安全密码的设置

来源:用户上传      作者:

　　密码对于保障计算机用户的信息安全具有至关重要的作用，密码设置不能过于简单，否则，入侵者将通过很容易的方式破解，同时密码设置不能过于复杂，太长而又烦琐的密码对于提高安全性没有实际意义，只会增加用户的使用负担。设计安全方便的密码需要遵循以下原则：
　　一、选择可靠的加密方式
　　信息在本地存储的安全性要远远高于网络存储，因此秘密信息应采用本地存储，并选择可靠的加密方式进行保护。可靠是指：
　　1.加密算法安全
　　使用那些采用强加密算法的软件进行加密，使其无法被暴力破解，如RAR3.0，7z压缩，而office2007之前的版本则不安全。
　　2.程序安全
　　程序自身没有安全漏洞，攻击者不能采用绕过密码等方式读取或破译文件，如windows系统，就能够通过外接方式绕过登录密码直接读取文件。
　　二、密码设置避免弱口令
　　1.密码口令的位数应在8～12位
　　如果攻击者使用暴力破解方式，以现在的计算速度，8位以下的密码都是不安全的，破解的时间会非常短，单机在几天甚至几分钟即可完成破解。
　　2.使用字母、数字、符号混合方式组合密码
　　密码口令不能由单一字母或数字组成，在程序允许的范围内应尽量使用混合组合的方式，如id*jo20I（DJO2K6^A，就是强度很高的密码，可以大幅提高暴力猜解的难度。
　　3.避免使用有规律的字母和数字组合
　　类似APPle20111221这样的密码，由于使用了“单词+年份”的组合方式，虽然对穷举式暴力破解的安全性较高，但极有可能被一些破解字典收录。
　　4.密码设置不要与个人信息明显关联
　　不要使用本人及家人的姓名、车牌号、手机号、身份证号、工号、生日等易获取的常用信息组合密码，攻击者会通过收集这些信息以后生成字典攻击。
　　三、密码设置要方便使用
　　1.组合方式要方便输入
　　如果把密码弄得很复杂，虽然一定程度提高了安全性，但是自己平时输入就很不方便，如频繁切换大小写、数字、符号的组合会更为安全，但这样会给输入密码带来很大的麻烦。事实上，真正需要经常用到密码口令的人只有用户自己，如果不设计得更加合理，符合个人操作习惯，只会增加使用者负担。
　　2.密码设计要方便用户记忆
　　从安全角度出发，使用毫无规律的随机组合作为密码可以完全避免字典攻击，类似于前面所提到的那个密码id*jo20I（DJ02K6^A，这样的口令组合确实安全性很高，但这种随意的组合的方式也会让使用者本人难于记忆，一个使用者无法记住的密码是没有任何意义的。
　　3.平衡密码安全和使用方便
　　既要密码安全，又要使用方便，那么在设计密码时，就要尽量含有各种组合，同时不要频繁切换，英文字母可以用有意义的汉语拼音首字母来辅助记忆，如这样一组密码hlj407@MMPJ704，含有大小写和特殊字符、数字共14位，从暴力破解和字典角度看都是强密码，使用时可以根据黑龙江拼音首字母，407房间，密码破解拼音首字母辅助记忆。
　　四、按需求分组使用密码
　　从安全角度，不同应用要设置不同密码，但在实际使用中，特别是互联网上我们要使用大量的密码，如果每一组密码都不同，想要记得住是不现实的，因此最有效的办法，是在安全方便的原则下，按照应用的环境将密码分组使用，同组使用相同密码。如可分极强、强、中、弱、极弱五个等级。极强密码只在本地使用，保护特别重要信息；强密码可以用来保护支付宝等安全性很高的应用，中等密码保护QQ等重要应用，弱密码日常论坛使用，极弱密码作为临时注册账户等非重要应用。
　　五、养成良好的密码使用习惯
　　1.不使用任何形式的保存密码
　　很多浏览器和软件提供保存密码服务，他们将密码以各种形式保存在本地硬盘，的确可以方便用户使用，却是极不安全的。
　　2.按时升级杀毒软件和防火墙
　　无论你密码设计得多么安全，如果感染了木马和病毒，攻击者都可以轻易地将其窃取。
　　3.不在公共计算机使用强密码
　　网吧等公共计算机的安全性是没有保障的，为避免损失，不要在公共计算机登录使用强密码保护的任何应用。
　　4.定期更换密码
　　密码应按照强度和使用情况定期更换，中等强度密码一年左右为宜，极弱密码可以长时间不换。
　　（作者单位：黑龙江司法警官职业学院信息技术应用系）
转载注明来源:https://www.xzbu.com/7/view-11773533.htm