隨著各大網(wǎng)站被曝大量用戶的密碼被泄漏以來，密碼的安全問題已引起用戶和業(yè)界的極大關(guān)注和重視。你的密碼安全嗎？上互聯(lián)網(wǎng)站還會不會泄漏密碼?……這些問題都引起了廣大用戶的恐慌。站在一個信息安全工作者的角度來講，這個問題雖然嚴重，但還沒有到草木皆兵的地步。

從密碼泄露或者被竊取的原因來分析，主要有如下幾方面的原因：

密碼明文存儲：隨著互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)站也在如雨后春筍般地涌現(xiàn)出來，當時網(wǎng)站對安全問題沒有重視，因此出現(xiàn)了部分網(wǎng)站對用戶的注冊信息（其中也包括密碼）均采用明文存儲的方式。在這樣的前提下，一旦網(wǎng)站的數(shù)據(jù)庫被黑客攻擊，或者是內(nèi)部人員的數(shù)據(jù)庫拷貝，都會造成大量用戶信息的泄露；

弱密碼設(shè)定：用戶的弱密碼設(shè)定應(yīng)該是當前密碼泄露或者被竊取的主要原因。很多用戶都采用非常簡單的，與自己身份或者生日等強相關(guān)的信息來設(shè)定非常簡單的密碼（如僅用數(shù)字、字母或者數(shù)字等），這就給不法用戶或者黑客留下了可趁之機。更為重要的是，即算現(xiàn)在網(wǎng)站都采用密文加密并存儲的方式來保證用戶密碼安全，一旦數(shù)據(jù)庫被黑客攻擊，黑客仍然可以基于弱密碼，采用“彩虹表”來對用戶密碼進行猜測，而且這樣成功地幾率非常高；

并且，從當前的情況來看，弱密碼設(shè)定在密碼出現(xiàn)安全問題的情況下所占的比重超過80%，因此，互聯(lián)網(wǎng)用戶尤其需要重視該問題。那么，該如何來避免使用弱密碼呢？下面給出一些基本原則。

密碼安全設(shè)定的基本原則

目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應(yīng)盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。

具體列出幾條設(shè)定安全密碼的參考原則如下：

1)混和字母和數(shù)字：在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強口令的強健性。

2)包括字母和數(shù)字以外的字符：&、$、和 > 之類的特殊字符可以極大地增強口令的強健性（若使用 DES 口令則不能使用此類字符）。

3)挑選一個自己可以記住的口令：如果自己記不住自己的口令，那么它再好也沒有用；使用簡寫或其它記憶方法來幫助自己記憶口令。

4)口令長度至少為八個字符：口令越長越好。若使用MD5口令，它應(yīng)該至少有15個字符。若使用DES口令，使用最長長度（8個字符）。

5)混和大小寫字母：混和大小寫會增加口令的強健程度。

另外，還有一些原則需要牢記：

1)不要倒轉(zhuǎn)現(xiàn)存詞匯：優(yōu)秀的口令破譯者總是倒轉(zhuǎn)常用詞匯，因此倒轉(zhuǎn)薄弱口令并不會使它更安全。

2)不要筆錄自己的口令：決不要把口令寫在紙上。把它牢記在心才更為安全。

3)不要在所有機器上都使用同樣的口令：在每個機器上使用不同的口令是及其重要的。這樣，如果一個系統(tǒng)泄密了，所有其它系統(tǒng)都不會立即受到威脅。并且，不法用戶也很難以一個系統(tǒng)為突破口，來威脅到你其他系統(tǒng)的安全。

4)不要只使用單詞或數(shù)字，決不要在口令中只使用單詞或數(shù)字。

5)不要使用現(xiàn)成詞匯：像名稱、詞典中的詞匯、甚至電視劇或小說中的用語，即使在兩端使用數(shù)字，都應(yīng)該避免使用。

6)不要使用外語中的詞匯：口令破譯程序經(jīng)常使用多種語言的詞典來檢查其詞匯列表。依賴外語來達到保護口令的目的通常不起作用。

7)不要使用黑客術(shù)語。

8)不要使用個人信息：千萬不要使用個人信息。如果攻擊者知道自己的身份，推導(dǎo)出自己所用口令的任務(wù)就會變得非常容易。以下是自己在創(chuàng)建口令時應(yīng)該避免使用的信息類型。

admin

收藏 海報分享