密碼管理的幾個建議

        最近的密碼泄露風波讓大家對密碼安全有了更深一層的認識。不僅如此，密碼安全更是全世界人們都必須重視的東西。根據英國衛報消息，美國戰略預測 公司網站遭到黑客攻擊，85萬注冊用戶信息遭泄密。其中 221 名英國國防部軍官和 242 名北約官員郵件地址遭泄露，密碼均可輕易破解。更多美國軍方人士個人信息也遭泄密。美國前副總統丹-奎爾以及前國務卿基辛格的個人信息竟然也在其中。密碼 安全好似相處已久的戀人，平時雖無特別的感受，但等到不得不分手時才感到追悔莫及。

        通常來說，密碼安全性受個人技術能力，社會工程學知識，管理習慣等因素影響。不過好的密碼管理習慣可以有效的增強密碼安全性強度，甚至在密碼發生泄露之后最大程度的減少損失。這里我們就來談談如何養成好的密碼管理習慣。

        密碼創建

        密碼的創建非常重要，他是有效保護賬戶安全的第一步。強密碼應該使用由數字和大小寫英文字符組成，長度應該至少在 8 位以上，如此一來，該密碼的可能組合至少為 10^6×24^2×7×8 種，使用暴力破解的方式代價極大。除此之外，密碼字符應該盡可能多，甚至參雜標點符號。同時密碼中不能出現有意義的單詞，與個人生日、姓名有關的字符或者 各類電話號碼，總之不能是其他人能夠輕易獲取到的任何個人信息，密碼應該只對你自己有意義。遺憾的是，通過分析 CSDN 泄露出的密碼數據庫，使用 123456789 作為密碼的用戶居然有 23 萬之多，可見的密碼安全在很多人心中的地位并不重要。

        創建了強密碼之后是否就意味著一勞永逸呢？當然不是的，你密碼不應該是唯一的，理想情況下，每個賬戶都應該使用不同的密碼。不過遺憾的是人類的 大腦并不如電子記憶體一般，能夠一次保存，永久讀寫，因此建議采取分級密碼管理的方式為重要程度不同的賬戶創建不同的密碼。比如，普通論壇賬戶對于安全性 的需求較低，對于黑客來說也不會有特別大的價值，因此可以采用較為簡單密碼。而銀行賬戶、電子支付賬戶和重要聯系工具，比如電子郵箱、即時通訊賬戶則應該 使用強度非常高的密碼進行保護。在最近的 CSDN 密碼泄露事件中，有不少用戶的在注冊郵箱中使用的密碼和 CSDN 密碼完全相同，導致了不可估量的后果。由于郵箱和大量 ID 綁定，各種 ID 都可以通過郵箱找回，因此一旦郵箱丟失，相當于丟失了所有采用此郵箱注冊的 ID 。

        密碼使用

        臨時使用了旅館的計算機之后，我朋友的 QQ 遭到盜竊，并向所有好友借錢。這是現在仍然流行的一種詐騙方式。由此可見，哪怕你有長達 18 位的標點，數字與字母混合密碼，正確的使用方式仍然十分重要。密碼使用時的第一個要點就是不要在不熟悉的計算機上輸入密碼。這些計算機可能安裝有特殊的鍵 盤記錄程序，可以記錄每一次擊鍵輸入。即便不得不使用密碼，也可以采取以下措施：

• 使用屏幕鍵盤
• 不要記住登錄狀態且使用完畢后完全退出
• 回到自己的計算機上修改密碼

        密碼在使用時還需要考慮到一些其他因素。除了老生常談的“不要將密碼泄露給他人”之外，有些用戶的密碼泄露居然是因為遭到了旁窺。在實際操作 中，也應該使用額外的安全措施降低密碼在使用中泄露的機會。除了為自己的計算機安裝安全軟件，用戶還應該謹慎分辨要求輸入密碼的場合是否有異常，以免被釣 魚網站利用。有些網站提供了密碼輸入控件和額外的驗證服務，比如短信驗證碼等，都是不錯的安全加強手段，我們稍后會仔細談一談。

        密碼維護

        除了日常使用以外，密碼也需要定期的維護。維護密碼最常見的一個目的就是防止遺忘。這個 ID 我已經多久沒有使用了？我還記得他的密碼嗎？這個 ID 是在哪個網站注冊的？他還有效嗎？這些都是密碼維護過程中需要注意的問題。除此之外，密碼維護也包含了對密碼的定期更換。誰都無法保證在密碼使用過程中的 絕對安全，因此定期對關鍵密碼進行更換也是十分重要的。通常來說，新更換的密碼應該從未在任何地方被使用過，且無法從已有的密碼中被類推出來。密碼維護還 包含一個非常重要的步驟，就是檢查已有的密碼是否已經發生泄露。常見的檢查方式就是通過網站的賬戶記錄檢查工具查看賬戶是否有異常的登錄信息或者操作記 錄，依此確認密碼是否發生了泄露。

