為什么密碼不夠用？

　　密碼是很好的第一層保護(hù)，但攻擊者可以猜測(cè)或攔截密碼。即使攻擊者確實(shí)獲得了密碼，其他安全措施也可以保護(hù)?？梢酝ㄟ^(guò)避免使用基于個(gè)人信息的密碼來(lái)加強(qiáng)第一層保護(hù)；使用最長(zhǎng)的密碼或密碼短語(yǔ)（8-64 個(gè)字符）；并且不與其他人共享密碼。

　　有哪些額外的安全密碼可用？

　　同時(shí)使用多條信息來(lái)驗(yàn)證身份的多因素身份驗(yàn)證 （MFA）正變得越來(lái)越普遍。（MFA 有時(shí)被稱為兩因素身份驗(yàn)證。）即使攻擊者獲得了用戶密碼，如果賬戶受 MFA 保護(hù)，他們也可能無(wú)法訪問(wèn)用戶賬戶。這種方法背后的理論類似于需要兩種或兩種以上形式的身份證明或兩把鑰匙才能打開(kāi)保險(xiǎn)箱。用戶應(yīng)該在 MFA 可用的地方打開(kāi)它。驗(yàn)證類別包括你知道的信息，你擁有什么的事物，以及你自身特征。

　　知道的信息– 這包括密碼或預(yù)先確定的問(wèn)題答案。

　　擁有的東西- 這可能是一個(gè)小的物理令牌，例如智能卡、特殊的密鑰卡或 USB 驅(qū)動(dòng)器?？梢詫⒋肆钆婆c密碼結(jié)合使用以登錄賬戶。然而，基于軟件的令牌也很常見(jiàn)。這些基于軟件的令牌可以生成一次性登錄個(gè)人識(shí)別碼 （PIN）。其他變體包括通過(guò)驗(yàn)證 PIN 發(fā)送給用戶的 SMS 消息、電話或電子郵件。這些令牌 PIN 通常只能使用一次，并在使用后立即作廢。因此，即使攻擊者攔截了信息，攻擊者也將無(wú)法再次使用該信息訪問(wèn)用戶帳戶。

　　自身特征——生物識(shí)別可以包括掃描眼睛（視網(wǎng)膜或虹膜）或指紋、其他面部識(shí)別、語(yǔ)音識(shí)別或通過(guò)簽名或擊鍵動(dòng)作進(jìn)行身份驗(yàn)證。生物識(shí)別的一個(gè)常見(jiàn)示例是用于在許多現(xiàn)代智能手機(jī)上登錄用戶的指紋掃描儀。

　　另一種驗(yàn)證形式是使用個(gè)人網(wǎng)絡(luò)證書(shū)。與用于識(shí)別網(wǎng)站的證書(shū)不同，個(gè)人 Web 證書(shū)用于識(shí)別個(gè)人用戶。使用個(gè)人 Web 證書(shū)的網(wǎng)站依賴于這些證書(shū)和相應(yīng)公鑰/私鑰的身份驗(yàn)證過(guò)程來(lái)驗(yàn)證用戶身份。因?yàn)樽R(shí)別用戶信息嵌入在證書(shū)中，所以不需要額外的密碼。但是，用戶應(yīng)該有一個(gè)密碼來(lái)保護(hù)自己的私鑰，這樣攻擊者就無(wú)法訪問(wèn)用戶的密鑰，無(wú)法偽造用戶的身份。此過(guò)程與 MFA 類似，但有所不同 - 保護(hù)用戶私鑰的密碼用于解密用戶計(jì)算機(jī)上的信息，絕不會(huì)通過(guò)網(wǎng)絡(luò)發(fā)送。

