为什么需要强密码?
我们可能每天都使用个人识别码 (PIN)、密码或口令。从 ATM 取钱或在商店使用借记卡,到登录电子邮件或在线零售商。跟踪所有数字、字母和单词组合可能令人沮丧,但这些保护措施很重要,因为黑客对我们的信息时刻构成真正的威胁。通常,攻击并不是专门针对某个人的账户,而是关于使用对信息的访问权限来发起更大的攻击。
保护信息或物理财产的最佳方法之一是确保只有经过授权的人才能访问它。下一步是验证请求访问的人是他们声称的人。这个身份验证过程在网络世界中更重要也更困难。密码是最常用的身份验证方式,但只有在密码复杂且机密时才有效。由于密码不安全和强度不足,许多系统和服务已被成功攻破,案例举不胜举,每次护网演习都会暴露出一大批弱口令,这就是最佳的证据。一旦系统遭到破坏,就会被不明来源身份的人利用。
如何选择好的密码?
避免常见错误
大多数人使用基于个人信息且易于记忆的密码。但是,这也使攻击者更容易破解密码。考虑一个四位数的 PIN码,你的生日,是日、月、年的哪种组合?是否包含地址或电话号码?想想找到某人的生日或类似信息是多么容易。你的电子邮件密码呢?它是一个可以在字典中找到的词吗?如果是这样,它可能容易受到字典攻击,这些攻击试图根据常用单词或短语来猜测密码。
尽管故意拼错一个词(“daytt”而不是“date”)可能会提供一些防止字典攻击的保护,但更好的方法是依靠一系列词并使用记忆技术或助记符来帮助您记住如何解码它。例如,对于“[I] [l]ike [T]o [p]lay [b]asket[b]all”,使用“IlTpbb”代替密码“hoops”。同时使用小写和大写字母又增加了一层晦涩难懂。将上面使用的相同示例更改为“Il!2pBb”。创建一个与任何字典单词都非常不同的密码,这个密码相对来说自己容易记忆,而别人不容易猜测,增加暴力破解的难度。
长度和复杂性
根据美国国家标准与技术研究院 (NIST)为强密码制定了具体的指导方针。根据 NIST 指南,应该考虑尽可能使用最长的密码或允许的密码短语(8-64 个字符)。例如,“Pattern2baseball#4mYmiemale!” 将是一个强密码,因为有 28 个字符,包括大小写字母、数字和特殊字符。可能需要尝试密码短语的不同变体——例如,某些应用程序限制密码的长度,而有些应用程序不接受空格或某些特殊字符。避免使用常见的短语、名言和歌词。当然,在中文环境里如果喜欢诗歌的人,可以尽量找一个比较生僻的诗歌来设置密码,其中在《乔家大院》中乔致庸设置密字,就是考虑到一首诗的生僻性。
该做什么和不该做什么
一旦你想出了一个强大的、令人难忘的密码,很容易重复使用它,切记这是违法密码设置原则的,会带来安全风险。重复使用密码,即使是强密码,也会像使用弱密码一样危及到账户安全。如果攻击者猜到密码,将可以使用相同的密码访问其他账户。使用以下技术为每个账户开发唯一的密码:
- 在不同的系统和账户上使用不同的密码。
- 使用每个密码系统允许的最长密码或密码短语。
- 开发助记符来记住复杂的密码。
- 考虑使用密码管理器程序来跟踪密码。
- 请勿使用基于易于访问或猜测的个人信息的密码。
- 不要使用可以在任何语言的任何词典中找到的词。
如何保护密码?
在选择了一个容易记住但别人很难猜到的密码后,千万不要把它写下来,放在别人可以找到的地方。把它写下来,放在办公桌上,放在电脑旁边,或者更糟糕的是用胶带粘在电脑上,这样可以让那些可以物理访问办公室的人轻松访问它。不要将密码告诉任何人,并注意攻击者试图通过电话或电子邮件来欺骗,对你展开钓鱼,要求向其提供透露密码。密码管理器程序提供了为所有账户创建随机生成的密码的选项。然后,可以使用主密码访问这些强密码。如果使用密码管理器,请记住使用高强度主密码。密码问题可能源于网络浏览器在内存中保存密码和在线会话的能力。根据网络浏览器的设置,任何有权访问计算机的人都可能会发现所有密码并访问相关信息。当使用公共计算机(在图书馆、网吧,甚至是办公室的共享计算机)时,请务必记住注销。避免使用公共计算机和公共Wi-Fi访问敏感账户,例如银行和电子邮件。
所有的技术都不能绝对保证这些技术会阻止攻击者了解用户密码,但它们会增加难度,提升安全性。
安全基础知识
- 使操作系统、浏览器和其他软件保持最新。
- 使用和维护防病毒软件和防火墙。
- 定期扫描计算机以查找间谍软件。(一些防病毒程序包含间谍软件检测。)
- 谨慎对待电子邮件附件和不受信任的链接。
- 注意账户上的可疑活动。