密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案
密碼設定要求:
常見的要求無非這麼幾條要求
-
密碼複雜度。 要求大寫+小寫+數字+字元,要求大於8位,要求不得使用常見密碼例如123456
-
密碼有效期。 要求3個月必須更換密碼
-
密碼儲存方式。 要求足夠私密,切勿向他人透漏
-
密碼關聯性。 要求不用生日、姓名、門牌、電話等作為密碼,要求不跟其他地方使用相同密碼
簡易的6位數純數字密碼,有些時候看似簡單但也足夠安全:例如銀行卡密碼
之所以僅僅6位,因為銀行卡密碼的使用過程,存在一定時間內錯誤次數約束,因此可以有效避免猜解
之所以純數字,因為銀行卡相容各種終端的需要,例如atm,pos機很多場景只能使用數字鍵盤
密碼破解方式:
-
暴力破解。
例如把所有密碼允許字元拿過來,排個順序,使用類似於 0,1,2,3,4,5,6等數數的方式遞迴排列,逐個嘗試。這種暴力破解,針對沒有密碼錯誤次數時效約束的系統非常有效。
銀行卡密碼此處顯然不太不適用。對於windows遠端密碼,mysql遠端密碼尤其適用,做過系統運維的人都知道,暴露在公網的機器,是天天被大量掃描器自動掃描自動試錯爆破的。
-
關聯猜解。
這裡其實有點社工的味道,比如很多人依然用出生年月當銀行卡密碼,例如198010(1980年10月),801020(80年10月20日),123456(弱密碼)
-
同密碼嘗試 。
例如近幾年,網際網路上的幾次密碼洩露事件,csdn600萬密碼,Facebook洩露密碼,天涯洩露密碼等等,雖然僅僅洩露了一個網站密碼,但是實際上很多人在各大網站使用的是同一個密碼,甚至同一個賬號,因此一個地方洩露,多個地方受威脅。
-
釣魚網站。
例如某一天開啟一個QQ空間,突然提示要求登入QQ號,然而位址列卻根本不是qq.com ,這就是釣魚,這情況是使用者自己辨別不當,中了駭客的騙術,自己把密碼告訴了駭客。
-
忘記密碼,不健全的找回方式。
例如電影《Searching》(中文名《網路迷蹤》)中,父親在女兒失蹤後透過忘記密碼方式,開啟自己知道密碼的郵箱重置密碼從而登入女兒社交帳號的操作。
最後建議:密碼分級!歸類使用
現實當中顯然難以做到每個地方一個密碼,因此在這個前提下,可以考慮密碼分組分級
-
最高等級
可以將所有涉及銀行卡的密碼可以考慮使用同一個,因為銀行單位的密碼安全級別足夠高
-
第二等級
然後各種郵箱帳號單獨一個密碼,因為很多線上系統都是靠郵箱註冊,找回密碼,重置密碼。
-
第三等級
然後各種自己在乎的社交系統可以考慮單獨用一套密碼,同時還有些必要的政府類網站可以使用此密碼,例如社保公積金系統等。
-
第四等級
總是不可避免註冊一些“一次性”的網站,例如各種小論壇,各種非自己行業關注的網站
-
第五等級
此類別針對更弱的使用範圍,也可以併入第四等級管理。例如我的所有國外網站賬號都單獨設立了密碼,因為國外網站密碼是否洩漏,是否出現問題很難及時得到訊息,所以我個人建議還是保留一個類別比較合理
密碼的處置方案:
其實文章開頭已經說全了。複雜度,關聯性,儲存方式就沒有必要重複說明了。
說說定期更換,定期更換主要防的是介質安全隱患,例如存在某硬碟上,硬碟被別人看到。另外就是比較有效的防止暴力爆破,例如破解一個密碼需要1年,但是你1個月換一次密碼,那麼爆破執行的過程中,因為改密碼打亂了爆破的順序,有可能躲過爆破過程使用的全部密碼。關於改密碼對於爆破手段,實際上依然存在一種極端機率,就是爆破的前幾個密碼就是自己使用的密碼。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/27102070/viewspace-2218431/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 重磅 | 我國《密碼法》正式頒佈,解讀密碼分類與密碼裝置管理密碼
- zip密碼爆破:fcrackzip密碼
- steam密碼怎麼設定才合格 steam密碼怎麼符合要求密碼
- 希爾密碼(hill密碼)密碼
- iPhone Xs提示無法更改密碼怎麼辦? iPhone XS如何設定密碼iPhone密碼
- 置換密碼密碼
- 應用密碼學——古典密碼密碼學
- 序列密碼與分組密碼密碼
- MySQL密碼安全MySql密碼
- 密碼安全加固密碼
- PG密碼安全密碼
- 密碼密碼
- 寶塔找回密碼:忘記密碼怎麼辦?密碼
- 密碼學與密碼安全:理論與實踐密碼學
- 現代密碼-公鑰密碼RSA密碼
- 應用密碼學 - 公鑰密碼密碼學
- 應用密碼學——分組密碼密碼學
- oracle密碼過期處理辦法Oracle密碼
- redis cluster 設定密碼Redis密碼
- ubantu 設定root密碼密碼
- Linux設定密碼策略Linux密碼
- 設定 Homestead root 密碼密碼
- mysql如何設定密碼MySql密碼
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- 聯通光貓管理員密碼分析,不安全的密碼方案密碼
- 密碼安全和無密碼身份認證那些事兒密碼
- win10密碼忘記怎麼清除密碼 win10重置開機密碼Win10密碼
- steam密碼格式總不對怎麼設定 steam密碼格式符合要求模版介紹密碼
- 拆分密碼密碼
- 移位密碼密碼
- 替代密碼密碼
- 密碼抓取密碼
- 密碼學密碼學
- PbootCMS管理員密碼忘記怎麼辦?pboot重置密碼boot密碼
- steam密碼忘了怎麼辦 steam密碼找回方法介紹密碼
- 密碼學課程設計 - 混合密碼的實現密碼學
- 教你設定SIM卡密碼密碼
- 華為通訊裝置密碼設定密碼