下3方面着手。

设计高安全强口令。当前用户的各类账号具有相关性。用户在设计强口令时，一是应根据口令的应用场景设计不同安全等级的口令，特别是涉及资金财产、重要个人隐私、公司核心信息等账户，严格遵循口令复杂度的要求设计高安全度的口令，并避免各类账户间、账户内不同环节间的口令重复或者关联使用；二是要科学把握口令的设计技巧，选取与自身系统关联性较低、攻击者难以获取或不易联想的元素设置口令，避免采用常见数字或字母组合、按键位置组合、日期年份等。

增大暴力破解难度。用户在设置口令时，可充分使用字母、数字、特殊符号、标点符号等进行组合，并在账号所在系统设置允许范围内合理增加口令的长度以提高用户口令的复杂度，提升用户口令遭暴力破解的难度。据统计，黑客在一台双核的普通电脑上运行暴力破解软件，对用户口令进行暴力破解，其破解时间因口令的强度不同具有很大差距：6位长的纯数字口令，破解时间不到1秒；6位长的由数字、字母大小写及特殊符号组成的口令，破解时间需要22小时；而8位长的由数字、字母大小写及特殊符号组成的口令，破解时间则达到23年。

提高日常保密意识。用户在日常使用信息网络过程中，应养成良好的上网习惯，合理使用浏览器记住用户账号和密码功能，及时清除浏览器cookie记录，避免黑客收集个人各类杂乱无章的数据堆积形成高识别度的个人网络行为“大数据”，防止成为水坑攻击对象；另外，可为私人、公司电子邮箱创建合理安全的收信规则，不下载、不点击、不访问未知安全的邮件附件、连接，避免遭受鱼叉攻击。