《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 如何選擇保護(hù)密碼?

如何選擇保護(hù)密碼?

2021-09-25
來源:祺印說信安
關(guān)鍵詞: 密碼 個人識別碼

  為什么需要強(qiáng)密碼?

  我們可能每天都使用個人識別碼 (PIN)、密碼或口令。從 ATM 取錢或在商店使用借記卡,到登錄電子郵件或在線零售商。跟蹤所有數(shù)字、字母和單詞組合可能令人沮喪,但這些保護(hù)措施很重要,因為黑客對我們的信息時刻構(gòu)成真正的威脅。通常,攻擊并不是專門針對某個人的賬戶,而是關(guān)于使用對信息的訪問權(quán)限來發(fā)起更大的攻擊。

  保護(hù)信息或物理財產(chǎn)的最佳方法之一是確保只有經(jīng)過授權(quán)的人才能訪問它。下一步是驗證請求訪問的人是他們聲稱的人。這個身份驗證過程在網(wǎng)絡(luò)世界中更重要也更困難。密碼是最常用的身份驗證方式,但只有在密碼復(fù)雜且機(jī)密時才有效。由于密碼不安全和強(qiáng)度不足,許多系統(tǒng)和服務(wù)已被成功攻破,案例舉不勝舉,每次護(hù)網(wǎng)演習(xí)都會暴露出一大批弱口令,這就是最佳的證據(jù)。一旦系統(tǒng)遭到破壞,就會被不明來源身份的人利用。

  如何選擇好的密碼?

  避免常見錯誤

  大多數(shù)人使用基于個人信息且易于記憶的密碼。但是,這也使攻擊者更容易破解密碼。考慮一個四位數(shù)的 PIN碼,你的生日,是日、月、年的哪種組合?是否包含地址或電話號碼?想想找到某人的生日或類似信息是多么容易。你的電子郵件密碼呢?它是一個可以在字典中找到的詞嗎?如果是這樣,它可能容易受到字典攻擊,這些攻擊試圖根據(jù)常用單詞或短語來猜測密碼。

  盡管故意拼錯一個詞(“daytt”而不是“date”)可能會提供一些防止字典攻擊的保護(hù),但更好的方法是依靠一系列詞并使用記憶技術(shù)或助記符來幫助您記住如何解碼它。例如,對于“[I] [l]ike [T]o [p]lay [b]asket[b]all”,使用“IlTpbb”代替密碼“hoops”。同時使用小寫和大寫字母又增加了一層晦澀難懂。將上面使用的相同示例更改為“Il!2pBb”。創(chuàng)建一個與任何字典單詞都非常不同的密碼,這個密碼相對來說自己容易記憶,而別人不容易猜測,增加暴力破解的難度。

  長度和復(fù)雜性

  根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)為強(qiáng)密碼制定了具體的指導(dǎo)方針。根據(jù) NIST 指南,應(yīng)該考慮盡可能使用最長的密碼或允許的密碼短語(8-64 個字符)。例如,“Pattern2baseball#4mYmiemale!” 將是一個強(qiáng)密碼,因為有 28 個字符,包括大小寫字母、數(shù)字和特殊字符??赡苄枰獓L試密碼短語的不同變體——例如,某些應(yīng)用程序限制密碼的長度,而有些應(yīng)用程序不接受空格或某些特殊字符。避免使用常見的短語、名言和歌詞。當(dāng)然,在中文環(huán)境里如果喜歡詩歌的人,可以盡量找一個比較生僻的詩歌來設(shè)置密碼,其中在《喬家大院》中喬致庸設(shè)置密字,就是考慮到一首詩的生僻性。

  該做什么和不該做什么

  一旦你想出了一個強(qiáng)大的、令人難忘的密碼,很容易重復(fù)使用它,切記這是違法密碼設(shè)置原則的,會帶來安全風(fēng)險。重復(fù)使用密碼,即使是強(qiáng)密碼,也會像使用弱密碼一樣危及到賬戶安全。如果攻擊者猜到密碼,將可以使用相同的密碼訪問其他賬戶。使用以下技術(shù)為每個賬戶開發(fā)唯一的密碼:

  在不同的系統(tǒng)和賬戶上使用不同的密碼。

  使用每個密碼系統(tǒng)允許的最長密碼或密碼短語。

  開發(fā)助記符來記住復(fù)雜的密碼。

  考慮使用密碼管理器程序來跟蹤密碼。

  請勿使用基于易于訪問或猜測的個人信息的密碼。

  不要使用可以在任何語言的任何詞典中找到的詞。

  如何保護(hù)密碼?

  在選擇了一個容易記住但別人很難猜到的密碼后,千萬不要把它寫下來,放在別人可以找到的地方。把它寫下來,放在辦公桌上,放在電腦旁邊,或者更糟糕的是用膠帶粘在電腦上,這樣可以讓那些可以物理訪問辦公室的人輕松訪問它。不要將密碼告訴任何人,并注意攻擊者試圖通過電話或電子郵件來欺騙,對你展開釣魚,要求向其提供透露密碼。

  密碼管理器程序提供了為所有賬戶創(chuàng)建隨機(jī)生成的密碼的選項。然后,可以使用主密碼訪問這些強(qiáng)密碼。如果使用密碼管理器,請記住使用高強(qiáng)度主密碼。

  密碼問題可能源于網(wǎng)絡(luò)瀏覽器在內(nèi)存中保存密碼和在線會話的能力。根據(jù)網(wǎng)絡(luò)瀏覽器的設(shè)置,任何有權(quán)訪問計算機(jī)的人都可能會發(fā)現(xiàn)所有密碼并訪問相關(guān)信息。當(dāng)使用公共計算機(jī)(在圖書館、網(wǎng)吧,甚至是辦公室的共享計算機(jī))時,請務(wù)必記住注銷。避免使用公共計算機(jī)和公共Wi-Fi訪問敏感賬戶,例如銀行和電子郵件。

  所有的技術(shù)都不能絕對保證這些技術(shù)會阻止攻擊者了解用戶密碼,但它們會增加難度,提升安全性。

  安全基礎(chǔ)知識

  使操作系統(tǒng)、瀏覽器和其他軟件保持最新。

  使用和維護(hù)防病毒軟件和防火墻。

  定期掃描計算機(jī)以查找間諜軟件。(一些防病毒程序包含間諜軟件檢測。)

  謹(jǐn)慎對待電子郵件附件和不受信任的鏈接。

  注意賬戶上的可疑活動。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。