整个星期，亲朋好友都问我是否听说过有关最常用密码的故事。这是一个拥有大量媒体报道的故事(包括eWEEK)。故事的要旨是“ 123456”现在是最常用的弱密码，超过了“密码”一词的使用。

尽管该故事可以笑一两声，但我认为密码“ 123456”根本不是问题。实际上，我可以像其他任何密码一样安全或不安全地使用该密码。我知道您在想什么，不，我并不疯狂。请允许我解释一下。

如今，黑客通常不会手动访问网站或服务并输入“ 123456”之类的密码来获得访问权限;攻击并非如此。现代黑客(和安全研究方面的笔测试者)使用自动化工具，通常包括字典型密码破解工具。这些工具将以字典中的每个单词组合(例如，英语中的每个单词)命中给定的网站登录表单。因此，无论您选择“ 123456”还是“ dog”一词，它都一样容易破解。

更进一步，即使您拥有世界上最复杂的密码并以明文方式传输(即不受安全套接字层或SSL加密保护)，攻击者也可以轻松地从网络上窃取该密码。 。如果您的密码以明文形式存储在设备或应用程序中，则您没有机会，因为能够访问站点，数据库或应用程序的攻击者可以简单地“读取”密码。

仅使用一个密码即可访问站点，无论是“ 123456”还是可以想象的最复杂的密码，这都是不够的，因为在所有情况下，它仍然是单点故障和弱点。

必须进行双重身份验证，这要求用户具有第二个密码-通常必须通过短消息服务(SMS)自动生成和发送，该消息已在当今许多流行的网站和服务(包括Gmail和Twitter)上使用。

尽管我不建议这样做，但是您可能需要在需要两因素身份验证并避免被利用的站点上使用密码“ 123456”。简而言之，攻击者仍然可以输入您的“ 123456”密码，但是如果没有第二个因素，他们仍然无法访问。

关于弱密码的另一个有趣的事情是责任。我绝对不是在提倡任何人都使用弱而容易猜到的密码，但是我一直认为服务器和网络管理员有责任保护用户自己。因此，网站和服务应实施严格的密码策略。这意味着策略首先不允许用户选择“ 123456”作为其密码。

我的主要观点是，密码不应成为您生活赖以生存的关键。还应该有其他层，包括加密和两因素身份验证。

作为IT专业人员，我们有责任保护用户并确保密码“ 123456”不是我们安全中的薄弱环节。