        密碼維護能夠使得密碼安全性得到顯著加強，是必不可少卻常被人們忽視的一個步驟。

        特殊密碼（身份憑據）

        QQ 令牌，淘寶手機密令， Google 身份驗證工具，以及魔獸秘寶卡/安全令牌和各大銀行的短信登錄驗證碼/ USB Key 都是強度很高的額外身份驗證工具，通常來說，他們的安全性強度排列如下：

        令牌（動態密碼，安全性最強）=短信驗證碼> USB Key > 秘寶卡

        各類手機令牌/實體電子令牌是目前安全性最佳的身份驗證工具，強烈建議每位用戶使用，尤其是手機令牌并不會給智能手機用戶帶來額外的費用，卻能 夠顯著增強安全性，非常值得推薦。這類令牌在綁定后，會給用戶提供一個額外驗證碼。網站會在用戶進行登錄操作時要求用戶輸入這個驗證碼，否則便無法登陸。 驗證碼每幾分鐘就會改變一次，且每個驗證碼只能使用一次，因此即便有人獲取了其中一個，也無法登陸用戶的賬戶。使用令牌幾乎不會降低安全性，除非網站服務 器中的根證書被盜，導致所有令牌被破解。此外，即便實體電子令牌/手機被盜，賬戶仍有密碼保護，黑客無法僅憑借令牌登錄。目前也沒有任何已知的黑客技術能 夠從用戶的智能手機上直接獲取動態密碼。

        短信驗證碼是手機服務運營商和網銀常見的的一種驗證手段，但由于智能手機的普及，已經有很多已知的黑客技術能夠從用戶的手機上取得短信，因此其 安全性不如手機令牌要高。不過作為一種額外的身份驗證手段，它并不會因此降低密碼安全性。如果黑客沒有同時取得用戶的密碼，也無法憑借短信驗證碼登錄。在 兩臺不同的計算機上申請所取得的驗證碼也完全不同。因此短信驗證碼仍是一種不錯的額外身份驗證服務。

        各類銀行的 USB Key 實際上是一個內置了加密證書的只讀存儲器，用戶在安裝了特殊的應用軟件之后，能夠通過該證書進行身份驗證并進行加密通訊。 USB Key 通常由銀行頒發，作為用戶在登錄網銀時的身份驗證。 USB Key 的強度取決于網銀配套軟件的安全性強度，如果黑客能夠破解網銀應用軟件的安全防護，當然也就能夠偽造各種交易指令了。因此， USB Key 最好也僅在自己信任的計算機上使用，且在不使用時從計算機上拔出。

        秘寶卡是動態密碼的一種原始版本，通常動態密碼是一張 10 × 10 的表格，每個格子里填寫有一位數字或字母，登錄網站時，用戶會被要求依次輸入幾個格子內的字符，這些格子的位置都是隨機選出的，因此即便黑客能夠取得其中 幾個格子中的字符，也無法獲取整張秘寶卡的內容，從而登錄用戶帳戶。不過，許多用戶為了方便，將秘寶卡掃描到計算機中，給了黑客可乘之機。此外，黑客如果 持續監視某一賬戶，在用戶多次執行登錄操作之后，就能夠大致得到整張秘寶卡的內容，因此秘寶卡是一種不完美的動態密碼，其動態的范圍是有限的，并不能夠真 正實現一次一秘。

        其他密碼管理

        移動設備，諸如運行 iOS 和 Android 系統的智能手機已經承載了太多功能，大到各類金融交易，小到各類私人事務的處理都可以在上面完成。因此，智能手機上的密碼安全性也應該予以重視。智能手機 除了應該和個人計算機一樣，不要安裝來路不明的軟件之外，還有一些值得注意的安全性漏洞：

        手機鎖屏界面通常是一個四位數字的 PIN 碼或者九宮格的圖案鎖，由于手機屏幕表面常常覆蓋著一層污垢，因此經常點擊的位置會變得十分明顯。如果不懷好意的人盜取了你的智能手機，他們能夠通過觀察 屏幕表面得到作為密碼的圖案或者數字，這是十分危險的，為了避免這種情況的產生，建議用戶在設置 PIN 碼時重復一位數字，使得黑客無法確認哪一位是被重復的數字，以提高安全性。在設置九宮格圖案鎖時重復一個路徑點，也能夠混淆圖案的真實畫法。此外，在 iOS 和 Android 設備上都有一些提供遠程鎖定，資料清除和設備追蹤的服務，用戶也可以啟用它們來給設備提供額外的安全性加強。

        總結

        密碼安全性是一種理念和行為，而非一個口號，從另一個角度上來說，你無需保證自己的密碼絕對安全，這也是不可能做到的，你需要保證的只是密碼安全性與其賬戶價值相符，或者說，比其他人的密碼更為安全就可以了。

來自: ifanr 愛范兒