常见口令漏洞及其安全建议

---

弱口令、同口令和默认口令问题一直是政企单位安全管理的痛点和难点，一旦政企单位用户的账号口令泄露或被破解，将导致大量内部信息泄露。

弱口令

弱口令定义

弱口令通俗来讲就是口令太简单，容易被别人猜到或被破解工具破解的口令，如仅包含简单数字或字母的口令，“123456”、“abcde”等，这种口令很容易被别人破解，存在相当大的安全隐患，会给黑客留下可乘之机，因此不推荐用户使用。

弱口令也是分场景的，对于IT管理员来说，他们喜欢用admin，88888，admin123，test，root，root123这样的弱口令。对于互联网用户来说，用户喜欢使用qwerty，qazwsx123，这种键盘的特殊位置字母构成的弱口令。除此之外，生日、姓名这些组合成的口令也是用户喜欢使用的弱口令。

弱口令原因

弱口令的产生主要是因为用户没有安全意识，用户认为不会有人猜到他们的口令。不过也实在是因为现在的互联网产品越来越多，当我们要去使用它们的时候，不得不注册一个新的账户，那么用户为了方便记忆，当然会优先使用好记忆的口令。这样就大大提高了弱口令出现的概率。

弱口令类型

1、连续或重复的数字，如123123、123456、987654、111111、222333等；
2、连续或重复的字母，如aaa、abc、abcdef、zyx等；
3、键盘上常见的连续按键，如：1qaz@wsx、qwert、asdfghjkl;、！@#、147258369（数字键盘）等；
4、日期或年份，如800128（生日）、2012、19251120等；
5、与用户相关的名称信息，如newdoone（公司名称）、shaoyuanming（姓名全拼）、sym（姓名缩写）、oa（产品名称）、admin（用户名）、手机号等；
6、具有特殊含义的字符串，如520、1314、woaini；
7、其他常用的字符串：root、abc123！、administrator、test等。
以上元素被许多人用来构成好记的口令，而攻击者也会使用上述素材相互组合来生成弱口令字典。如newdoone123（公司名称+连续数字）、abc!@#（连续字母+键盘按键）、asdf520（键盘按键+特殊含义字符）、shaoyuanming2012（用户名+年份）等，符合上述规律的都可以认为是弱口令。

弱口令建议

使用相对安全的口令，防止口令被穷举或字典法猜出，还应加强口令安全。主要措施如下：
(1)口令长度不小于16位，并应包含大写/小写字母，数字和其他字符，并且不包含全部或部分的用户账号名；
(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令；
(3)不要在不同的系统上使用相同的口令；
(4)定期或不定期地修改口令；
(5)使用口令设置工具生成健壮的口令；
(6)对用户设置的口令进行检测，及时发现弱口令；
(7)限制某些网络服务的登录次数，防止远程猜测、字典法、穷举法等攻击。
另外还需加强员工安全意识培训，登录口令，如系统/管理后台等最好升级为双因子认证方式。

