安全支招：構築密碼城堡(轉)

安全支招：構築密碼城堡(轉)[@more@]

   在本篇文章中，你可以瞭解到如何加強PC使用者密碼的安全性的方法。另外我還將向大家介紹一款具有對密碼及更多專案強大控制功能的免費工具。

    繼前二次介紹的“不要輕意相信你的資料是安全的”及“微軟的程式存在漏洞”這二篇專題後，今天講的第三篇主要針對密碼安全問題，正如一句話形容的那樣，同一密碼使用時間越長，系統的安全性就越低。保護系統安全最簡單和便宜的方法就是要在設定密碼上下點功夫，並經常對其進行更新。

    以下的這些小貼士能夠有效的加強密碼的安全性，儘管這其中的一些並不適用於管理員制定了其自身密碼政策的網路計算機。

    加強密碼安全性

    Windows 2000和XP都允許使用者把密碼設定成任何字母序列，雖然這樣做有其固定的好處，但在很多情況下也給使用者帶來了不便。而且其也允許使用者不設定密碼，幸好，你可以使用本地安全策略工具來強制所有的Windows XP使用者都採納輸入安全密碼措施。操作方法是：點選“開始”，選擇“控制皮膚”，在展開的視窗中點選“控制工具”――本地安全策略，將會開啟本地安全策略視窗（具體步驟可能會根據不同的系統有所變化，如果你使用的是公司網路，那麼選項可能是“本地安全策略或安全設定”）。在本地安全設定視窗的左側，點選“帳戶策略”旁邊的“加號”，選擇“密碼策略”，現在你就可以對各密碼策略進行設定了。

    控制密碼最小值：如果想讓所有的使用者都設定有效的密碼，操作方法是：雙擊“密碼長度最小值”（如果你沒有看到此選項，請核查是否已經選中了“本地安全設定”視窗左側的“密碼策略”），在彈出的視窗中指定密碼的最小位數，可指定範圍在1至14之間，微軟建議使用者將密碼設定在最少6位數，輸入完畢後，點選“確定”。

    強制密碼複雜性：雙擊“密碼必須符合複雜性要求”，在彈出的設定框中選擇“已啟用”，然後點選“確定”。該命令操作能夠要求使用者在進行密碼設定時，至少包括以下三種字元：大寫字母、小寫字母、數字和符號（例如使用標點符號）；而且，密碼中不能包含你的使用者名稱。注意在密碼中最好不要使用e-mail地址（此項並非密碼複雜性要求）。

    你要儘量使密碼讓人難以猜測，但也要同時保證其方便記憶。一個好方法是使用一句話的縮寫，例如：PCWis#12me （"PC World is number 1 to me"）。

    密碼最長保留期：為了防止密碼使用時間過長，你可以選擇“密碼最長保留期”，在彈出的窗體中設定密碼使用多少天后，系統會要求使用者更改其密碼。預設的42天應該能夠滿足大部分情況，輸入新數值後，點選“確定”完成設定。

    密碼“保鮮”：為了避免某個使用者在設定密碼時，總是交換使用同樣的兩個密碼，雙擊“強制密碼歷史”，在彈出的視窗中設定Windows系統需要記住的密碼個數。例如，如果你輸入的是8，那麼使用者在建立新密碼時，便不允許使用最近前8次設定的密碼。設定完畢後點選“確定”按鈕。同樣，你也可以設定新密碼必須使用的最少天數，以避免某人想要在一天中對其密碼進行數次改變，直到改變次數滿足強制密碼歷史中記錄的個數，這樣他們就又可以重新使用原來的密碼了，操作方法是：雙擊“密碼最短存留期”，在跳出的視窗中輸入天數，然後點選“確定”完成操作。

    拒絕可還原的加密技術：你也許被“密碼策略”視窗中的最後一項“為域中所有使用者使用可還原的加密來儲存密碼”所吸引，該設定選項能夠讓Windows系統把使用者的密碼儲存為純文字形式。但是，還原加密只有對那些要求使用Windows密碼的應用程式才能起作用。除非你有這樣的應用程式，你最好還是關閉還原加密儲存密碼（預設設定為停用），這樣你的系統會更加安全。

    使用帳戶鎖定功能：在預設狀態下，所有人都可以透過多次密碼嘗試，直到輸入正確的密碼為止，這一方式來登陸你的帳戶。這就是所謂密碼攻擊的暴力入侵方式。避免這種情況發生的一種方法是，限制使用者輸入密碼的次數。操作方法是：選擇“本地安全設定”視窗左側“帳戶策略”下方的“帳戶鎖定策略”，在右側窗體中，雙擊“帳戶鎖定閾值”。在彈出的視窗中輸入在發生多少次無效登陸後，帳戶鎖定，一般來說3至5次便足夠了。當你修改這項設定後，系統會自動將其它兩項帳戶鎖定策略值都設定為30分鐘，這兩項的分別是：具有控制帳戶鎖定後，重新輸入密碼的時間間隔作用的“帳戶鎖定時間”專案：“復位帳戶鎖定計數器”則決定再次從零開始計數嘗試登陸次數前，系統要等待多長時間。如果需要改變這兩項的值，只需雙擊它們，輸入相應的時間即可。設定完成後，點選“確定”完成操作。

    對帳戶期限的“例外”設定：如果你為緊急情況保留了平時很少使用的管理員密碼，你可能不希望這個密碼過期，完成上面的操作步驟後，如果還有特殊需要設定期限的密碼，你可以執行以下操作：在開始選單中選擇“執行”，然後輸入“lusrmgr.msc”，然後點選“確定”按鈕，在彈出的視窗中，雙擊“使用者”，然後雙擊不需設定期限的使用者，在“屬性”設定視窗中勾選“密碼永不過期”項，設定完成後，點選“確定”按鈕。

    密碼時間提醒設定：透過對Windows登錄檔進行編輯，你可以實現提醒使用者某個密碼即將過期。當然任何對登錄檔進行的修改都具有風險性，所以在修改前請確認你已經進行了相應的備份。然後在“開始”選單中選擇“執行”，輸入“regedit”然後點選“確定”開啟“登錄檔編輯器”視窗，在左側的中窗格中，找到並選擇HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.在右側的窗體中，雙擊passwordexpirywarning（如果你沒看到該專案，可以透過在窗格中右擊滑鼠，選擇“新建”――“DWORD值”，然後在文字框中輸入該名稱），選中“十進位制”項，在“數值資料”中輸入你希望系統在密碼到期前多少天提醒使用者修改密碼。