密码设置要求:常见的要求无非这么几条要求
密码复杂度。要求大写+小写+数字+字符,要求大于8位,要求不得使用常见密码例如123456
密码有效期。要求3个月必须更换密码
密码存储方式。要求足够私密,切勿向他人透漏
密码关联性。要求不用生日、姓名、门牌、电话等作为密码,要求不跟其他地方使用相同密码
简易的6位数纯数字密码,有些时候看似简单但也足够安全:例如银行卡密码
之所以仅仅6位,因为银行卡密码的使用过程,存在一定时间内错误次数约束,因此可以有效避免猜解
之所以纯数字,因为银行卡兼容各种终端的需要,例如atm,pos机很多场景只能使用数字键盘
密码破解方式:
暴力破解。
例如把所有密码允许字符拿过来,排个顺序,使用类似于 0,1,2,3,4,5,6等数数的方式递归排列,逐个尝试。这种暴力破解,针对没有密码错误次数时效约束的系统非常有效。
银行卡密码此处显然不太不适用。对于windows远程密码,mysql远程密码尤其适用,做过系统运维的人都知道,暴露在公网的机器,是天天被大量扫描器自动扫描自动试错爆破的。
关联猜解。
这里其实有点社工的味道,比如很多人依然用出生年月当银行卡密码,例如198010(1980年10月),801020(80年10月20日),123456(弱密码)
同密码尝试。
例如近几年,互联网上的几次密码泄露事件,csdn600万密码,Facebook泄露密码,天涯泄露密码等等,虽然仅仅泄露了一个网站密码,但是实际上很多人在各大网站使用的是同一个密码,甚至同一个账号,因此一个地方泄露,多个地方受威胁。
钓鱼网站。
例如某一天打开一个QQ空间,突然提示要求登录QQ号,然而地址栏却根本不是qq.com ,这就是钓鱼,这情况是用户自己辨别不当,中了***的骗术,自己把密码告诉了***。
忘记密码,不健全的找回方式。
例如电影《Searching》(中文名《网络迷踪》)中,父亲在女儿失踪后通过忘记密码方式,打开自己知道密码的邮箱重置密码从而登录女儿社交帐号的操作。
最后建议:密码分级!归类使用
现实当中显然难以做到每个地方一个密码,因此在这个前提下,可以考虑密码分组分级
最高等级
可以将所有涉及银行卡的密码可以考虑使用同一个,因为银行单位的密码安全级别足够高
第二等级
然后各种邮箱帐号单独一个密码,因为很多在线系统都是靠邮箱注册,找回密码,重置密码。
第三等级
然后各种自己在乎的社交系统可以考虑单独用一套密码,同时还有些必要的政府类网站可以使用此密码,例如社保公积金系统等。
第四等级
总是不可避免注册一些“一次性”的网站,例如各种小论坛,各种非自己行业关注的网站
第五等级
此类别针对更弱的使用范围,也可以并入第四等级管理。例如我的所有国外网站账号都单独设立了密码,因为国外网站密码是否泄漏,是否出现问题很难及时得到消息,所以我个人建议还是保留一个类别比较合理
密码的处置方案:
其实文章开头已经说全了。复杂度,关联性,存储方式就没有必要重复说明了。
说说定期更换,定期更换主要防的是介质安全隐患,例如存在某硬盘上,硬盘被别人看到。另外就是比较有效的防止暴力爆破,例如破解一个密码需要1年,但是你1个月换一次密码,那么爆破执行的过程中,因为改密码打乱了爆破的顺序,有可能躲过爆破过程使用的全部密码。关于改密码对于爆破手段,实际上依然存在一种极端概率,就是爆破的前几个密码就是自己使用的密码。
原文地址: https://www.opengps.cn/Blog/View.aspx?id=204 文章的更新编辑依此链接为准。欢迎关注源站原创文章!
文末推荐: 阿里云代金券礼包,感谢领取支持本文!!