自去年CSDN网站、天涯、开心网、人人网等网站被曝大量用户的密码被泄漏以来，密码的安全问题已引起用户和业界的极大关注和重视。你的密码安全吗？上互联网站还会不会泄漏密码?……这些问题都引起了广大用户的恐慌。站在一个信息安全工作者的角度来讲，这个问题虽然严重，但还没有到草木皆兵的地步。因此，本文将客观地分析密码安全问题的原因，提供给用户安全设定密码的基本原则。

一、密码安全问题的原因分析

从密码泄露或者被窃取的原因来分析，主要有如下几方面的原因：

密码明文存储：在2000年左右，随着互联网的飞速发展，互联网站也在如雨后春笋般地涌现出来，当时网站对安全问题没有重视，因此出现了部分网站对用户的注册信息（其中也包括密码）均采用明文存储的方式。在这样的前提下，一旦网站的数据库被黑客攻击，或者是内部人员的数据库拷贝，都会造成大量用户信息的泄露；

弱密码设定：用户的弱密码设定应该是当前密码泄露或者被窃取的主要原因。很多用户都采用非常简单的，与自己身份或者生日等强相关的信息来设定非常简单的密码（如仅用数字、字母或者数字等），这就给不法用户或者黑客留下了可趁之机。更为重要的是，即算现在网站都采用密文加密并存储的方式来保证用户密码安全，一旦数据库被黑客攻击，黑客仍然可以基于弱密码，采用“彩虹表”来对用户密码进行猜测，而且这样成功地几率非常高；

并且，从当前的情况来看，弱密码设定在密码出现安全问题的情况下所占的比重超过80%，因此，互联网用户尤其需要重视该问题。那么，该如何来避免使用弱密码呢？下面给出一些基本原则。

二、密码安全设定的基本原则

目前密码破解程序大多采用字典攻击以及暴力攻击手段，而其中用户密码设定不当，则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码，这样，黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中，应尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。而且，也可以使用定期修改密码、使密码定期作废的方式，来保护自己的登录密码。

具体列出几条设定安全密码的参考原则如下（5个需要遵循）：

1)口令长度至少为八个字符：口令越长越好。若使用MD5口令，它应该至少有15个字符。若使用DES口令，使用最长长度（8个字符）。

2)混和大小写字母：混和大小写会增加口令的强健程度。

3)混和字母和数字：在口令中添加数字，特别是在中间添加（不只在开头和结尾处）能够加强口令的强健性。

4)包括字母和数字以外的字符：&、$、和 > 之类的特殊字符可以极大地增强口令的强健性（若使用 DES 口令则不能使用此类字符）。

5)挑选一个自己可以记住的口令：如果自己记不住自己的口令，那么它再好也没有用；使用简写或其它记忆方法来帮助自己记忆口令。

另外，还有一些原则需要牢记（8个需要避免）：

1)不要只使用单词或数字，决不要在口令中只使用单词或数字。

2)不要使用现成词汇：像名称、词典中的词汇、甚至电视剧或小说中的用语，即使在两端使用数字，都应该避免使用。

3)不要使用外语中的词汇：口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。

4)不要使用黑客术语。

5)不要使用个人信息：千万不要使用个人信息。如果攻击者知道自己的身份，推导出自己所用口令的任务就会变得非常容易。以下是自己在创建口令时应该避免使用的信息类型。

6)不要倒转现存词汇：优秀的口令破译者总是倒转常用词汇，因此倒转薄弱口令并不会使它更安全。

7)不要笔录自己的口令：决不要把口令写在纸上。把它牢记在心才更为安全。

8)不要在所有机器上都使用同样的口令：在每个机器上使用不同的口令是及其重要的。这样，如果一个系统泄密了，所有其它系统都不会立即受到威胁。并且，不法用户也很难以一个系统为突破口，来威胁到你其他系统的安全。