你的root密码是123456,还是admin123,还是password?你不会告诉我,但你的密码可能比你以为的好猜得多。服务器被入侵的案例里,用弱密码被暴力破解的占了一半以上。攻击者用的字典里,前100个密码就能命中大部分弱密码。
今天聊怎么设一个真正安全的密码,以及更重要的——怎么记住它。
先看一个数据
网络安全公司NordPass每年发布“最常用密码排行榜”,123456、password、qwerty年年上榜。这些密码被破解的时间不到1秒。你觉得复杂的P@ssw0rd2024,也在常用变形字典里,破解时间可能不到1分钟。
攻击者不用猜,他们照字典试。
什么是强密码
强密码不是“你觉得复杂”,是“机器觉得难猜”。
不好的密码:
123456、qwerty、admin123password、letmein、welcome- 你的生日、你名字的拼音、手机号
- 键盘顺序:
1qaz2wsx、qwertyuiop
稍微好一点但不安全的:
P@ssw0rd(太常见,在字典里)MyDogIsFluffy!(太长,但仍是完整单词,易被字典命中)
强密码标准:
- 至少12位
- 包含大小写字母、数字、特殊符号
- 不是字典里的单词
- 不是个人信息
- 唯一(不重复用于其他账号)
强密码示例:c8^Vk2$mP9#q。你记不住就对了。
怎么设置强密码
方法一:密码管理器(推荐)
你不需要记住上面的乱码。用一个密码管理器来记。密码管理器是一个加密的密码库,你只需要记住一个“主密码”,密码管理器替你记住其他所有密码。
推荐工具:
- Bitwarden:开源免费,可自托管,跨平台
- 1Password:付费,体验好,家庭共享方便
- KeePass:本地存储,不用云,极客向
- Apple钥匙串/Google密码管理器:系统自带,够用
用法:安装Bitwarden,设一个高强度的主密码(记在心里)。然后让工具生成随机密码:16位、大小写+数字+符号。把生成的密码交给密码管理器存储。登录服务器时,复制粘贴,不用背。
反常识点:用密码管理器比你自己记所有密码更安全。因为你可以为每个账号设独立的高强度随机密码,一个泄露不影响其他。
方法二:短语法
不想用密码管理器,用短语造一个自己能记住的长密码。选一句只有你知道的话,取首字母。
“我2018年在上海租的房子月租3500元” → W2018nSzhdzfz3500y
长度够长,不容易被字典命中,你自己能想起来。
方法三:服务器生成随机密码
bash
# 生成16位随机密码 openssl rand -base64 12
或
bash
date | md5sum | cut -c 1-16
把生成的密码存在密码管理器里。
安全存储:密码本不在明处
设了强密码,但写在便利贴上贴在显示器旁边,或者存在电脑桌面的passwords.txt里,等于没设。
不好的存储习惯:
- 写在纸上放桌上(物理泄漏)
- 存文本文件放桌面(任何程序都能读)
- 微信/钉钉发给自己(明文存储,能搜索到)
- 多个账号用同一个密码(一破全破)
好的存储习惯:
- 用密码管理器(加密存储)
- 主密码足够强且只记在心里
- 开启密码管理器的双因素认证
- 定期更换关键密码(如root、数据库)
- 重要密码写在纸上锁保险柜(真的离线,不会被黑)
不同场景的密码策略
| 场景 | 密码强度要求 | 更换频率 | 存储方式 |
|---|---|---|---|
| 个人电脑登录 | 12位+ | 每半年 | 记在脑子 |
| 服务器root | 16位+随机 | 每季度 | 密码管理器 |
| 数据库密码 | 16位+随机 | 每季度 | 密码管理器 |
| 云厂商控制台 | 12位+ | 每半年 | 密码管理器+双因素 |
| 公司WiFi | 10位+ | 每年 | 贴公告栏(物理) |
| 测试环境 | 8位+ | 不限 | 团队共享密码库 |
补充措施:双因素认证(2FA)
强密码不是万能的。密码可能被钓鱼、被键盘记录器窃取。双因素认证需要密码+第二因子(手机验证码、硬件密钥)。即使密码泄露,没有第二因子也进不来。
支持2FA的服务:GitHub、Google、云厂商控制台、SSH(通过Google Authenticator PAM模块)。强制开启。
真实案例
一家创业公司,所有服务器用同一个密码:MyCompany2024。某天一个员工的个人GitHub仓库被黑(弱密码),黑客从仓库配置里找到了服务器密码,登录所有服务器,删库跑路。恢复花了一周,客户流失20%。
事后分析:如果每台服务器用不同密码,如果密码不是从配置文件里明文存放,攻击链可能被切断。
另一家公司的运维把密码存在在线笔记里,笔记账号被社工,密码全泄露。
用密码管理器,把密码存在加密库里,攻击者拿到文本文件也没用。
最后一句
强密码不是让你记的,是让你用密码管理器记的。你只需要记一个主密码。
今天去做三件事:
- 安装Bitwarden(免费的)
- 把你的服务器密码换成16位随机字符串
- 重要账号开启双因素认证
密码是你服务器的第一道门。你的门锁配得上里面放的东西吗?