密码管理的几个建议

标签: 观点 password 密码 密码管理 | 发表时间:2012-01-17 13:00 | 作者:徐 浩岑
出处:http://www.ifanr.com

image

最近的密码泄露风波让大家对密码安全有了更深一层的认识。不仅如此,密码安全更是全世界人们都必须重视的东西。根据英国卫报消息,美国战略预测公司网站遭到黑客攻击,85万注册用户信息遭泄密。其中221名英国国防部军官和242名北约官员邮件地址遭泄露,密码均可轻易破解。更多美国军方人士个人信息也遭泄密。美国前副总统丹-奎尔以及前国务卿基辛格的个人信息竟然也在其中。密码安全好似相处已久的恋人,平时虽无特别的感受,但等到不得不分手时才感到追悔莫及。

通常来说,密码安全性受个人技术能力,社会工程学知识,管理习惯等因素影响。不过好的密码管理习惯可以有效的增强密码安全性强度,甚至在密码发生泄露之后最大程度的减少损失。这里我们就来谈谈如何养成好的密码管理习惯。

密码创建

密码的创建非常重要,他是有效保护账户安全的第一步。强密码应该使用由数字和大小写英文字符组成,长度应该至少在 8 位以上,如此一来,该密码的可能组合至少为 10^6×24^2×7×8 种,使用暴力破解的方式代价极大。除此之外,密码字符应该尽可能多,甚至参杂标点符号。同时密码中不能出现有意义的单词,与个人生日、姓名有关的字符或者各类电话号码,总之不能是其他人能够轻易获取到的任何个人信息,密码应该只对你自己有意义。遗憾的是,通过 分析 CSDN 泄露出的密码数据库,使用 123456789 作为密码的用户居然有 23 万之多,可见的密码安全在很多人心中的地位并不重要。

创建了强密码之后是否就意味着一劳永逸呢?当然不是的,你密码不应该是唯一的,理想情况下,每个账户都应该使用不同的密码。不过遗憾的是人类的大脑并不如电子记忆体一般,能够一次保存,永久读写,因此建议采取分级密码管理的方式为重要程度不同的账户创建不同的密码。比如,普通论坛账户对于安全性的需求较低,对于黑客来说也不会有特别大的价值,因此可以采用较为简单密码。而银行账户、电子支付账户和重要联系工具,比如电子邮箱、即时通讯账户则应该使用强度非常高的密码进行保护。在最近的 CSDN 密码泄露事件中,有不少用户的在注册邮箱中使用的密码和 CSDN 密码完全相同,导致了不可估量的后果。由于邮箱和大量 ID 绑定,各种 ID 都可以通过邮箱找回,因此一旦邮箱丢失,相当于丢失了所有采用此邮箱注册的 ID 。

密码使用

临时使用了旅馆的计算机之后,我朋友的 QQ 遭到盗窃,并向所有好友借钱。这是现在仍然流行的一种诈骗方式。由此可见,哪怕你有长达 18 位的标点,数字与字母混合密码,正确的使用方式仍然十分重要。密码使用时的第一个要点就是不要在不熟悉的计算机上输入密码。这些计算机可能安装有特殊的键盘记录程序,可以记录每一次击键输入。即便不得不使用密码,也可以采取以下措施:

  • 使用屏幕键盘
  • 不要记住登录状态且使用完毕后完全退出
  • 回到自己的计算机上修改密码

密码在使用时还需要考虑到一些其他因素。除了老生常谈的“不要将密码泄露给他人”之外,有些用户的密码泄露居然是因为遭到了旁窥。在实际操作中,也应该使用额外的安全措施降低密码在使用中泄露的机会。除了为自己的计算机安装安全软件,用户还应该谨慎分辨要求输入密码的场合是否有异常,以免被钓鱼网站利用。有些网站提供了密码输入控件和额外的验证服务,比如短信验证码等,都是不错的安全加强手段,我们稍后会仔细谈一谈。

密码维护

除了日常使用以外,密码也需要定期的维护。维护密码最常见的一个目的就是防止遗忘。这个 ID 我已经多久没有使用了?我还记得他的密码吗?这个 ID 是在哪个网站注册的?他还有效吗?这些都是密码维护过程中需要注意的问题。除此之外,密码维护也包含了对密码的定期更换。谁都无法保证在密码使用过程中的绝对安全,因此定期对关键密码进行更换也是十分重要的。通常来说,新更换的密码应该从未在任何地方被使用过,且无法从已有的密码中被类推出来。密码维护还包含一个非常重要的步骤,就是检查已有的密码是否已经发生泄露。常见的检查方式就是通过网站的账户记录检查工具查看账户是否有异常的登录信息或者操作记录,依此确认密码是否发生了泄露。

