科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道数据安全创建高强度密码并没有想象中那么难

创建高强度密码并没有想象中那么难

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

快停止使用简单的密码吧!下面的内容将为您展示如何创建无数的、易牢记的强大而简单的密码。

作者:Yeva 来源:ZDNet安全频道 2013年1月6日

关键字: 密码 密码设置 密码安全

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 01月06日 原创翻译: 快停止使用简单的密码吧!下面的内容将为您展示如何创建无数的、易牢记的强大而简单的密码。

即使有了智能卡、生物识别技术和其它多因素身份验证解决方案,但是基本的账户/密码登陆的组合依然必不可少。安全专家总是建议使用“高强度密码”。但是,什么样的密码才算是高强度密码呢?应当具备什么条件呢?你如何避免因密码过于复杂而忘记呢?

依据NIST(美国国家标准与技术研究所)的标准,一个高强度密码所包含的字符应该不少于12个,这是由美国政府在2007年所通过的标准,并进一步明确了美国政府密码配置的基线。管理员的密码应该是15个字符。读者肯能会对这个长度叹口气,但这已经是五年来被推荐的长度中最短的了。任何比这个标准短的密码都被认为是不安全的。

当然,很多人都在使用更短的密码。但是,你应该知道,随着时间的推移,增加长度的密码可以为你提供更多的保障。一个8个字符的密码可能为你提供几天的保护,而一个12个字符的密码普遍认为能够提供最多90天的保护。15个字符的密码通常被认为能够提供一年的良好保护。

复杂性只是个神话

大多数安全准则依然坚持字符复杂化的方针,这通常意味着密码必须包含多个字符集,如大写字母、数字、符号键盘等等。而正如我之前所说,复杂性并没有长度重要。若密码拥有了足够的长度则可以战胜密码破解器或解密高手,而复杂性的大量增加只是体现了随机或者接近随机的价值。

通常情况下,当用户被迫增加密码的复杂性时,他们会使用相同类型的字符在同样的地方。例如,当人们需要设置某个常见的8字符复杂密码时,大多数人会选择自己国家语言的词根,第一个字母会用大写(通常是个辅音),其次会是一个小写元音字母。如果他们使用数字,通常会是一个“1”或者“2”,并放置在密码的最后。如果他们使用符号,极有可能会是一个极少数的字符放置在中间某个地方,经常更换一个字母相似的形状:@或零更换“O”,“i”替换成“!”等等。

密码破解者很清楚这些用户习惯,他们对密码破解工具进行了优化,添加这些规则进行密码猜测。一些安全专家,包括我在内,通过对大型转储捕获密码的分析,可以发现上述复杂密码的规律,而且非常之多。

若是让增加的复杂性显示出真正的价值,密码必须是独特的、随机的——类似%TV4$H@<P。但是,如果它们太过有难度,人们就会将它们写下来或是忘记。遗憾的是,安全审计人员和相关规定(包括PCI DSS)要求密码具备一定的复杂性。例如,我使用的金融网站最长的密码长度为6个字符,但却被迫要求使其更加复杂。这让我想尖叫!我觉得Dogdogdogdog或Iforeverlovedogs这样的密码比那强多了!

设置密码的窍门

有些人喜欢使用特殊的密码保存方案,但我喜欢其它的方法,这对我来说是更快的。在我所有的密码当中,会使用一个相同的根密码(比如:TadPole),但每个密码要具有不同的开头和结尾。一个网站是44TadPole44,另一个可能是TadPole32,而还有一个可能是AmazTadpole32On。此外,根据不同的网站你可以在根密码上添加不同的前缀和后缀,方便记忆。

由于具有共同的根密码,我可以轻松记住数百个不同网站的密码。因为每个密码是不同的,如果有攻击者破解了我某个网站的密码,虽然我的密码具有共通性,但针对其它账户而言,那些密码仍然是未知的。即使他们能够得到我的通用根密码,但他们也很难弄清楚我其它账户的那些密码前缀和后缀。目前没有一个密码工具可以处理这类型的复杂密码组合。

密码重置问题的设置

一个良好的强有力的密码重置问题也同样非常重要。这类型的事件有很多(是否还记得萨拉·佩林电子邮件攻击事件?),那些人并非是真正的黑客,他们只是做了一些研究,动了动脑筋,就能够正确地猜测一个人的密码重置问题。在一般情况下,努力破解一个重置问题的数量级要远远小于猜测一个密码的数量级。因此,这是一个非常薄弱的环节。

所以,在某些时候你需考虑是否该如实填写一些问题。比如当他们问你母亲氏族的姓氏时,你的第一辆车的品牌,或者你的出生地,你是不是有义务提供真正的答案。相反,对每个账户使用一个通用的密码重置问题,并记住我所使用的根密码策略,改变相关的单词或词组,这样你就可以记住每个账户或网站的密码重置问题的答案了,并且安全系数也很高。

现在,任何人都可以抛弃那些不安全的密码了。如果你采纳了我的建议,那么就可以减少黑客破解密码的风险了。相信我,现在就开始行动吧。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章