不可不知��!設(shè)置什么密碼才不易被黑客破解
2018年04月19日
密碼最佳實(shí)踐是眾所周知的�,但它們真的是最好的嗎?在過去的幾十年中,大多數(shù)公司已經(jīng)實(shí)施了他們認(rèn)為是基本密碼標(biāo)準(zhǔn)的內(nèi)容�。這些通常包括:
但是,像所有成熟的技術(shù)政策一樣�,重要的是不時(shí)退縮,并評(píng)估該政策在不斷變化的環(huán)境中是否有意義����。這正是美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)為密碼準(zhǔn)則所做的。我們應(yīng)該忘記幾十年來我們已經(jīng)習(xí)以為常的最佳實(shí)踐�����,并將新常態(tài)應(yīng)用于密碼管理實(shí)踐��。讓我們來看看一些常用的密碼安全實(shí)踐�,并與NIST的更新建議進(jìn)行比較��。
情結(jié)不一定強(qiáng)
我們似乎永遠(yuǎn)不得不選擇包含數(shù)字字符���,大小寫字母和特殊字符變體的密碼,以使密碼復(fù)雜化�。但是,NIST已經(jīng)聲明這不會(huì)導(dǎo)致更強(qiáng)的密碼�����,并且這種做法應(yīng)該被替代為對(duì)密碼選擇更加動(dòng)態(tài)的支持��。 NIST建議組織通過檢查選擇的密碼來防止已知泄露的泄露數(shù)據(jù)和已知的弱密碼���,從而支持用戶選擇更好的密碼。很難說這個(gè)練習(xí)是不可能的����,因?yàn)榛ヂ?lián)網(wǎng)上有大量違反的數(shù)據(jù)。諸如HashCat和類似的密碼測(cè)試工具等工具的可用性使得密碼選擇的質(zhì)量檢查相當(dāng)容易�。
越長越好,并允許剪切和粘貼
我們都遇到過例子����,你的密碼長度不能超過8或10個(gè)字符�。這可以在全球一些較大的組織中看到����,毫無疑問,因?yàn)檫z留系統(tǒng)的限制��。NIST對(duì)密碼長度的建議很明確����。它表明應(yīng)該允許至少64個(gè)字符的密碼。此外����,應(yīng)確保用戶可以粘貼到密碼數(shù)據(jù)輸入字段中,鼓勵(lì)和支持使用密碼管理器���。奇怪的是��,一些網(wǎng)站目前阻止用戶將他們的密碼粘貼到表單字段中�����,從而破壞了密碼管理器的自動(dòng)使用�����。
密碼提示
恢復(fù)忘記密碼的流行趨勢(shì)是允許用戶重置密碼���,如果他們成功回答提示問題�����,如他們的第一輛汽車或他們最喜歡的老師的問題�����。提示問題的質(zhì)量通?���?赡軙?huì)令人滿意���。不良的水平加上現(xiàn)在在社交媒體上分享的所有個(gè)人數(shù)據(jù)削弱了密碼提示的使用���。NIST建議我們停止使用提示問題作為幫助用戶恢復(fù)帳戶訪問的手段����。
定期更改
除了NIST的建議之外,國內(nèi)知名黑客安全組織東方聯(lián)盟研究人員也曾表示:不建議常改密碼,即在黑客擁有您不知情的情況下獲得信息的情況下�����,定期更改您的密碼����。反對(duì)這種做法的論點(diǎn)在于選擇密碼序列或模式的人性特征,以減輕記憶密碼的工作量����。因此,用戶傾向于在當(dāng)前密碼末尾添加數(shù)字或其他增量字符��,并在每次被迫更改密碼時(shí)增加該字符數(shù)���。這使得密碼較弱��,東方聯(lián)盟不推薦這種做法��。
執(zhí)行密碼測(cè)試
如果您不能在用戶生成或更改其密碼時(shí)執(zhí)行內(nèi)嵌密碼檢查�,請(qǐng)務(wù)必提供非常規(guī)密碼強(qiáng)度檢查��。運(yùn)行Hashcat等工具并識(shí)別弱密碼��,并為用戶更改所有弱密碼。停止強(qiáng)制定期更改密碼����,當(dāng)用戶懷疑自己的密碼不再是秘密時(shí),應(yīng)該更改密碼�����。在正常情況下��,密碼不應(yīng)再經(jīng)常更改�。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)�����、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評(píng)估�、規(guī)劃、管控���、建設(shè)���、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