　　還有哪些措施可以確保您的密碼安全？

　　信息技術(shù) （IT） 安全專業(yè)人員和管理員應(yīng)實(shí)施以下安全措施以進(jìn)一步保護(hù)密碼：

　　“鹽和哈?！泵艽a。加鹽是在密碼散列之前向密碼添加唯一的隨機(jī)字符。鹽值的長(zhǎng)度不應(yīng)小于 32 位。散列是使用一組算法對(duì)密碼進(jìn)行加擾的過(guò)程。

　　使用強(qiáng)身份驗(yàn)證恢復(fù)機(jī)制。弱身份驗(yàn)證恢復(fù)機(jī)制可能會(huì)被濫用，以允許攻擊者未經(jīng)授權(quán)訪問(wèn)受影響的系統(tǒng)。強(qiáng)大的機(jī)制可防止未經(jīng)授權(quán)訪問(wèn)賬戶或重置用戶密碼。

　　實(shí)施賬戶鎖定政策。賬戶鎖定應(yīng)在預(yù)定義的失敗嘗試次數(shù)后啟動(dòng)。

　　將賬戶設(shè)置為自動(dòng)禁用。賬戶在預(yù)定時(shí)間處于非活動(dòng)狀態(tài)后應(yīng)自動(dòng)退出系統(tǒng)被禁用。

　　如果用戶丟失了密碼或證書(shū)怎么辦？

　　也許用戶忘記了密碼，或者重新格式化了計(jì)算機(jī)并丟失了個(gè)人網(wǎng)絡(luò)證書(shū)。大多數(shù)組織都有在這些情況下允許用戶訪問(wèn)自己信息的程序。為了獲得最佳安全性，請(qǐng)及時(shí)更新賬戶中的信息。這包括備用電子郵件地址或電話號(hào)碼，可在忘記密碼時(shí)幫助驗(yàn)證自己的身份。

　　對(duì)于證書(shū)，可能需要請(qǐng)求組織為用戶頒發(fā)新證書(shū)。在密碼的情況下，可能只需要提醒。無(wú)論發(fā)生什么，組織都需要一種方法來(lái)驗(yàn)證用戶的身份。為此，許多組織依賴秘密問(wèn)題。

　　當(dāng)用戶開(kāi)設(shè)一個(gè)新賬戶（例如電子郵件、信用卡）時(shí)，一些組織會(huì)提示用戶提供問(wèn)題的答案。如果用戶忘記密碼或通過(guò)電話請(qǐng)求有關(guān)賬戶的信息，他們可能會(huì)問(wèn)用戶設(shè)置的問(wèn)題。如果用戶的答案與他們存檔的答案相符，他們將假定他們實(shí)際上是在與用戶溝通。理論上，秘密問(wèn)答可以保護(hù)用戶的信息。然而，常見(jiàn)的秘密問(wèn)題會(huì)詢問(wèn)母親的婚前姓氏、社會(huì)安全號(hào)碼、出生日期或?qū)櫸锏拿郑谥袊?guó)則可能是小學(xué)在那里上的等問(wèn)題。由于現(xiàn)在可以在線或通過(guò)其他公共來(lái)源獲得如此多的個(gè)人信息，攻擊者或許能夠找到這些問(wèn)題的答案。

　　將秘密問(wèn)題視為附加密碼——在確定答案時(shí)，不要提供真實(shí)信息。像選擇任何其他好的密碼一樣選擇自己答案，將其存儲(chǔ)在安全位置（例如，密碼管理器），并且不要與其他人共享。

　　雖然額外的安全措施為用戶提供比單獨(dú)使用密碼更多的保護(hù)，但不應(yīng)認(rèn)為它們是完全有效的。提高安全級(jí)別只會(huì)讓攻擊者更難訪問(wèn)用戶的信息。在選擇可以訪問(wèn)用戶個(gè)人信息的銀行、信用卡公司或其他組織時(shí)，請(qǐng)注意 MFA 和其他安全實(shí)踐。要勇于咨詢?yōu)樽约悍?wù)的組織在使用哪種安全實(shí)踐措施。