设置密码的10大规律和5个习惯
2023-4-2 08:10:9 Author: 系统安全运维(查看原文) 阅读量:16 收藏

很早之前看到的这篇文章,感觉写的非常好就收藏了,原文链接已经挂了,所以就不贴了,本文搜集整理自网络,版权归原作者所有,如有侵权请联系删除。

密码规律和习惯

规律一:

绝大多数人都高估了破译密码的难度和低估了自己密码存在的风险,因而,往往把能够破解密码的人当成神秘人物,同时基本很少有修改自己密码的习惯。

规律二:

绝大多数人一生常用的密码通常不会超过3个,如果你破解了某人的QQ密码,很可能你也破解了他的论坛密码、邮箱密码、游戏账号密码,在以往的社工案例中经常看到。

规律三:

从性别上看,男性的密码比女性的要更加难破;从年龄层面上看,年轻人的密码比35岁以上的人群的密码更加难破;从受教育层度上看,大专以上学历的人群相对于以下学历人群,密码破解难度更大,且大专、本科、硕士学历的人群密码破解难度基本上没有什么区别;从专业角度上看,理科生的密码比起文科生要难破一些,计算机相关专业的学生密码破解难度最大。

规律四:

绝大多数人的密码,基本上都是有确定含义的,随机乱码组成的密码极度罕见(应该说我从来没有遇到过,不过如果是这种密码,我这种基于心理的思路,可以确定毫无办法)。

规律五:

大多数人的密码要么纯粹用数字组成,要么纯粹用小写字母组成,要么用数字加字母组成,只有很少人会采用下划线、特殊字符,极少数的人字母区分大小写,最近几年已经好多了,强制要求密码强度。

规律六:

密码所采用的字母中,很多都是姓名拼音、名字拼音的全部或首字母缩写,某一图腾的英文单词(通常是名词),图腾的含义后面会提到,某一单位名的首字母缩写,以及某一地名的拼音或英文及其缩写等。

规律七:

密码所采用的数字中,很多有关日期,且该日期对密码所有人拥有极其重要的意义,如最为常见的出生年月日,还有很多与地名和电话号码、身份证等有关。

规律八:

使用下划线的密码,下划线通常只出现一次,一般这类密码的主人密码保护意识很强,其密码往往还包含数字和字母,这种密码的下划线的位置通常处在数字和字母的分隔处;字母区分大小写的密码,大写通常只出现一次,并且很多时候都出现在密码的开头,极少数出现在结尾。

规律九:

除非所登录系统有严格的位数限制,否则密码的位数通常是8位到11位,7位以下的密码和12位以上的密码较为少见。

规律十:

公共网络的密码通常很少包含个人信息,大多数是单位名称的全部或某一部分的中文或英文全称,或者英文或拼音的首字母缩写,外加拥有特定含义的数字,这种数字通常是电话号码或者门牌号,另外,有些密码是上述特定字母或其缩写的简单重复,如:12341234abcabcabc;个人密码则很少出现上述简单重复的情况。

一、惰性

从上述很多条规律都可以看出人或多或少存在惰性,比如很少人会定期修改密码;再如很少人密码会区分大小写,因为这样的话必须进行至少一次大小写切换;再如各种不同账号使用同一密码都是人存在惰性的有力证明。

二、自我意识

很多时候体现在使用名字的密码上,通常,自我意识较为强烈的人,很看重自己的名号或者名誉,因而,其密码一旦使用自己的名字,往往就是名字的全拼, 较少使用缩写,更不会省略自己的姓氏,另外,这类人也有很大一部分使用的是某一图腾的英文单词,例如某人非常崇拜某一偶像,那么,这个偶像就是他的图腾, 其密码很有可能与这个图腾有关。

三、自我保护意识

从公用密码很少包含个人信息这一点很容易印证自我保护的问题,一般来说,当某一网管或其他特定工作性质的人需要为某公用账号设置密码时,首先需要考虑的是密码易为别人所理解和记忆,然而,一个人在考虑秘密之类的东西时,首先联想的是他自己身上的东西,由于这些东西涉及其个人隐私,因而很容易被他的潜意识所排除。

四、爱与责任感

不少人的密码会使用伴侣和孩子的姓名或生日、结婚纪念日、自己公司成立日期等诸如此类的信息,这很明显地体现了爱和责任感。

五、完美主义倾向

完美主义倾向在密码中主要体现在对称与平衡上面,这从名字加日期的组合式密码和带下划线的密码可以很容易看出来,例如,某人叫做张三,生日是1980年1 月1日,那么,如果采用前者,其密码往往是zhangsan19800101或者zhangsan8011,不大可能设置成 z1h9a8n0g0s0a1n01这种类型;

如果使用下划线密码,则很大可能会采用

zhangsan_19800101或者 zhang_san_19800101,不大可能采用_zhangsan19800101或者z_hangsan19800101这种类型。

文章来源:潇湘信安

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247519238&idx=2&sn=0cc977abd5ea94adadfd0ceaae64bd00&chksm=c3085f76f47fd660912323e5e002bb5ca120ce64b7fa68c51bc705b2c5e3ae97b29c4b433e3d#rd
如有侵权请联系:admin#unsafe.sh