随着各大网站被曝大量用户的密码被泄漏以来,密码的安全问题已引起用户和业界的极大关注和重视。你的密码安全吗?上互联网站还会不会泄漏密码?……这些问题都引起了广大用户的恐慌。站在一个信息安全工作者的角度来讲,这个问题虽然严重,但还没有到草木皆兵的地步。
从密码泄露或者被窃取的原因来分析,主要有如下几方面的原因:
密码明文存储:随着互联网的飞速发展,互联网站也在如雨后春笋般地涌现出来,当时网站对安全问题没有重视,因此出现了部分网站对用户的注册信息(其中也包括密码)均采用明文存储的方式。在这样的前提下,一旦网站的数据库被黑客攻击,或者是内部人员的数据库拷贝,都会造成大量用户信息的泄露;
弱密码设定:用户的弱密码设定应该是当前密码泄露或者被窃取的主要原因。很多用户都采用非常简单的,与自己身份或者生日等强相关的信息来设定非常简单的密码(如仅用数字、字母或者数字等),这就给不法用户或者黑客留下了可趁之机。更为重要的是,即算现在网站都采用密文加密并存储的方式来保证用户密码安全,一旦数据库被黑客攻击,黑客仍然可以基于弱密码,采用“彩虹表”来对用户密码进行猜测,而且这样成功地几率非常高;
并且,从当前的情况来看,弱密码设定在密码出现安全问题的情况下所占的比重超过80%,因此,互联网用户尤其需要重视该问题。那么,该如何来避免使用弱密码呢?下面给出一些基本原则。
密码安全设定的基本原则
目前密码破解程序大多采用字典攻击以及暴力攻击手段,而其中用户密码设定不当,则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码,这样,黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中,应尽量使用非字典中出现的组合字符,并且采用数字与字符相结合、大小写相结合的密码设置方式,增加密码被黑客破解的难度。而且,也可以使用定期修改密码、使密码定期作废的方式,来保护自己的登录密码。
具体列出几条设定安全密码的参考原则如下:
1)混和字母和数字:在口令中添加数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。
2)包括字母和数字以外的字符:&、$、和 > 之类的特殊字符可以极大地增强口令的强健性(若使用 DES 口令则不能使用此类字符)。
3)挑选一个自己可以记住的口令:如果自己记不住自己的口令,那么它再好也没有用;使用简写或其它记忆方法来帮助自己记忆口令。
4)口令长度至少为八个字符:口令越长越好。若使用MD5口令,它应该至少有15个字符。若使用DES口令,使用最长长度(8个字符)。
5)混和大小写字母:混和大小写会增加口令的强健程度。
另外,还有一些原则需要牢记:
1)不要倒转现存词汇:优秀的口令破译者总是倒转常用词汇,因此倒转薄弱口令并不会使它更安全。
2)不要笔录自己的口令:决不要把口令写在纸上。把它牢记在心才更为安全。
3)不要在所有机器上都使用同样的口令:在每个机器上使用不同的口令是及其重要的。这样,如果一个系统泄密了,所有其它系统都不会立即受到威胁。并且,不法用户也很难以一个系统为突破口,来威胁到你其他系统的安全。
4)不要只使用单词或数字,决不要在口令中只使用单词或数字。
5)不要使用现成词汇:像名称、词典中的词汇、甚至电视剧或小说中的用语,即使在两端使用数字,都应该避免使用。
6)不要使用外语中的词汇:口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。
7)不要使用黑客术语。
8)不要使用个人信息:千万不要使用个人信息。如果攻击者知道自己的身份,推导出自己所用口令的任务就会变得非常容易。以下是自己在创建口令时应该避免使用的信息类型。