网络安全-弱口令

一、弱口令的定义与危害

（一）定义

弱口令是指安全性极低、易被猜测或破解的密码，常见类型包括简单数字组合（如123456）、默认密码（如admin/admin）、个人信息组合（如姓名+生日）等，易被黑客通过暴力破解、字典攻击等手段突破。

（二）核心危害

1. 账号被盗风险：黑客可快速破解弱口令登录账号，窃取个人信息、商业机密等敏感数据。

2. 系统被入侵：设备或服务器使用弱口令易被控制，可能植入恶意程序，导致系统瘫痪或沦为攻击跳板。

3. 数据泄露与滥用：被盗账号可能用于发送诈骗信息、泄露内部数据，引发名誉损失和法律风险。

4. 连锁安全隐患：跨平台复用密码时，一个账号被盗可能导致全平台账号连锁失窃。

二、弱口令的判定标准（禁止使用以下类型密码）

1. 简单字符组合：纯数字（123456）、纯字母（admin）、简单混合（123abc）等。

2. 默认/初始密码：设备出厂默认密码（路由器admin/admin）、平台初始密码未修改。

3. 关联敏感信息：包含账号名、生日、手机号、姓名等（如zhangsan123、19900101）。

4. 常见弱口令：黑客字典库收录的密码（password、qwerty）。

5. 短长度/重复字符：长度不足8位，或含连续（123456）、重复（aaaaaa）字符。

三、强口令的设置要求

（一）基础设置规范

1. 长度要求：普通账号≥8位，业务系统管理员、核心系统等关键账号≥12位。

2. 复杂度要求：至少包含“数字+大小写字母+特殊符号”三类（推荐四类），示例： Bc4K6$%^、Df89&KjL23、Gh01*QwE45、Ji34#TyU67。同时可通过“生活化联想”构建好记又安全的强口令，具体示例和方法如下：
（1）短语缩写改造法（最推荐，好记且不易破解）：提取熟悉短语的首字母/关键字，穿插数字、特殊符号和大小写

- 实例1：短语“我2023年在上海看了演唱会！”→ 提取关键字+改造：Wo2023@Sh#Yan！（首字拼音+年份+城市缩写+事件关键字，穿插特殊符号）

- 实例2：短语“每天早上8点喝一杯咖啡”→ 改造：MeiTian8#Kf@1Cup（拼音首字+时间+事件缩写，混合大小写与符号）

（2）熟悉事物变形法：以姓名、生日等熟悉信息为基础，进行“反转+替换+加符号”改造（避免直接使用原信息）

- 实例1：生日“19980520”→ 改造：2050@9819#Li（反转日期+姓名首字母+符号，完全规避原生日格式）

- 实例2：姓名“张三”→ 改造：Zhang@San#66（拼音+符号+随机数字，不直接使用“zhangsan”）

（3）数字符号谐音法：用谐音将数字、符号融入熟悉词汇，降低记忆难度

- 实例1：“我爱工作520”→ 改造：WoAiGz@520#（拼音+谐音数字+符号）

- 实例2：“发财暴富888”→ 改造：FaCai$BaoFu8#（拼音+符号替换“发”+数字）

记忆技巧：无需死记硬背，记住“核心短语/事物+固定改造逻辑”即可，比如固定用“@”分隔前后部分、用“#”结尾，后续只需替换核心信息，形成个人专属密码公式。

3. 唯一性要求：不同平台/账号使用不同密码，禁止跨平台复用。

4. 时效性要求：普通账号每90天更换，关键账号每60天更换，近3次密码不重复。

5. 禁用敏感信息：不包含姓名、生日等个人信息，不使用常见词语、英文单词。