IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

安全经典:深入认识选择与保护密码

2007年08月02日
赛迪网/刘亚萌

密码是一种常见的认证形式,而且经常是使用者和你的个人信息之间的唯一壁垒。攻击者可以使用一些程序来帮助猜测或“破解”密码,但是通过选择一个好的密码并做好保密工作,你就可以使未经授权进入你的信息变的非常困难。

为什么你需要一个密码?

想想每天你要使用多少个个人标识码,密码或密码口令:从ATM取钱或在商店使用银行借记卡时,登录你的电脑或电子邮件时,签署网上银行账号或网上购物时……看起来名单只会越来越长。记住所有这些数字,字母和单词组合可能会让你时不时地感到沮丧,没准你也会怀疑这些烦琐的工作是否值得。毕竟,攻击者关心的是你的个人电子邮件账号,不是吗?还有在别人的账号有很多钱的情况下,还会有人骚扰你的空空如也的银行账号吗?

攻击者常常不是只想要进入你的账号,他们想要获得进入你的资料的权限来发动更大的攻击。也许看起来有人能够进入你的个人电子邮件并不比侵犯个人隐私更严重,但是想想如是进入的是你的社会安全保险账号或是医疗记录呢?

保护个人资料和有形资产的最好方法之一就是仅让得到授权的人进入账号。接下来的步骤是确认人物身份是否如他所说,这个认证的步骤更为重要,在数码世界里实现它也更为困难。密码是最常用的认证手段,不过假如你没有选择一个好的密码且将它保密好,它就会形同虚设。很多系统和服务都可以侵入账号都归因于不安全和不恰当的密码,有些病毒软件和蠕虫病毒可以猜测出较简单的密码。

怎样选择一个好的密码?

很多人使用的密码都基于他们的个人信息,这样很容易记忆。但是,这样也更容易被黑客猜出或破解。起一个4个数字的PIN码时,你会用你的生日的年月日来组合吗?或是你的社会保险号码的后四个数字?或者你的地址和电话号码?想想找到一个人的个人信息是多么容易。那么你的电子邮件密码呢?—是一个在字典中能找到的单词吗?如果是,就可能会被那些“字典”攻击者攻击,他们是基于运用字典信息来猜测密码的攻击者。

尽管有意拼错单词(如用“daytt”代替“date”)可以为防御字典攻击者提供一些保护,更好的方法是依靠单词串联和使用记忆技巧,或记忆术,帮助你记得如何破解它。比如,使用“llTpbb”来代替密码“hoops”,“llTpbb”是"[I][l]ike [T]o [p]lay[b]asket[b]all."的缩写。使用小写和大写两种字母来增加一层隐型保护。不过最好的防御方法还是使用数字、特殊字符、小写和大写两种字母的组合。把上面的例子再改变一下我们得到"Il!2pBb."可以看到增加了数字和特殊字符后它变的复杂的多了。

不要以为你已经制定了强有力的密码,就可以在你登录的每个系统和程序中使用它。如果一个攻击者猜到了你的密码,他就可以进入你所有的账号。你应该使用这些技巧来为每一个账号制定独特的密码。

现在回顾一下选择密码时的策略:

不要使用基于个人信息的易被猜出的密码
不要使用在任何字典或语言中能找到的单词 
使用记忆术来记住复杂的密码
同时使用小写和大写字母
使用字母、数字和特殊字符的组合 
在不同的系统中使用不同的密码

怎样保护你的密码?

现在你已经选好了一个难猜的密码,你得确保不会把它放在什么别人能找到的地方。写下来放在你的桌子上,电脑旁边,或者更糟糕的,贴在电脑上,都会使任何进入你办公室的人轻易得到你的密码。不要把密码告诉任何人,还要小心通过电话、电子邮件的方式要求你提供密码的欺骗行为。

如果你的互联网服务提供商(ISP)提供系统认证的选择,那么选择那些使用Kerberos,基于挑战/响应类型的,或公开密钥的系统,而不是简单的密码(请参考理解ISP和加强口令了解更多的信息)。可考虑挑战那些只用口令的服务商,让他们采用更安全的方法。

另外,很多程序都提供了“记住”密码的选项,但是这些程序保护信息的安全级别各不相同。有些程序,比如电子邮件程序,把信息按文本文件存入你的电脑。这意味着任何能够进入你电脑的人都可以发现你所有的密码,由此得到进入你信息的权限。因此,如果使用的是公共电脑,要一直记得登出账号(在图书馆,网吧,甚至是办公室里公用的电脑)。当你的密码过多时,其他使用强大的加密术来保护密码的程序,如Apple’s Keychain和Palm's Secure Deskto,可以提供可行性的选择管理密码。

虽然这些方法不能完全确保阻止攻击者得到你的密码,但是它们肯定会使之变得更为困难。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点