用户名字典

zhangwei
wangwei
wangfang
liwei
lina
zhangmin
lijing
wangjing
liuwei
wangxiuying
zhangli
lixiuying
wangli
zhangjing
zhangxiuying
liqiang
wangmin
limin
wanglei
liuyang
wangyan
wangyong
lijun
zhangyong
lijie
zhangjie
zhanglei
wangqiang
lijuan
wangjun
zhangyan
zhangtao
wangtao
liyan
wangchao
liming
liyong
wangjuan
liujie
liumin
lixia
lili
zhangjun
wangjie
zhangqiang
wangxiulan
wanggang
wangping
liufang
liuyan
liujun
liping
wanghui
chenjing
liuyong
liling
liguiying
wangdan
ligang
lidan
wangpeng
liutao
chenwei
zhanghua
liujing
litao
wangguiying
zhangxiulan
lihong
lichao
liuli
zhangguiying
wangyulan
zhangpeng
lixiulan
zhangchao
wangling
zhangling
lihua
wangfei
zhangyulan
wangguilan
wangying
liuqiang
chenxiuying
liying
lihui
limei
chenyong
wangxin
lifang
zhangguilan
libo
yangyong
wangxia
liguilan
wangbin
lipeng
zhangping
zhanghui
zhangyu
liujuan
libin
wanghao
chenjie
wangkai
chenli
chenmin
wangxiuzhen
liyulan
liuxiuying
zhangbo
liuguiying
yangxiuying
zhangying
yangli
zhangjian
lijun4
wangbo
zhanghong
liudan
lixin
yangjing
liuchao
zhangjuan
yangfan
liuying
lixue
lixiuzhen
zhangxin
wangjian
liuyulan
liuhui
liubo
zhanghao
zhangming
chenyan
zhangxia
yangjie
wangshuai
wangxue
yangjun
zhangxu
liugang
wanghua
yangmin
wangning
lining
liuguilan
liubin
wangting
chentao
wangyumei
wangna
zhangbin
chenlong
lilin
wangyuzhen
zhangfengying
wanghong
lifengying
yangyang
liting
wanglin
chenying
chenjun
liuxia
chenhao
zhangkai
chenfang
zhangting
yangtao
yangbo
chenhong
liuhuan
wangyuying
chenjuan
chengang
zhanglin
zhangna
zhangyumei
wangfengying
zhangyuying
lihongmei
liujia
liulei
zhangqian
liupeng
wangxu
zhangxue
liyang
zhangxiuzhen
wangmei
wangjianhua
liyumei
liuping
yangmei
lifei
wangliang
lilei
lijianhua
wangyu
chenling
zhangjianhua
liuxin
wangqian
zhangshuai
lijian
chenlin
chenqiang
zhaojing
wangcheng
zhangyuzhen
chenchao
chenliang
liuna
wangqin
zhanglanying
liuchang
liqian
yangyan
zhangliang
liyun
zhangqin
wanglanying
liyuzhen
chenguiying
yangchao
zhangmei
chenping
liuhong
zhaowei
zhangyun
zhangning
yanglin
gaofeng
wangjianguo
chenhua
yanghua
wangjianjun
yangliu
wangshuzhen
yangfang
lichunmei
wanghaiyan
liuling
chenchen
wanghuan
lidongmei
zhanglong
chenbo
chenlei
wangyun
wangfeng
wangxiurong
wangrui
liqin
liguizhen
chenpeng
liufei
wangxiuyun
chenming
wangguirong
lihao
wangzhiqiang
zhangdan
lifeng
zhanghongmei
liufengying
liyuying
wangxiumei
lijia
wanglijuan
chenhui
zhangtingting
zhangfang
wangtingting
wangyuhua
zhangjianguo
lilanying
wangguizhen
lixiumei
chenyulan
chenxia
liukai
zhangyuhua
liuyumei
liuhua
libing
wangdong
lijianjun
liuyuzhen
lijianguo
yangwei
liguirong
wanglong
liuting
chenxiulan
zhangjianjun
lixiurong
liuming
zhoumin
zhangxiumei
lixuemei
huangwei
zhanghaiyan
wangshulan
lizhiqiang
yanglei
litingting
zhangxiurong
liujianhua
wanglili
zhaomin
chenyun
lihaiyan
zhangguirong
likai
zhangfeng
liuxiulan
zhangzhiqiang
lilong
lixiuyun
lixiufang
lishuai
liuyun
zhanglili
zhangxiuyun
wangshuying
wangchunmei
wanghongmei
chenbin
liyuhua
liguifang
chenfei
liuhao
huangxiuying
liuyuying
lishuzhen
huangyong
zhouwei
wangxiufang
wanglihua
wangdandan
wangguixiang
wangkun
lixiang
zhangrui
zhangguizhen
wangshuhua
liushuai
zhangfei
zhangxiufang
wangyang
zhangguifang
zhanglijuan
wangrong
wuxiuying
yangming
liguixiang
mali
liuqian
yangxiulan
yangling
wangxiuhua
yangping
liliang
lirong
liguizhi
wangbing
wangguifang
wangming
chenmei
zhangchunmei
wangdongmei
liufeng
lixiuhua
lidandan
yangxue
liuyuhua
maxiuying
zhanglihua
zhangshuzhen
lixiaohong
wangguizhi
zhaoli
zhangxiuhua
huangmin
yangjuan
wangjinfeng
zhoujie
chenjianhua
liumei
yangguiying
lishuying
chenyuying
yangxiuzhen
sunxiuying
zhaojun
zhaoyong
liubing
yangbin
liwen
sunwei
zhangnan
liuguizhen
liuyu
liujianjun
zhangshuying
lihongxia
zhaoxiuying
zhangrong
zhangfan
wangjianping
zhangguizhi
zhouyong
zhangkun
xuwei
wangguihua
liuqin
zhoujing
xumin
liutingting
xujing
yanghong
wanglu
zhangshulan
zhangwen
chenguilan
zhouli
lishuhua
chenxin
machao
liujianguo
liguihua
wangfenglan
lishulan
chenxiuzhen
adam
adm
admin
administrator
adrian
alan
alex
alexandra
amanda
ana
andrew
angel
anna
apache
backup
bin
caroline
chloe
chris
claire
clara
cvs
cyrus
dan
danny
dave
david
denise
diane
emma
eric
ftp
ftpuser
games
grace
guest
httpd
info
irc
jacob
jessica
john
julia
library
linux
Ip
mail
master
michael
mike
monica
mumble
murmur
mysql
nagios
news
nicole
nobody
office
operator
oracle
patricia
paul
pgsql
postfix
postgres
richard
robert
root
rpm
sales
samba
sara
sarah
server
smmsp
spam
student
dtudents
support
temp
test
test1
teste
tester
testing
tmp
tomcat
toor
upload
user
username
vic
victor
victoria
web
webadmin
webmaster
www
www-data

