你的密码有多脆弱？

 今年5月曝出的LinkedIn（1.64亿个账户）和MySpace（3.60亿个账户）泄密事件令上述两起泄密事件（据估计泄密账户分别达3000万至4000万左右）相形见绌。

密码对黑客很有价值，这表现在两种间接的方式上。首先，多数人（根据一些估计约为60%）会重复使用密码。这意味着，一个网站的登录细节可能会在更有价值的网站上使用：例如金融账户或人们的工作。结合从零售商获取的以前的地址以及从雅虎或Facebook获取的生日日期，这些密码可能会被用来骗贷。

其次，这些数据集合可以加入包括正规词典、数万册书和维基百科(Wikipedia)全部内容的“字典”，可以用来破解密码。

如果你在想：“我可能会使用同样的基础密码，但会在不同网站稍作改动”，好吧，这里有一份研究论文给你看。来自伊利诺伊大学香槟分校(University of Illinois at Urbana-Champaign‎)和其他机构的研究人员考察了人们常常会做出的过分简单的改动。利用来自不同网站泄密的同一用户的密码，他们能够在100次或更少次尝试后猜出近三分之一更改后的密码。常见的更改包括后面加2到3个字符。键盘顺序变化、大小写变动以及“黑客文”（例如，把S变成$）也很常见。

不幸的是，密码强度检测工具帮助不大，因为它们低估了黑客对用户习惯的了解。

在理想世界中，网站所有者会增强网站安全以保护用户。但如果它们的客户使用不安全密码，或在另一个不那么安全的网站重复使用高强度的密码，它们能做的也就很有限了。

然而，还是有一些可喜的事情。宾夕法尼亚州的大学研究人员测试了人们能否准确识别一对密码中更安全的密码，在这里，安全是指利用破解密码工具的“可猜测性”。参与者的表现非常好，他们认识到密码中间加入大写字母、数字和符号会更安全，同时要避免使用名字。

然而，他们也高估了后缀数字的用处，他们不正确地认为“astley123”比“astleyabc”更安全。前者更容易破解，因为后缀数字模式很普遍，这就是“Poppy”名字后面加上数字的问题。

参与者还“低估了根据常见的键盘模式和常见短语设置密码的糟糕安全性”。他们错误地认为“iloveyou88”比“ieatkale88”（坦率的来说，这似乎是一个不错的狗狗名字）更安全。

研究人员总结称，这些误解以及不安全的密码选择，一般来自于对潜在攻击风险的低估和对某些密码设置方法的普遍性和危险性缺乏认识。他们指出，这并不意外，因为我们不会经常看到别人的密码。不幸的是，黑客会经常看到。