密码维护能够使得密码安全性得到显著加强,是必不可少却常被人们忽视的一个步骤。

特殊密码(身份凭据)

QQ 令牌,淘宝手机密令, Google 身份验证工具,以及魔兽密保卡/安全令牌和各大银行的短信登录验证码/ USB Key 都是强度很高的额外身份验证工具,通常来说,他们的安全性强度排列如下:

令牌(动态密码,安全性最强)=短信验证码> USB Key > 密保卡

image

各类手机令牌/实体电子令牌是目前安全性最佳的身份验证工具,强烈建议每位用户使用,尤其是手机令牌并不会给智能手机用户带来额外的费用,却能够显著增强安全性,非常值得推荐。这类令牌在绑定后,会给用户提供一个额外验证码。网站会在用户进行登录操作时要求用户输入这个验证码,否则便无法登陆。验证码每几分钟就会改变一次,且每个验证码只能使用一次,因此即便有人获取了其中一个,也无法登陆用户的账户。使用令牌几乎不会降低安全性,除非网站服务器中的根证书被盗,导致所有令牌被破解。此外,即便实体电子令牌/手机被盗,账户仍有密码保护,黑客无法仅凭借令牌登录。目前也没有任何已知的黑客技术能够从用户的智能手机上直接获取动态密码。

短信验证码是手机服务运营商和网银常见的的一种验证手段,但由于智能手机的普及,已经有很多已知的黑客技术能够从用户的手机上取得短信,因此其安全性不如手机令牌要高。不过作为一种额外的身份验证手段,它并不会因此降低密码安全性。如果黑客没有同时取得用户的密码,也无法凭借短信验证码登录。在两台不同的计算机上申请所取得的验证码也完全不同。因此短信验证码仍是一种不错的额外身份验证服务。

image

各类银行的 USB Key 实际上是一个内置了加密证书的只读存储器,用户在安装了特殊的应用软件之后,能够通过该证书进行身份验证并进行加密通讯。 USB Key 通常由银行颁发,作为用户在登录网银时的身份验证。 USB Key 的强度取决于网银配套软件的安全性强度,如果黑客能够破解网银应用软件的安全防护,当然也就能够伪造各种交易指令了。因此, USB Key 最好也仅在自己信任的计算机上使用,且在不使用时从计算机上拔出。

image

密保卡是动态密码的一种原始版本,通常动态密码是一张 10 × 10 的表格,每个格子里填写有一位数字或字母,登录网站时,用户会被要求依次输入几个格子内的字符,这些格子的位置都是随机选出的,因此即便黑客能够取得其中几个格子中的字符,也无法获取整张密保卡的内容,从而登录用户帐户。不过,许多用户为了方便,将密保卡扫描到计算机中,给了黑客可乘之机。此外,黑客如果持续监视某一账户,在用户多次执行登录操作之后,就能够大致得到整张密保卡的内容,因此密保卡是一种不完美的动态密码,其动态的范围是有限的,并不能够真正实现一次一秘。

其他密码管理

移动设备,诸如运行 iOS 和 Android 系统的智能手机已经承载了太多功能,大到各类金融交易,小到各类私人事务的处理都可以在上面完成。因此,智能手机上的密码安全性也应该予以重视。智能手机除了应该和个人计算机一样,不要安装来路不明的软件之外,还有一些值得注意的安全性漏洞:

手机锁屏界面通常是一个四位数字的 PIN 码或者九宫格的图案锁,由于手机屏幕表面常常覆盖着一层污垢,因此经常点击的位置会变得十分明显。如果不怀好意的人盗取了你的智能手机,他们能够通过观察屏幕表面得到作为密码的图案或者数字,这是十分危险的,为了避免这种情况的产生,建议用户在设置 PIN 码时重复一位数字,使得黑客无法确认哪一位是被重复的数字,以提高安全性。在设置九宫格图案锁时重复一个路径点,也能够混淆图案的真实画法。此外,在 iOS 和 Android 设备上都有一些提供远程锁定,资料清除和设备追踪的服务,用户也可以启用它们来给设备提供额外的安全性加强。

总结

密码安全性是一种理念和行为,而非一个口号,从另一个角度上来说,你无需保证自己的密码绝对安全,这也是不可能做到的,你需要保证的只是密码安全性与其账户价值相符,或者说,比其他人的密码更为安全就可以了。

“我不害怕计算机,我害怕没有计算机。”–艾萨克.艾西莫夫(Isaac Asimov)

爱范儿 · Beats of Bits | 原文链接 · 6 热评 · 新浪微博 · 订阅全文 · Google+ · #ifanrlive · 加入爱范社区!