弱口令字典

123456
123456789
qwerty
password
1234567
12345678
12345
iloveyou
111111
123123
abc123
qwerty123
1q2w3e4r
admin
qwertyuiop
654321
555555
lovely
7777777
welcome
888888
princess
dragon
password1
123qwe
666666
1qaz2wsx
333333
michael
sunshine
liverpool
777777
1q2w3e4r5t
donald
freedom
football
charlie
letmein
!@#$%^&*
secret
aa123456
987654321
zxcvbnm
passw0rd
bailey
nothing
shadow
121212
biteme
ginger
1234567890
pussy
fuckme
asdfghjkl
000000
fuckyou
00000
11111
55555
54321
123452
pwd1234
qwert
asdfg
0123456789
azerty
0987654321
france
abcd1234
fffff
112233
686868
123321
asdfgh
12345678910
abcde
123123123
pakistan
aaaaa
barcelona
fuckoff
bigdick
102030
asshole
baseball
qazwsx
fucker
sexsex
fucking
987654
aaaaaa
abcdef
daniel
0000000000
222222
carlos
supeerman
teamo
123654
159753
mynoob
18atcskd2w
3rjs1la7qe
google
1q2w3e
1
1111
12
123
1234
12341234
PaSsWoRd
access
admin1
admin123
administrator
alice
andrew
angela
anna
apache
backup
benjamin
carla
caroline
changeme
chris
david
edc456ok
fedora
freebsd
fuck
george
guest
helen
hunter
ifiwaswrong
internet
james
joshua
killer
linux
louis
love
mail
martin
master
matt
mysql
nicole
oracle
p@ssw0rd
pa55w0rd
pass
passwd
postgres
private
r00t
redhat
robert
root
root123
rootadmin
rootroot
server
shell
steven
test
test123
tester
testing
testtest
testuser
thomas
user
username
visitor
web
webadmin
webmaster
william

同口令

同口令定义

所谓同口令就是在多个网站或账户上重复使用相同的口令。当这样的口令被暴露，再加上姓名，登录名，电子信箱地址等其它可识别信息，就会为用户带来信息安全上的危害。

同口令原因

同口令成为一种安全威胁是因为如果恶意攻击者获取了一些可以识别用户身份的信息，他就可以对一个重复使用的口令加以利用。这通常发生在以下情形之一：

在第一种最常见的情况下，恶意攻击者搜索用户的其它账号,并试图用同样的口令去登录。有时，他们寻找一些个人账号，比如微博，微信，淘宝，支付宝，京东，或者银行的网站。如果他们成功找到这些账号，而用户又使用了重复的口令，他们就能够以用户的身份登录。有时，恶意攻击者还会尝试识别用户的工作账号，并进行远程登录，例如通过远程访问电子邮件或考勤卡的账号。

第二种涉及到恶意网站的情况比较少见，但仍然构成了威胁。在这种情况下，网络上的恶意攻击者建立一个网站，并使其极其类似合法网站，要求用户输入电子邮件地址，口令或其它的信息来访问网站。一旦用户这样做了，恶意攻击者就获取了用户的身份信息，进而可以搜索用户的其它账户，并使用相同口令登录这些帐户。

同口令建议

避免同口令往往是具有挑战性的，因为许多需要口令保护的网站和账户，要求口令具有复杂性，比如，要求用户每过一段时间更新口令。用户则为了方便记忆，只好在多个账户中使用重复的口令。有两种方法既可以避免同口令，又能确保用户的口令满足口令复杂性的要求:

