阻挡黑客: 创建强密码的简单方法
发表于 : 2011年 4月 30日 23:57 星期六
从使用借记卡支付早上的咖啡到访问 Facebook 帐户,密码和个人识别码已成为日常生活的一部分。 作为 IT 专业人员,您也许通过指示所有用户定期更改其密码的策略来保护公司的安全性。 但是您是否频繁地接到用户忘记新密码的求助电话? 更糟的是,有多少用户的密码被盗用?
用户需要记住的密码越多,越倾向于创建弱密码,这样就容易被黑客破解。 他们还喜欢对多个站点重复使用相同的密码。
安全性公司Trusteer发现,73% 的银行客户使用其在线帐户密码来访问其他网站。 那么他们是否也会使用相同的密码来访问公司服务器呢? 显而易见,有必要创建更强的密码。 我们编辑了一些创建强密码的可行和不可行事项。 请确保与您的用户一起分享此列表。
不可行事项
不要使用在任何语言的词典中可以找到的词语。 黑客可能尝试使用基于该词典中词语的词典攻击来猜测您的密码。
当创建四个数字的密码时,不要使用基于个人信息的数字组合。 类似您的结婚日期或孩子生日的数字很容易就会被发现。
如果您包含数字和字符但不象大多数人那样使用,您就可以创建较强的密码。 密码猜测软件很容易就可猜出您将 a 切换为 @ 或在密码结尾添加了 !。
不要强制用户频繁地更改密码。 用户应多久更改密码没有定论。 知名的安全专家 Bruce Schneier相信,被强制定期更改密码的人更倾向于选择弱密码,因为它们便于记忆。 更好的目标应是鼓励用户首先创建不易被盗取的强密码。
可行事项
选择 8 个或更多字符的密码。
许多安全专家建议使用词语短语来帮助创建强的且易记忆的密码。 例如,不要使用您喜欢的颜色粉色 (pink) 作为密码,而是在您能记住的一系列词语中使用 pink。 可以是“我卧室的墙壁颜色是粉色 (the colour of the walls in my bedroom is pink)”。 您的新密码是每个词的第一个字母: tcotwimbip。
还可以使用大小写结合的方式使密码更强,例如: tcOTwiMbIp。 若使用字母、数字、标点和符号组合会更好: ?tc0T4w!M1bIp。
从整个键盘选择字母、数字和符号,而不要只选择那些经常使用或常见的。
您可以在 Microsoft's(R) Safety & Security Center 上检查密码强度。 该检查器不会收集、存储或传输您的密码; 它只会根据其强度进行评估。
更改所有默认密码。 包括新设备中出厂设置密码、由 IT 生成的密码以及由密码重置请求生成的密码。
花一些时间为真正关注的站点创建强密码。 它们包括公司系统、银行站点和社交媒体帐户,也就是如果黑客获取访问权限后可能造成严重损失的站点。
如果想要每月更改密码,可以尝试由 Farhad Manjoo 在 Slate 杂志上建议的以下方法。 他以一个基础语句开始,该语句可让他每月为特定站点更改某些部分。 例如,基本语句是“二月份是 20 度所以我使用 Gmail (It's 20 degrees in February so I use Gmail)”,它可生成密码 i20diFsIuG(使用每个词的第一个字母和数字)。 在九月份(自然年的第九个月份),该语句将变为“九月份是 90 度所以我使用 Gmail (It's 90 degrees in September, so I use Gmail)”(密码变为 i90diSsIuG)。
就象用户可能不会把房门钥匙放在垫子下一样,他们也不应将密码贴在电脑屏幕上。 博主 JetCityOrange建议在存储设备上存储密码或保存在锁住的另外一个地方。
Schneier 开发了 Password Safe,这是一个开放源密码生成器和管理系统。 它允许用户安全而方便地创建安全和加密的用户名和密码列表。 您需要记住的只有一个主密码用来解锁和访问整个列表。
需要更多原因更改弱密码吗?
下面是一些来自《商业周刊》文章的骇人的统计信息: 密码问题。
黑客的计算机随机猜出六个和九个字符的密码所需时间是多久?
