机房360首页
当前位置:首页 » 安全入门 » 如何安全设定和检测你的密码安全性?

如何安全设定和检测你的密码安全性?

来源:TechTarget中国 作者:Randy编辑 更新时间:2012-3-22 13:53:47

摘要:自去年CSDN网站、天涯、开心网、人人网等网站被曝大量用户的密码被泄漏以来,密码的安全问题已引起用户和业界的极大关注和重视。你的密码安全吗?上互联网站还会不会泄漏密码?……这些问题都引起了广大用户的恐慌。站在一个信息安全工作者的角度来讲,这个问题虽然严重,但还没有到草木皆兵的地步。因此,本文将客观地分析密码安全问题的原因,提供给用户安全设定密码的基本原则。

  一、密码安全问题的原因分析
  
  从密码泄露或者被窃取的原因来分析,主要有如下几方面的原因:
  
  密码明文存储:在2000年左右,随着互联网的飞速发展,互联网站也在如雨后春笋般地涌现出来,当时网站对安全问题没有重视,因此出现了部分网站对用户的注册信息(其中也包括密码)均采用明文存储的方式。在这样的前提下,一旦网站的数据库被黑客攻击,或者是内部人员的数据库拷贝,都会造成大量用户信息的泄露;
  
  弱密码设定:用户的弱密码设定应该是当前密码泄露或者被窃取的主要原因。很多用户都采用非常简单的,与自己身份或者生日等强相关的信息来设定非常简单的密码(如仅用数字、字母或者数字等),这就给不法用户或者黑客留下了可趁之机。更为重要的是,即算现在网站都采用密文加密并存储的方式来保证用户密码安全,一旦数据库被黑客攻击,黑客仍然可以基于弱密码,采用“彩虹表”来对用户密码进行猜测,而且这样成功地几率非常高;
  
  并且,从当前的情况来看,弱密码设定在密码出现安全问题的情况下所占的比重超过80%,因此,互联网用户尤其需要重视该问题。那么,该如何来避免使用弱密码呢?下面给出一些基本原则。
  
  二、密码安全设定的基本原则
  
  目前密码破解程序大多采用字典攻击以及暴力攻击手段,而其中用户密码设定不当,则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码,这样,黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中,应尽量使用非字典中出现的组合字符,并且采用数字与字符相结合、大小写相结合的密码设置方式,增加密码被黑客破解的难度。而且,也可以使用定期修改密码、使密码定期作废的方式,来保护自己的登录密码。
  
  具体列出几条设定安全密码的参考原则如下(5个需要遵循):
  
  1)口令长度至少为八个字符:口令越长越好。若使用MD5口令,它应该至少有15个字符。若使用DES口令,使用最长长度(8个字符)。
  
  2)混和大小写字母:混和大小写会增加口令的强健程度。
  
  3)混和字母和数字:在口令中添加数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。
  
  4)包括字母和数字以外的字符:&、$、和>之类的特殊字符可以极大地增强口令的强健性(若使用DES口令则不能使用此类字符)。
  
  5)挑选一个自己可以记住的口令:如果自己记不住自己的口令,那么它再好也没有用;使用简写或其它记忆方法来帮助自己记忆口令。
  
  另外,还有一些原则需要牢记(8个需要避免):
  
  1)不要只使用单词或数字,决不要在口令中只使用单词或数字。
  
  2)不要使用现成词汇:像名称、词典中的词汇、甚至电视剧或小说中的用语,即使在两端使用数字,都应该避免使用。
  
  3)不要使用外语中的词汇:口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。
  
  4)不要使用黑客术语。
  
  5)不要使用个人信息:千万不要使用个人信息。如果攻击者知道自己的身份,推导出自己所用口令的任务就会变得非常容易。以下是自己在创建口令时应该避免使用的信息类型。
  
  6)不要倒转现存词汇:优秀的口令破译者总是倒转常用词汇,因此倒转薄弱口令并不会使它更安全。
  
  7)不要笔录自己的口令:决不要把口令写在纸上。把它牢记在心才更为安全。
  
  8)不要在所有机器上都使用同样的口令:在每个机器上使用不同的口令是及其重要的。这样,如果一个系统泄密了,所有其它系统都不会立即受到威胁。并且,不法用户也很难以一个系统为突破口,来威胁到你其他系统的安全。
  
  责任编辑:Randy

本文地址:http://www.jifang360.com/news/2012322/n417634658.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
更多
推荐图片