密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案
密碼設定要求:常見的要求無非這麼幾條要求
-
密碼複雜度。要求大寫+小寫+數字+字元,要求大於8位,要求不得使用常見密碼例如123456
-
密碼有效期。要求3個月必須更換密碼
-
密碼儲存方式。要求足夠私密,切勿向他人透漏
-
密碼關聯性。要求不用生日、姓名、門牌、電話等作為密碼,要求不跟其他地方使用相同密碼
簡易的6位數純數字密碼,有些時候看似簡單但也足夠安全:例如銀行卡密碼
之所以僅僅6位,因為銀行卡密碼的使用過程,存在一定時間內錯誤次數約束,因此可以有效避免猜解
之所以純數字,因為銀行卡相容各種終端的需要,例如atm,pos機很多場景只能使用數字鍵盤
密碼破解方式:
-
暴力破解。
例如把所有密碼允許字元拿過來,排個順序,使用類似於 0,1,2,3,4,5,6等數數的方式遞迴排列,逐個嘗試。這種暴力破解,針對沒有密碼錯誤次數時效約束的系統非常有效。
銀行卡密碼此處顯然不太不適用。對於windows遠端密碼,mysql遠端密碼尤其適用,做過系統運維的人都知道,暴露在公網的機器,是天天被大量掃描器自動掃描自動試錯爆破的。
-
關聯猜解。
這裡其實有點社工的味道,比如很多人依然用出生年月當銀行卡密碼,例如198010(1980年10月),801020(80年10月20日),123456(弱密碼)
-
同密碼嘗試。
例如近幾年,網際網路上的幾次密碼洩露事件,csdn600萬密碼,Facebook洩露密碼,天涯洩露密碼等等,雖然僅僅洩露了一個網站密碼,但是實際上很多人在各大網站使用的是同一個密碼,甚至同一個賬號,因此一個地方洩露,多個地方受威脅。
-
釣魚網站。
例如某一天開啟一個QQ空間,突然提示要求登入QQ號,然而位址列卻根本不是qq.com ,這就是釣魚,這情況是使用者自己辨別不當,中了黑客的騙術,自己把密碼告訴了黑客。
-
忘記密碼,不健全的找回方式。
例如電影《Searching》(中文名《網路迷蹤》)中,父親在女兒失蹤後通過忘記密碼方式,開啟自己知道密碼的郵箱重置密碼從而登入女兒社交帳號的操作。
最後建議:密碼分級!歸類使用
現實當中顯然難以做到每個地方一個密碼,因此在這個前提下,可以考慮密碼分組分級
-
最高等級
可以將所有涉及銀行卡的密碼可以考慮使用同一個,因為銀行單位的密碼安全級別足夠高
-
第二等級
然後各種郵箱帳號單獨一個密碼,因為很多線上系統都是靠郵箱註冊,找回密碼,重置密碼。
-
第三等級
然後各種自己在乎的社交系統可以考慮單獨用一套密碼,同時還有些必要的政府類網站可以使用此密碼,例如社保公積金系統等。
-
第四等級
總是不可避免註冊一些“一次性”的網站,例如各種小論壇,各種非自己行業關注的網站
-
第五等級
此類別針對更弱的使用範圍,也可以併入第四等級管理。例如我的所有國外網站賬號都單獨設立了密碼,因為國外網站密碼是否洩漏,是否出現問題很難及時得到訊息,所以我個人建議還是保留一個類別比較合理
密碼的處置方案:
其實文章開頭已經說全了。複雜度,關聯性,儲存方式就沒有必要重複說明了。
說說定期更換,定期更換主要防的是介質安全隱患,例如存在某硬碟上,硬碟被別人看到。另外就是比較有效的防止暴力爆破,例如破解一個密碼需要1年,但是你1個月換一次密碼,那麼爆破執行的過程中,因為改密碼打亂了爆破的順序,有可能躲過爆破過程使用的全部密碼。關於改密碼對於爆破手段,實際上依然存在一種極端概率,就是爆破的前幾個密碼就是自己使用的密碼。