相关 [密码 管理] 推荐:

密码管理规范

- cong - shell's home
    下面是贝壳自己总结的密码管理规范,大家可以参考一下. 网络密码通常很难暴力攻击,尝试速度受到网络限制,而且尝试一定次数后还可能被管理员发现. 而本地密码则相对比较容易攻击,我假定本地密码攻击可以达到每秒测试2^30个密码. 密码长度推定使用如下计算方式. 使用年数乘以攻击频率,得出攻击者在密钥使用期限内能尝试的最大次数.

密码管理的几个建议

- - 爱范儿 · Beats of Bits
最近的密码泄露风波让大家对密码安全有了更深一层的认识. 不仅如此,密码安全更是全世界人们都必须重视的东西. 根据英国卫报消息,美国战略预测公司网站遭到黑客攻击,85万注册用户信息遭泄密. 其中221名英国国防部军官和242名北约官员邮件地址遭泄露,密码均可轻易破解. 更多美国军方人士个人信息也遭泄密.

LastPass – 浏览器的密码管理器 | 小众软件 > 安全工具

- 请叫我火矞弟 - 小众软件
感谢 @flied16 的建议. CSDN 的密码泄露事件之后,人人/开心/美空/世纪佳缘/百合/多玩或被泄密. 推荐大家使用 Am I hacked. 这年头只用一个密码太危险了,不同的服务要用不同的密码,甚至是用电脑随机生成的字符做密码. 可这么多网站,这么多密码,谁记得住啊. 赶紧翻旧文,挖几个密码管理器软件给大家用用.

管理

- - 人月神话的BLOG
对于中小企业而言现在管理上欠缺的不是人治或者说儒家佛家等东方管理思想,而真正欠缺的是西方法治的科学管理方法. 现在很多中小企业花很多钱去听什么东方管理思想的培训是误入歧途,东西方管理思想需要融合,但是基础还是科学的管理方法和模式. 而在这个里面最重要的仍然是流程管理,知识管理,质量管理,项目管理这些内容,而不是简单的纯管理.

oracle 忘记密码

- - Oracle - 数据库 - ITeye博客
Oracle一段时间不用了,再登录就登不上去,真乃怪哉,不止俺一人出现此问题,先不问为什么出现这个现象,解决这个问题应急先,网上搜罗解决办法,. ORA-01017 invalid username/password;logon denied" (密码丢失解决方案). 1、先确认是否输错 用户名和密码.

REDO管理

- - CSDN博客数据库推荐文章
一、什么是REDO LOG.  REDOLOG文件是十分重要的文件,它记录了Oracle的所有变化,是数据库实例恢复机制中最为关键的组成部分.     GROUP#    THREAD#  SEQUENCE#      BYTES  BLOCKSIZE    MEMBERS ARC STATUS           FIRST_CHANGE# FIRST_TIME     NEXT_CHANGE# NEXT_TIME.

日志管理

- - CSDN博客系统运维推荐文章
#很关键 [root@client01 ~]# ls /var/log/ anaconda.ifcfg.log. tallylog #关键日志,大部分记录在里面 [root@client01 ~]# ls /var/log/messages /var/log/messages. [root@client01 ~]# ps -ef|grep log #系统日志服务 root.

Amazon密码找回记

- lszhao - 白板报
【核心提示】越来越多的美国互联网服务公司使用电话作为终极的客服沟通方式,而这些呼叫中心往往建在印度,这意味着中国用户如果想解决技术难题,必须苦练口语和听力. 自从买了Kindle电子书,我成了亚马逊的忠实用户. 亚马逊虽然在使用条款中规定,电子书只针对美国用户销售,并且只接受美国信用卡,但实际操作中有简单的变通手段.

正确重置MySQL密码

- xxg - 火丁笔记
谁都不想弄丢家门钥匙,但不管多么小心,时间长了,这样的事情总会发生几次. MySQL密码也是一样,把它写在文档上不太安全,记在脑子里又难免会忘记. 如果你忘记了MySQL密码,如何重置它呢. 首先停止MySQL服务,然后使用skip-grant-tables参数启动它:. 此时无需授权就可以进入到MySQL命令行,使用SQL重置MySQL密码:.

小心输入Gmail密码

- Eneri - 张磊的blog
最近在使用gmail时,会遇到原本登录的情况下还会提示输入用户名密码的情况. 感觉蹊跷就检查了一下页面源代码,果然是钓鱼行为. 我用gmail都是直接点击Google工具栏的按钮,但在家里和公司的电脑都会被劫持,特别地,家里在用Mac公司是Windows,不可能同时中了一样的木马. 应该是运营商(两边的网络都是北京联通)做了手脚问题出在网络上.