近日，密码管理单机爱游戏ayx NordPass 发布了 2024 年全球各个国家最常用的密码名单，结果显示用户仍在使用众所周知的弱密码。统计数据显示，今年国内最常见的密码是“123456”；第二个和第三个最常见的密码同样如此，分别为“admin″和“111111。

下图是中国区最常见的密码设置

说实话，有点搞笑

目前绝大部分网站对于注册账号的密码强度分为3个等级：弱密码、中密码、强密码。大部分网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。

在中文语境下，大家印象中的比较安全的密码可能是：

• 化学方程式：CH4+2O2=CO2+2H2O
• 键盘顺序法：1qaz@WSX
• 名字+生日：cxk20011010
• 网站地址+特定数字：xiaoheih123

美国国家标准和技术协会（下文简称NIST）曾经撰写了一份名为NIST Special Publication 800-63的文档，建议大家设置密码时混合大写字母、字符和数字，并定期修改。目前大部分网站的账号密码，也是这样要求的。

但是很快，NIST提供的最新数字身份指南的新版草案中，不再推荐用户使用这一标准，因为研究显示此类标准，并没有什么卵用，由于计算机算力的提升，结合密码本破解，这种程度的密码已经无法防御住拥有超强算力的黑客组织了。

另外研究显示，频繁的更改密码没有预想的效果，达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下，比如 Pa55word!1 改为 Pa55word!2，完全起不到保护作用，很容易被猜出。

Authenticator

所以，如果你下载微软开发的双重验证单机爱游戏ayxAuthenticator，他会给你生成很多非常复杂的登录口令：

所谓的强密码

真正重要的是它的多重验证功能(MFA)我们常说的手机令牌就是MFA之一，一个安全的账号不能只依赖于复杂的密码，而应该有多重验证，比如手机验证码（虽然伪基站可以做中间人攻击，），手机令牌或者IP限定访问。

多重验证流程

很多人可能会反驳我，steam有手机令牌，为什么还会被盗号，这个我之前的文章中讲过，主要原因是Steam会在用户电脑里存储授权文件，该文件被木马上传到了盗号服务器，才是被盗号的根源所在。本质还是steam身份认证有设计缺陷。

所以NSIT给出的一个建议是企业或者网站应该使用自适应多重身份验证，即通过使用上下文用户信息来动态增加或减少用户身份验证步骤，例如：失败登录的尝试次数，用户的地理位置，地理速度或连续登录尝试之间的物理距离，用于登录的设备，源 IP 地址，同时对存储的密码盐化哈希 MAC 处理。所以说责任在企业，面对有备而来的黑客，个人其实能做的并不多。

不管即使研究表明复杂密码并面对盗号者表现并没有那么好，但是仍要避免使用纯数字/字母的短密码，以及带有明显规律的构造密码（如网站名+123），来降低被强力攻击的风险。

参考

1.知乎：强密码和弱密码并没有什么区别？NIST密码安全标准更新：不再建议密码要求混合大写字母、字符和数字

2.norfpass2024最受欢迎密码

3.微软：大部分密码复杂性努力都是徒劳的