密碼設定要求： 常見的要求無非這麼幾條要求

密碼複雜度。 要求大寫+小寫+數字+字元，要求大於8位，要求不得使用常見密碼例如123456
密碼有效期。 要求3個月必須更換密碼
密碼儲存方式。 要求足夠私密，切勿向他人透漏
密碼關聯性。 要求不用生日、姓名、門牌、電話等作為密碼，要求不跟其他地方使用相同密碼

簡易的6位數純數字密碼，有些時候看似簡單但也足夠安全：例如銀行卡密碼

之所以僅僅6位，因為銀行卡密碼的使用過程，存在一定時間內錯誤次數約束，因此可以有效避免猜解

之所以純數字，因為銀行卡相容各種終端的需要，例如atm，pos機很多場景只能使用數字鍵盤

密碼破解方式：

暴力破解。

例如把所有密碼允許字元拿過來，排個順序，使用類似於 0，1，2，3，4，5，6等數數的方式遞迴排列，逐個嘗試。這種暴力破解，針對沒有密碼錯誤次數時效約束的系統非常有效。

銀行卡密碼此處顯然不太不適用。對於windows遠端密碼，mysql遠端密碼尤其適用，做過系統運維的人都知道，暴露在公網的機器，是天天被大量掃描器自動掃描自動試錯爆破的。
關聯猜解。

這裡其實有點社工的味道，比如很多人依然用出生年月當銀行卡密碼，例如198010（1980年10月），801020（80年10月20日），123456（弱密碼）
同密碼嘗試 。

例如近幾年，網際網路上的幾次密碼洩露事件，csdn600萬密碼，Facebook洩露密碼，天涯洩露密碼等等，雖然僅僅洩露了一個網站密碼，但是實際上很多人在各大網站使用的是同一個密碼，甚至同一個賬號，因此一個地方洩露，多個地方受威脅。
釣魚網站。

例如某一天開啟一個QQ空間，突然提示要求登入QQ號，然而位址列卻根本不是qq.com ，這就是釣魚，這情況是使用者自己辨別不當，中了駭客的騙術，自己把密碼告訴了駭客。
忘記密碼，不健全的找回方式。

例如電影《Searching》（中文名《網路迷蹤》）中，父親在女兒失蹤後透過忘記密碼方式，開啟自己知道密碼的郵箱重置密碼從而登入女兒社交帳號的操作。

最後建議：密碼分級！歸類使用

現實當中顯然難以做到每個地方一個密碼，因此在這個前提下，可以考慮密碼分組分級

最高等級

可以將所有涉及銀行卡的密碼可以考慮使用同一個，因為銀行單位的密碼安全級別足夠高
第二等級

然後各種郵箱帳號單獨一個密碼，因為很多線上系統都是靠郵箱註冊，找回密碼，重置密碼。
第三等級

然後各種自己在乎的社交系統可以考慮單獨用一套密碼，同時還有些必要的政府類網站可以使用此密碼，例如社保公積金系統等。
第四等級

總是不可避免註冊一些“一次性”的網站，例如各種小論壇，各種非自己行業關注的網站
第五等級

此類別針對更弱的使用範圍，也可以併入第四等級管理。例如我的所有國外網站賬號都單獨設立了密碼，因為國外網站密碼是否洩漏，是否出現問題很難及時得到訊息，所以我個人建議還是保留一個類別比較合理

密碼的處置方案：

其實文章開頭已經說全了。複雜度，關聯性，儲存方式就沒有必要重複說明了。

說說定期更換，定期更換主要防的是介質安全隱患，例如存在某硬碟上，硬碟被別人看到。另外就是比較有效的防止暴力爆破，例如破解一個密碼需要1年，但是你1個月換一次密碼，那麼爆破執行的過程中，因為改密碼打亂了爆破的順序，有可能躲過爆破過程使用的全部密碼。關於改密碼對於爆破手段，實際上依然存在一種極端機率，就是爆破的前幾個密碼就是自己使用的密碼。

密碼安全：密碼設定要求，密碼爆破辦法，密碼歸類使用，密碼處置方案

相關文章