第一种方法是使用口令管理器来记住每一个口令。口令管理器是可以使用于计算机，智能电话，或在云端的应用程序。它可以安全地跟踪口令，以及口令被使用的地方。大多数口令管理器还可以按用户的需求为每个账户生成复杂的随机口令。只要访问口令管理器本身的口令足够安全，复杂，这种技术是很有效的。但是，如果口令管理器应用程序受到攻击(这是确实可能发生的!)，所有被管理的口令都可能被泄露。如果用户选择使用一个常驻在本地计算机或智能手机上的口令管理器，一旦计算机被恶意软件攻击，或用户丢失了智能手机，所有由口令管理器管理的口令都可能被暴露。所以，选择口令管理器时，要确保它来自一个知名的，值得信赖的公司，以避免受到损害。

第二种方法是为口令选择一个可重复的模式。比如，选择一个关于网站或账户一些特性的句子，然后使用每个单词的第一个字母作为口令。例如，根据句子：“This is my March password for D1Net.”，口令就成了“TimMp4D.”。一个强大的口令应该是复杂的，需要包括大写和小写字母，数字和符号。上面例子中的这个口令就包含了句子中的首字母大写，把“for”翻译为数字“4”，并包括了句尾的标点“.”来添加一个符号到口令中。这项技术也有其弱点：如果来自同一个用户的多个口令被暴露，这个可重复的模式则可能被人猜出并被利用。

默认口令

路由器默认口令

https://www.routerpasswords.com/

https://portforward.com/router-password/

https://www.toolmao.com/baiduapp/routerpwd/

默认口令查询

https://cirt.net/passwords

https://datarecovery.com/rd/default-passwords/

中间件默认口令

https://pan.794450497.xyz:8443/%E5%85%AC%E4%BC%97%E5%8F%B7%E6%96%87%E7%AB%A0/%E5%B8%B8%E8%A7%81%E5%AF%86%E7%A0%81%E6%BC%8F%E6%B4%9E%E5%8F%8A%E5%85%B6%E5%AE%89%E5%85%A8%E5%BB%BA%E8%AE%AE.md

https://pan.794450497.xyz:8443/%E5%85%AC%E4%BC%97%E5%8F%B7%E6%96%87%E7%AB%A0/%E5%B8%B8%E8%A7%81%E5%AF%86%E7%A0%81%E6%BC%8F%E6%B4%9E%E5%8F%8A%E5%85%B6%E5%AE%89%E5%85%A8%E5%BB%BA%E8%AE%AE.md

