為什么需要強(qiáng)密碼？

我們可能每天都使用個人識別碼 (PIN)、密碼或口令。從 ATM 取錢或在商店使用借記卡，到登錄電子郵件或在線零售商。跟蹤所有數(shù)字、字母和單詞組合可能令人沮喪，但這些保護(hù)措施很重要，因?yàn)楹诳蛯ξ覀兊男畔r刻構(gòu)成真正的威脅。通常，攻擊并不是專門針對某個人的賬戶，而是關(guān)于使用對信息的訪問權(quán)限來發(fā)起更大的攻擊。

保護(hù)信息或物理財產(chǎn)的最佳方法之一是確保只有經(jīng)過授權(quán)的人才能訪問它。下一步是驗(yàn)證請求訪問的人是他們聲稱的人。這個身份驗(yàn)證過程在網(wǎng)絡(luò)世界中更重要也更困難。密碼是最常用的身份驗(yàn)證方式，但只有在密碼復(fù)雜且機(jī)密時才有效。由于密碼不安全和強(qiáng)度不足，許多系統(tǒng)和服務(wù)已被成功攻破，案例舉不勝舉，每次護(hù)網(wǎng)演習(xí)都會暴露出一大批弱口令，這就是最佳的證據(jù)。一旦系統(tǒng)遭到破壞，就會被不明來源身份的人利用。

?如何選擇好的密碼？

避免常見錯誤

大多數(shù)人使用基于個人信息且易于記憶的密碼。但是，這也使攻擊者更容易破解密碼?？紤]一個四位數(shù)的 PIN碼，你的生日，是日、月、年的哪種組合？是否包含地址或電話號碼？想想找到某人的生日或類似信息是多么容易。你的電子郵件密碼呢？它是一個可以在字典中找到的詞嗎？如果是這樣，它可能容易受到字典攻擊，這些攻擊試圖根據(jù)常用單詞或短語來猜測密碼。

盡管故意拼錯一個詞（“daytt”而不是“date”）可能會提供一些防止字典攻擊的保護(hù)，但更好的方法是依靠一系列詞并使用記憶技術(shù)或助記符來幫助您記住如何解碼它。例如，對于“[I] [l]ike [T]o [p]lay [b]asket[b]all”，使用“IlTpbb”代替密碼“hoops”。同時使用小寫和大寫字母又增加了一層晦澀難懂。將上面使用的相同示例更改為“Il！2pBb”。創(chuàng)建一個與任何字典單詞都非常不同的密碼，這個密碼相對來說自己容易記憶，而別人不容易猜測，增加暴力破解的難度。

長度和復(fù)雜性

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)為強(qiáng)密碼制定了具體的指導(dǎo)方針。根據(jù) NIST 指南，應(yīng)該考慮盡可能使用最長的密碼或允許的密碼短語（8-64 個字符）。例如，“Pattern2baseball#4mYmiemale！” 將是一個強(qiáng)密碼，因?yàn)橛?28 個字符，包括大小寫字母、數(shù)字和特殊字符?？赡苄枰獓L試密碼短語的不同變體——例如，某些應(yīng)用程序限制密碼的長度，而有些應(yīng)用程序不接受空格或某些特殊字符。避免使用常見的短語、名言和歌詞。當(dāng)然，在中文環(huán)境里如果喜歡詩歌的人，可以盡量找一個比較生僻的詩歌來設(shè)置密碼，其中在《喬家大院》中喬致庸設(shè)置密字，就是考慮到一首詩的生僻性。

該做什么和不該做什么

一旦你想出了一個強(qiáng)大的、令人難忘的密碼，很容易重復(fù)使用它，切記這是違法密碼設(shè)置原則的，會帶來安全風(fēng)險。重復(fù)使用密碼，即使是強(qiáng)密碼，也會像使用弱密碼一樣危及到賬戶安全。如果攻擊者猜到密碼，將可以使用相同的密碼訪問其他賬戶。使用以下技術(shù)為每個賬戶開發(fā)唯一的密碼：

• 在不同的系統(tǒng)和賬戶上使用不同的密碼。
• 使用每個密碼系統(tǒng)允許的最長密碼或密碼短語。
• 開發(fā)助記符來記住復(fù)雜的密碼。
• 考慮使用密碼管理器程序來跟蹤密碼。
• 請勿使用基于易于訪問或猜測的個人信息的密碼。
• 不要使用可以在任何語言的任何詞典中找到的詞。

如何保護(hù)密碼？

在選擇了一個容易記住但別人很難猜到的密碼后，千萬不要把它寫下來，放在別人可以找到的地方。把它寫下來，放在辦公桌上，放在電腦旁邊，或者更糟糕的是用膠帶粘在電腦上，這樣可以讓那些可以物理訪問辦公室的人輕松訪問它。不要將密碼告訴任何人，并注意攻擊者試圖通過電話或電子郵件來欺騙，對你展開釣魚，要求向其提供透露密碼。密碼管理器程序提供了為所有賬戶創(chuàng)建隨機(jī)生成的密碼的選項(xiàng)。然后，可以使用主密碼訪問這些強(qiáng)密碼。如果使用密碼管理器，請記住使用高強(qiáng)度主密碼。密碼問題可能源于網(wǎng)絡(luò)瀏覽器在內(nèi)存中保存密碼和在線會話的能力。根據(jù)網(wǎng)絡(luò)瀏覽器的設(shè)置，任何有權(quán)訪問計(jì)算機(jī)的人都可能會發(fā)現(xiàn)所有密碼并訪問相關(guān)信息。當(dāng)使用公共計(jì)算機(jī)（在圖書館、網(wǎng)吧，甚至是辦公室的共享計(jì)算機(jī)）時，請務(wù)必記住注銷。避免使用公共計(jì)算機(jī)和公共Wi-Fi訪問敏感賬戶，例如銀行和電子郵件。

所有的技術(shù)都不能絕對保證這些技術(shù)會阻止攻擊者了解用戶密碼，但它們會增加難度，提升安全性。

安全基礎(chǔ)知識

• 使操作系統(tǒng)、瀏覽器和其他軟件保持最新。
• 使用和維護(hù)防病毒軟件和防火墻。
• 定期掃描計(jì)算機(jī)以查找間諜軟件。（一些防病毒程序包含間諜軟件檢測。）
• 謹(jǐn)慎對待電子郵件附件和不受信任的鏈接。
• 注意賬戶上的可疑活動。