六个字符
如果全部是小写字母,则需要 10 分钟
如果包括大写,则需要 10 小时
如果包含数字和字符,则需要 18 天
九个字符
如果全部是小写字母,则需要 4 个月
如果包括大写,则需要 178 年
如果包含数字和字符,则需要 44,530 年
用户需要记住的密码越多,越倾向于创建弱密码,这样就容易被黑客破解。 他们还喜欢对多个站点重复使用相同的密码。
安全性公司Trusteer发现,73% 的银行客户使用其在线帐户密码来访问其他网站。 那么他们是否也会使用相同的密码来访问公司服务器呢? 显而易见,有必要创建更强的密码。 我们编辑了一些创建强密码的可行和不可行事项。 请确保与您的用户一起分享此列表。
不可行事项
不要使用在任何语言的词典中可以找到的词语。 黑客可能尝试使用基于该词典中词语的词典攻击来猜测您的密码。
当创建四个数字的密码时,不要使用基于个人信息的数字组合。 类似您的结婚日期或孩子生日的数字很容易就会被发现。
如果您包含数字和字符但不象大多数人那样使用,您就可以创建较强的密码。 密码猜测软件很容易就可猜出您将 a 切换为 @ 或在密码结尾添加了 !。
不要强制用户频繁地更改密码。 用户应多久更改密码没有定论。 知名的安全专家 Bruce Schneier相信,被强制定期更改密码的人更倾向于选择弱密码,因为它们便于记忆。 更好的目标应是鼓励用户首先创建不易被盗取的强密码。
可行事项
选择 8 个或更多字符的密码。
许多安全专家建议使用词语短语来帮助创建强的且易记忆的密码。 例如,不要使用您喜欢的颜色粉色 (pink) 作为密码,而是在您能记住的一系列词语中使用 pink。 可以是“我卧室的墙壁颜色是粉色 (the colour of the walls in my bedroom is pink)”。 您的新密码是每个词的第一个字母: tcotwimbip。
还可以使用大小写结合的方式使密码更强,例如: tcOTwiMbIp。 若使用字母、数字、标点和符号组合会更好: ?tc0T4w!M1bIp。
从整个键盘选择字母、数字和符号,而不要只选择那些经常使用或常见的。
您可以在 Microsoft's(R) Safety & Security Center 上检查密码强度。 该检查器不会收集、存储或传输您的密码; 它只会根据其强度进行评估。
更改所有默认密码。 包括新设备中出厂设置密码、由 IT 生成的密码以及由密码重置请求生成的密码。
花一些时间为真正关注的站点创建强密码。 它们包括公司系统、银行站点和社交媒体帐户,也就是如果黑客获取访问权限后可能造成严重损失的站点。
如果想要每月更改密码,可以尝试由 Farhad Manjoo 在 Slate 杂志上建议的以下方法。 他以一个基础语句开始,该语句可让他每月为特定站点更改某些部分。 例如,基本语句是“二月份是 20 度所以我使用 Gmail (It's 20 degrees in February so I use Gmail)”,它可生成密码 i20diFsIuG(使用每个词的第一个字母和数字)。 在九月份(自然年的第九个月份),该语句将变为“九月份是 90 度所以我使用 Gmail (It's 90 degrees in September, so I use Gmail)”(密码变为 i90diSsIuG)。
就象用户可能不会把房门钥匙放在垫子下一样,他们也不应将密码贴在电脑屏幕上。 博主 JetCityOrange建议在存储设备上存储密码或保存在锁住的另外一个地方。
Schneier 开发了 Password Safe,这是一个开放源密码生成器和管理系统。 它允许用户安全而方便地创建安全和加密的用户名和密码列表。 您需要记住的只有一个主密码用来解锁和访问整个列表。
需要更多原因更改弱密码吗?
下面是一些来自《商业周刊》文章的骇人的统计信息: 密码问题。
黑客的计算机随机猜出六个和九个字符的密码所需时间是多久?
六个字符
如果全部是小写字母,则需要 10 分钟
如果包括大写,则需要 10 小时
如果包含数字和字符,则需要 18 天
九个字符
如果全部是小写字母,则需要 4 个月
如果包括大写,则需要 178 年
如果包含数字和字符,则需要 44,530 年