安全设备默认口令

序号	设备	默认账号	默认口令
1	360天擎	admin	admin
2	H3C	admin	adminer
3	H3C	admin	admin
4	H3C	admin	h3capadmin
5	H3C	h3c	h3c
6	H3C ER3100	admin	adminer3100
7	H3C ER3200	admin	adminer3200
8	H3C ER3260	admin	adminer3260
9	H3C iMC	admin	admin
10	H3C S5120-SI	test	123
11	H3C SecPath系列	admin	admin
12	H3C智能管理中心	admin	admin
13	Hillstone安全审计平台	hillstone	hillstone
14	Juniper_SSG__5防火墙	netscreen	netscreen
15	kill防火墙(冠群金辰)	admin	sys123
16	LogBase日志管理综合审计系统	admin	safetybase
17	SANGFOR_AD_v5.1	admin	admin
18	SANGFOR防火墙	admin	sangfor
19	TopAudit日志审计系统	superman	talent
20	Websense邮件安全网关	administrator	admin
21	阿姆瑞特防火墙	admin	manager
22	方正防火墙	admin	admin
23	飞塔防火墙	admin	口令为空
24	黑盾防火墙	admin	admin
25	黑盾防火墙	rule	abc123
26	黑盾防火墙	audit	abc123
27	华为防火墙	telnetuser	telnetpwd
28	华为防火墙	ftpuser	ftppwd
29	科来网络回溯分析系统	csadmin	colasoft
30	联想网御	administrator	administrator
31	联想网御防火墙PowerV	administrator	administrator
32	联想网御入侵检测系统	lenovo	default
33	联想网御入侵检测系统IDS	root	111111
34	联想网御入侵检测系统IDS	admin	admin123
35	绿盟安全审计系统	weboper	weboper
36	绿盟安全审计系统	webaudit	webaudit
37	绿盟安全审计系统	conadmin	conadmin
38	绿盟安全审计系统	admin	admin
39	绿盟安全审计系统	shell[1]	shell
40	绿盟产品		nsfocus123
41	明御WEB应用防火墙	admin	admin
42	明御WEB应用防火墙	admin	adminadmin
43	明御安全网关	admin	adminadmin
44	明御攻防实验室平台	root	123456
45	明御网站卫士	sysmanager	sysmanager888
46	明御运维审计与册风险控制系统	admin	1q2w3e
47	明御运维审计与册风险控制系统	system	1q2w3e4r
48	明御运维审计与册风险控制系统	auditor	1q2w3e4r
49	明御运维审计与册风险控制系统	operator	1q2w3e4r
50	山石网科	hillstone	hillstone
51	深信服AC6.0	admin	admin
52	深信服AD3.9	admin	admin
53	深信服AF(NGAF V2.2)	admin	sangfor
54	深信服ipsec-VPN (SSL 5.5)	Admin	Admin
55	深信服NGAF下一代应用防火墙(NGAF V4.3)	admin	admin
56	深信服VPN	Admin	Admin
57	深信服WAC ( WNS V2.6)	admin	admin
58	深信服产品	sangfor	sangfor
59	深信服产品	sangfor	sangfor@2018
60	深信服产品	sangfor	sangfor@2019[2]
61	深信服负载均衡 AD 3.6	admin	admin
62	深信服科技 AD		dlanrecover
63	深信服上网行为管理设备数据中心	Admin	口令为空
64	梭子鱼邮件存储网关	admin	admin
65	天清汉马USG防火墙	admin	venus.fw
66	天清汉马USG防火墙	Audit	venus.audit
67	天清汉马USG防火墙	useradmin	venus.user
68	天融信防火墙NGFW4000	superman	talent
69	天融信数据库审计系统	superman	telent
70	天阗入侵检测与管理系统 V6.0	Admin	venus60
71	天阗入侵检测与管理系统 V6.0	Audit	venus60
72	天阗入侵检测与管理系统 V6.0	adm	venus60
73	天阗入侵检测与管理系统 V7.0	Admin	venus70
74	天阗入侵检测与管理系统 V7.0	Audit	venus70
75	天阗入侵检测与管理系统 V7.0	adm	venus70
76	天玥网络安全审计系统	Admin	cyberaudit
77	网康日志中心	ns25000	ns25000
78	网络安全审计系统（中科新业）[3]	admin	123456
79	网络卫士入侵检测系统	admin	talent
80	网神SecFox运维安全管理与审计系统	admin	!1fw@2soc#3vpn
81	网神防火墙	firewall	firewall
82	网御WAF集中控制中心(V3.0R5.0)	admin	leadsec.waf
83	网御WAF集中控制中心(V3.0R5.0)	audit	leadsec.waf
84	网御WAF集中控制中心(V3.0R5.0)	adm	leadsec.waf
85	网御漏洞扫描系统	leadsec	leadsec
86	网御入侵检测系统V3.2.72.0	adm	leadsec32
87	网御入侵检测系统V3.2.72.0	admin	leadsec32
88	网御事件服务器	admin	admin123
89	亿邮邮件网关	eyouuser	eyou_admin
90	亿邮邮件网关	eyougw	admin@(eyou)
91	亿邮邮件网关	admin	+-ccccc
92	亿邮邮件网关	admin	cyouadmin
93	中控考勤机web3.0	administrator	123456
94	中新金盾硬件防火墙	admin	123

深入思考

口令长度和复杂度哪个更重要？

在 Web 应用程序和其他系统中，管理员实施的最常见的口令策略是长度和复杂性策略。例如，可能要求复杂口令至少包含 8 个字符、大小写字母、数字和特殊字符。但是，这个策略实际上是相当薄弱的，不应该被推荐。最好将最小长度设置为至少 16 个字符，允许空格，并且没有长度限制。

通过对比，包含数字、大写/小写字母和特殊字符的 8 个字符的口令，计算机可能会在 9 小时内破解。仅使用小写字母的 16 个字符的口令，计算机需要的时间为 2.24 亿年。

对比发现，真正重要的是口令的长度，而不是复杂性。

口令更改是否真的有效？

Web 应用程序和其他系统用来提高口令安全性的另一种非常常见的机制是强制用户定期更改口令。这种机制通常存储旧口令的哈希值，因此不允许用户重复使用他们以前的任何口令。

