不可不知!設(shè)置什么密碼才不易被黑客破解
2018年04月19日
密碼最佳實(shí)踐是眾所周知的�����,但它們真的是最好的嗎?在過(guò)去的幾十年中����,大多數(shù)公司已經(jīng)實(shí)施了他們認(rèn)為是基本密碼標(biāo)準(zhǔn)的內(nèi)容。這些通常包括:
但是���,像所有成熟的技術(shù)政策一樣�����,重要的是不時(shí)退縮,并評(píng)估該政策在不斷變化的環(huán)境中是否有意義���。這正是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)為密碼準(zhǔn)則所做的。我們應(yīng)該忘記幾十年來(lái)我們已經(jīng)習(xí)以為常的最佳實(shí)踐,并將新常態(tài)應(yīng)用于密碼管理實(shí)踐���。讓我們來(lái)看看一些常用的密碼安全實(shí)踐,并與NIST的更新建議進(jìn)行比較。
情結(jié)不一定強(qiáng)
我們似乎永遠(yuǎn)不得不選擇包含數(shù)字字符��,大小寫字母和特殊字符變體的密碼��,以使密碼復(fù)雜化�����。但是,NIST已經(jīng)聲明這不會(huì)導(dǎo)致更強(qiáng)的密碼,并且這種做法應(yīng)該被替代為對(duì)密碼選擇更加動(dòng)態(tài)的支持。 NIST建議組織通過(guò)檢查選擇的密碼來(lái)防止已知泄露的泄露數(shù)據(jù)和已知的弱密碼��,從而支持用戶選擇更好的密碼����。很難說(shuō)這個(gè)練習(xí)是不可能的,因?yàn)榛ヂ?lián)網(wǎng)上有大量違反的數(shù)據(jù)。諸如HashCat和類似的密碼測(cè)試工具等工具的可用性使得密碼選擇的質(zhì)量檢查相當(dāng)容易。
越長(zhǎng)越好�����,并允許剪切和粘貼
我們都遇到過(guò)例子�,你的密碼長(zhǎng)度不能超過(guò)8或10個(gè)字符。這可以在全球一些較大的組織中看到���,毫無(wú)疑問(wèn),因?yàn)檫z留系統(tǒng)的限制����。NIST對(duì)密碼長(zhǎng)度的建議很明確���。它表明應(yīng)該允許至少64個(gè)字符的密碼����。此外��,應(yīng)確保用戶可以粘貼到密碼數(shù)據(jù)輸入字段中��,鼓勵(lì)和支持使用密碼管理器。奇怪的是,一些網(wǎng)站目前阻止用戶將他們的密碼粘貼到表單字段中���,從而破壞了密碼管理器的自動(dòng)使用。
密碼提示
恢復(fù)忘記密碼的流行趨勢(shì)是允許用戶重置密碼,如果他們成功回答提示問(wèn)題,如他們的第一輛汽車或他們最喜歡的老師的問(wèn)題��。提示問(wèn)題的質(zhì)量通?����?赡軙?huì)令人滿意����。不良的水平加上現(xiàn)在在社交媒體上分享的所有個(gè)人數(shù)據(jù)削弱了密碼提示的使用���。NIST建議我們停止使用提示問(wèn)題作為幫助用戶恢復(fù)帳戶訪問(wèn)的手段�。
定期更改
除了NIST的建議之外,國(guó)內(nèi)知名黑客安全組織東方聯(lián)盟研究人員也曾表示:不建議常改密碼��,即在黑客擁有您不知情的情況下獲得信息的情況下��,定期更改您的密碼。反對(duì)這種做法的論點(diǎn)在于選擇密碼序列或模式的人性特征��,以減輕記憶密碼的工作量�。因此,用戶傾向于在當(dāng)前密碼末尾添加數(shù)字或其他增量字符�,并在每次被迫更改密碼時(shí)增加該字符數(shù)���。這使得密碼較弱�����,東方聯(lián)盟不推薦這種做法。
執(zhí)行密碼測(cè)試
如果您不能在用戶生成或更改其密碼時(shí)執(zhí)行內(nèi)嵌密碼檢查�����,請(qǐng)務(wù)必提供非常規(guī)密碼強(qiáng)度檢查��。運(yùn)行Hashcat等工具并識(shí)別弱密碼��,并為用戶更改所有弱密碼。停止強(qiáng)制定期更改密碼��,當(dāng)用戶懷疑自己的密碼不再是秘密時(shí)�����,應(yīng)該更改密碼��。在正常情況下,密碼不應(yīng)再經(jīng)常更改����。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”�、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案�����,業(yè)務(wù)涵蓋咨詢����、評(píng)估、規(guī)劃�、管控��、建設(shè)、培訓(xùn)等�����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商�。
