当我们谈论弱密码时，我们在谈论什么？

（时间：2017.12.14）

如果密码会说话，它肯定会说自己鸭梨山大。

密码：快被玩坏了

最近几年，国内就发生了多起令人震惊的安全事件。一面，我们不遗余力地用密码保护属于自己的领域，不让外人随意进入；另一面，在利益的驱动下，密码成为黑客绝不会放过的猎物：得到密码，往往也意味着得到了控制权和利益。密码，注定成为黑客和白帽子的必争之地。

当我们设置弱密码的时，我们在设置什么

互联网江湖虽然险恶，但我们并非只能坐等黑客上门。常在江湖漂，可以不挨刀，当然，前提是你得练好内功：提高自身的安全意识。

下面就以华为云帮助用户处理的各类弱密码事件为材料，来分析云上用户在设置弱密码时是在设置什么，避免重蹈弱密码的坑。每次扫描出的密码，云安全部都会通知对应的用户进行修改。

坑一：密码中包含常用词汇

有不少用户在设置密码时使用了时间年份、123456、123！、公司名称、admin、root等常用词汇，这些词汇要嘛是常用和简单到不知道怎么描述，要嘛是所在部门的简称。这其中使用最多的词汇是公司名，在545个弱密码中包含公司名的占了236个，看来用户们对工作真是爱得深沉啊。

坑二：使用具有键盘特征的词汇

所谓具有键盘特征，就是看着像手滑产生的词汇，比如1qaz、wsx、qwe这类，小手在键盘上45°或直线一扫就能产生。虽然看着是很“随机”，看着也不“弱”，但要知道，这类密码因为具有的特征太明显，一点也不比123、456之类的词汇更安全。

坑三：账号密码相同

这类弱密码很容易攻破，因为只要猜对账号密码中的任何一个，就获得了账号权限，相当于减轻了攻击者一半的猜解难度，如账号test，密码也是test；oracle oracle；nagios nagios；zabbix zabbix等等。

坑四：使用被黑客破解过的密码

被黑客破解过的密码实在是多不可数，很难有一个明确的界定，之所以把这类密码专门列一项，是因为这类密码是最容易被忽视的，因为它看起来根本一点都不“弱”，为什么安全用户还是把它列为弱密码？

比如有用户问，我的密码是“公司名@xxx”、“1qazxxx.”，明明要数字有数字，要字母有字母，要特殊符号有特殊符号，怎么看都是个“强”密码，符合安全原则，为什么还要我修改？

这类密码，从强度来说，是符合一般的密码要求的。但问题在于，这类密码被黑客破解过，形成了所谓的“破解库”。用这个库来猜解密码，就有较大的概率破解出来。就好比，小明收集了很多把钥匙，这些钥匙有一把曾经打开过小红的保险柜，韩梅梅使用的钥匙和小红的是一样的，请问小明打开韩梅梅的保险柜的概率大不大？当然大。

华为云安全作为华为云的安全部门，每月都检测到数以万计地针对华为云的扫描。在关注业界安全动态的过程中，如果收集到新的黑客破解的密码库，云安全扫描出云上用户使用的密码是否在库中，如扫出，无论这个密码看着是强还是弱，都应视作弱密码，因为它已经具有了潜在的安全隐患。此时云安全会通知用户进行密码修改。

拿什么拯救你，我的密码

如何保障云主机的账号密码安全？用华为云提供的“密钥对”方式登录，是个既好，又快的方法，这种登录方式，在亚马逊的AWS、微软的Azure上都是默认启用的。

1. 原理

一个密钥对，分为公钥和私钥。“密钥对登录”，就是在主机创建时或创建后，将密钥对的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录shell，不再要求输入密码。

2. 优势

1)   安全，密码不通过网络传输，密钥对使用的加密算法安全性极高，可防止主机被暴力破解。

2)   方便，一次配置可以免去每次登录输密码的繁琐。

3. 操作指导

这里通过Xshell工具来进行演示密钥登录主机。（注：Xshell工具比较方便，可百度搜索下载。）

1)   创建密钥对：进入云服务器控制台的密钥对界面，创建一条密钥KeyPair-73b1，同时系统自动给你推送私钥（私钥需要保存好，不能丢失，否则主机就无法登录）。

2)   创建云弹性主机，设置密钥对登录。

3)   将生成的私钥，导入Xshell中

4)   检测创建好的弹性云主机的配置，如弹性IP地址、密钥对和安全组设置等。

l  ）检查云主机的EIP地址和密钥对。

2）检查云主机的安全组，这里采用了默认安全组，实际使用时，应该将安全组的权限控制最小化。

5)   通过xShell采用密钥登录主机

1)创建登录链接配置，输入云主机弹性IP地址，保存。

2)创建链接登录后，选择并登录，在弹出框中输入root账号

3) 配置密钥，并还可以在Xshell中加入密码设置，防止你电脑上Xshell中的这个登录链接被人利用，并勾上记住密码，这里密码可为空。

 4)点击确定后，即可登录云主机。

总之

云主机被暴力破解是主机安全的头号敌人，通过秘钥对登录可以大大提高主机安全，防止被黑客利用。这里只讲了新建云主机通过密钥登录的场景，新建ECS的用户都可以借鉴采用。至于已经创建的云主机，用户也可以通过第3方工具创建密钥，再讲密钥上传主机并进行配置好，再通过Xshell等工具进行登录，原理一样，具体可以百度。下次再深度为大家讲解，敬请期待。

密码如此重要，怎么重视都不过分。希望大家对待工作密码比如邮箱密码、系统密码，也能像对待支付宝密码一样：想想如果这个密码作为你的支付宝密码，它够安全吗？如果不够，该怎么做？