创建安全密码的3个原则

日期: 2008-07-06 来源:TechTarget中国

  密码对于每个电脑用户来说都不会陌生,能不能用好它直接关系到大家的个人隐私安全。“黑客怎么会找上我……”、“密码只要越复杂越好”,这类想法都是错误的,侥幸心理只会让你的银行账号被攻陷,而越复杂越好则只会让你每天被自己的健忘所困扰。只有权衡好安全密码的3个原则,才能设计出既安全又方便的密码。


  第一原则:避免出现“弱智”密码


  既然是密码,那安全就是第一位的,如果我们知道自己的密码是黑客随时能够破解的“弱智”密码,那设置它还有什么意义呢?


  (1)密码口令的位数应在8~12位


  如果使用暴力猜解,8位以下的密码都很不安全,猜解的时间很短,几天甚至几分钟就能破解的密码谁还敢用?


  (2)应使用字母和数字结合的方式


  密码口令所使用的字符组合为‘大写字母+数字’或‘小写字母+数字’,如“idjo2006”、“IDJO2K6A”,这样能加大暴力猜解的难度。


  (3)避免使用有规律的字母或数字组合


  类似“ming1993”、“abcd2006”、“QWERTYUI”、“admin111”等使用既有单词或日期都很危险,容易被黑客字典收录。


  (4)避免使用开头或结尾的字母数字


  避免使用0~9或a~c、A~C、x~z、X~Z中的任一字符作为密码的开头,这样在暴力猜解时就会提高好几倍难度。


  第二原则:自己能记住的才是“好密码”


  (1)大小写切换,麻不麻烦?


  把密码弄得很复杂,虽然提高了安全性,但是自己平时输入就很不方便。比如有人认为使用“大写字母+小写字母+数字”的组合会更为安全,但殊不知这样会给输入密码带来多大的麻烦。事实上,真正需要经常用到密码口令的人只有用户自己,如果不设计得更加合理,符合个人操作习惯,岂不是给自己添乱?


  (2)忘无规则,你记得住吗?


  也是从安全角度出发,有人喜欢使用毫无规律的字母数字组合作为密码,类似网通ADSL的初始密码形式:‘i8g3e5p6’。这样的口令组合确实非常安全,但同时这种随意的组合也会让使用者本人难于记忆,这事可比大小写切换更麻烦。


  (3)权衡一下,安全和方便谁重要?


  既要安全,又要方便,“大写或小写字母+数字”的组合足够了,同时,拼音也能帮上忙,找一句自己印象深刻的格言、座右铭或俗语,将它们的英文或拼音逐一写出,取其每个单词的首字母加以组合,最后再补上一组相关标志性数字。例如:“北京欢迎你2008年”即为“bjhyn2008n”。这种密码既安全又便于自己记忆,但在实际应用时还是不要用太大众化的句子为好。


  第三原则:不要锁了门却忘了关窗


  (1)不要为所有的门都配一样的钥匙


  不要以为设计的密码口令组合够复杂就100%安全了,它所应用于的系统或软件环境也是一个不可忽视的因素。由于早期开发技术和理念的局限,某些使用密码口令的系统或软件本身就存在着设计安全缺陷,致使在其特定应用环境下操作密码极易被破解。例如:BIOS口令、早期版本的OFFICE产品的口令保护等。因而在这种情况即便用户设计的密码组合再复杂也无济于事,所以建议用户在实际应用中使用两套密码口令组合,分别用于弱口令和强口令系统或软件的不同应用环境,以备万全。这样做的好处是可以防止一套口令的一损俱损,即避免别有用心者通过轻易得到的弱口令环境下的密码而猜出或推导出其他强口令环境下的密码,从而致整个系统和软件应用环境完全不设防。


  (2)杀鸡焉用牛刀


  由于设计理念和技术的进步,目前大多数系统和软件的密码口令算法还是比较安全可靠的,但在实际使用中还是应特别注意区别对待。对于象BIOS口令、屏幕保护口令、OFFICE2000以前版本的口令保护、早期版本的IE/OE 口令等可以本着“防君子不防小人”的思想只设简单好用的形式密码即可,如‘ABCE’;而对于WINRAR、WINZIP、OFFICE2003等程序来说,要想保护文档使其更安全就必须使用复杂可靠的密码口令组合才成。如此才能切断弱口令环境和强口令环境间密码口令的内在联系,防止电脑安全的崩溃。


  要保证密码安全,你还需要做的……


  1.安装可靠杀毒软件,及时升级病毒库,定期查毒,确保密码口令的安全使用环境。要知道对于已经感染木马病毒的系统而言,即使18位复杂组合的密码也无法逃过其监听窃取。


  2.避免将密码保存在缓存区随时调用,尽量做到随用随输入。有些用户为了方便习惯使用“保存密码”,这是不安全的。


  3.登录邮箱、网银后要执行“退出”操作。如果仅仅关闭浏览窗口而不“退出”,其他人还可以通过浏览缓存而查看邮箱内容。


  4.是否有必要经常性的更换密码口令,这要根据不同的安全需求而定。一般的个人用户没有必要频繁更换密码,那样会增加操作负担、容易造成混乱。基本上每半年、一年定期更换一次比较好。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • RSAC 2017:小组讨论话题涵盖加密趋势、选举等

    每年在RSA大会开幕演讲后,世界顶级密码学家都会齐聚舞台上分享他们对加密趋势的看法以及意见。今年,这个小组讨论会连续第四次由Rambus公司加密研究分支总裁Paul Kocher主持……

  • 如何部署用户账户安全来阻止密码恢复攻击(二)

    无论企业使用多么强大的密码,只要企业的密码重置程序很薄弱,攻击者都能够通过获取用户的个人详细信息。

  • 身份认证技术指南

    一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。

  • 你需要对网络说谎

    你不会把你的月收入告诉周围的人,但为何要告诉网络调查/会员公司?如果从未担心过信息外泄的问题,那么你应该要开始担心了。不想让黑客窃取你的数据?你需要对网络说谎。