不幸的是，这样的口令要求引入了一种非常误导性的安全感，因为用户找到了绕过它们的简单方法。老实说，当系统要求我们重置口令时，我们会怎么做？我们通常在末尾添加下一个连续数字，并在被要求时每三个月更换一次（口令1 、口令2 、口令3 ……）。

这种技术不会以任何方式防止字典攻击。因此，包括微软在内的越来越多的大公司不再推荐定期更改口令。甚至像 FTC 这样的大型机构现在也建议不要这样做。

但是，具体到我国目前网络安全形式，需要明确的是，定期更改口令还是有必要的，这不仅仅有助于我们对口令保护，同时也是等级保护测评合规要求。

为了解决以上问题，我们需要一个程序不仅可以为创建一个几乎无法破解的新口令，而且可以将其存储在一个超级安全的口令管理器中，该管理器将跟踪使用这些新口令的网站，因此不必担心每次新更改后会忘记它们。他们倾向于呈现随机的字母、数字和符号，有效地创建一个比“passw0rd123!”更安全的口令或姓名和电话号码。此外，通过口令生成器创建和记住口令，无需烦恼每月更改一次口令，甚至每周更改一次。

多因素身份验证

如今，针对基于口令的攻击的最强防御是多因素身份验证 (MFA)，通常简化为双因素身份验证 (2FA)。基本假设是用户必须提供他们知道的东西（口令）并使用他们拥有的东西（例如，智能手机或硬件令牌）。MFA 甚至是 PCI DSS 等最新合规性要求的一部分。但是，并非所有 MFA 机制都同样安全。

最常见的 MFA 技术是让 Web 应用程序向用户提供的手机号码发送带有一次性代码的 SMS。这也是 MFA 最糟糕的想法。攻击者正在使用SIM 交换攻击来破坏此类机制。他们欺骗移动运营商发行用户 SIM 卡的副本，例如通过假设用户的身份，并使用它来接收一次性代码。此类攻击中最常见的案例之一是Twitter CEO 的帐户遭到入侵。

避免这种情况的一种方法是使用移动应用程序。可以开发自己的应用程序或使用标准的一次性口令 (OTP) 解决方案，例如 Google Authenticator 或 FreeOTP。移动应用程序要么使用应用程序生成的一次性代码，要么向手机发送推送通知（必须确认）。

但是，使用移动应用程序可能会给用户带来额外的问题。如果他们购买新手机或需要重置当前手机，他们通常需要访问分支机构以重新获得对在线服务的访问权限。另一方面，如果他们可以通过电话恢复访问，这会使他们很容易受到社工攻击的影响。此外，基于标准一次性代码的移动应用程序不能保护用户免受网络钓鱼攻击，网络钓鱼页面可能充当真实页面的代理并截获代码和口令。

MFA 的最终安全选项似乎是硬件令牌。这种代币已经存在了一段时间，以不同的形式出现。例如，自 90 年代后期以来，许多银行向客户发行代币，让他们访问在线服务。此类令牌要求根据网站显示的种子代码获取访问代码。像这样的设备不仅被银行使用，甚至被游戏制造商使用（例如，暴雪自 2008 年以来仍然支持，直到最近）。除了移动应用程序之外，还有一些银行仍在使用此类物理代币。

另一种形式的硬件令牌现在变得越来越流行——硬件密钥。然而，这个想法并不新鲜——某些软件制造商多年来一直使用它们来打击盗版。YubiKey、Google Titan、Thetis 等解决方案允许访问许多应用程序并基于通用标准（如 OTP、智能卡、OpenPGP、FIDO U2F、FIDO2）。可以将一些密钥用于计算机和手机：它们可能使用物理接口（USB-A、USB-C）或无线接口（蓝牙、NFC）。可以同时将帐户绑定到多个密钥（如果害怕丢失令牌或由于技术要求需要为不同的设备使用不同的令牌）。

如今，硬件安全机制也是常规计算设备的一部分。几年来，台式机和笔记本电脑都配备了提供加密技术的硬件模块 (TPM/SE)。Windows 10 操作系统兼容 FIDO2 标准，这意味着任何带有硬件模块的 Windows 10 设备都可以作为硬件密钥。手机通常带有生物识别机制，例如指纹扫描仪或面部识别。所有这些，尤其是与口令相结合，提供了额外的安全性。

原文始发于微信公众号（利刃藏锋）：常见口令漏洞及其安全建议