1. 程式人生 > >密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案

密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案

密碼設定要求:常見的要求無非這麼幾條要求

  • 密碼複雜度。要求大寫+小寫+數字+字元,要求大於8位,要求不得使用常見密碼例如123456

  • 密碼有效期。要求3個月必須更換密碼

  • 密碼儲存方式。要求足夠私密,切勿向他人透漏

  • 密碼關聯性。要求不用生日、姓名、門牌、電話等作為密碼,要求不跟其他地方使用相同密碼

簡易的6位數純數字密碼,有些時候看似簡單但也足夠安全:例如銀行卡密碼

之所以僅僅6位,因為銀行卡密碼的使用過程,存在一定時間內錯誤次數約束,因此可以有效避免猜解

之所以純數字,因為銀行卡相容各種終端的需要,例如atm,pos機很多場景只能使用數字鍵盤

密碼破解方式:

  • 暴力破解。

    例如把所有密碼允許字元拿過來,排個順序,使用類似於 0,1,2,3,4,5,6等數數的方式遞迴排列,逐個嘗試。這種暴力破解,針對沒有密碼錯誤次數時效約束的系統非常有效。

    銀行卡密碼此處顯然不太不適用。對於windows遠端密碼,mysql遠端密碼尤其適用,做過系統運維的人都知道,暴露在公網的機器,是天天被大量掃描器自動掃描自動試錯爆破的。

  • 關聯猜解。

    這裡其實有點社工的味道,比如很多人依然用出生年月當銀行卡密碼,例如198010(1980年10月),801020(80年10月20日),123456(弱密碼)

  • 同密碼嘗試

    例如近幾年,網際網路上的幾次密碼洩露事件,csdn600萬密碼,Facebook洩露密碼,天涯洩露密碼等等,雖然僅僅洩露了一個網站密碼,但是實際上很多人在各大網站使用的是同一個密碼,甚至同一個賬號,因此一個地方洩露,多個地方受威脅。

  • 釣魚網站。

    例如某一天開啟一個QQ空間,突然提示要求登入QQ號,然而位址列卻根本不是qq.com ,這就是釣魚,這情況是使用者自己辨別不當,中了黑客的騙術,自己把密碼告訴了黑客。

  • 忘記密碼,不健全的找回方式。

    例如電影《Searching》(中文名《網路迷蹤》)中,父親在女兒失蹤後通過忘記密碼方式,開啟自己知道密碼的郵箱重置密碼從而登入女兒社交帳號的操作。

最後建議:密碼分級!歸類使用

現實當中顯然難以做到每個地方一個密碼,因此在這個前提下,可以考慮密碼分組分級

  • 最高等級

    可以將所有涉及銀行卡的密碼可以考慮使用同一個,因為銀行單位的密碼安全級別足夠高

  • 第二等級

    然後各種郵箱帳號單獨一個密碼,因為很多線上系統都是靠郵箱註冊,找回密碼,重置密碼。

  • 第三等級

    然後各種自己在乎的社交系統可以考慮單獨用一套密碼,同時還有些必要的政府類網站可以使用此密碼,例如社保公積金系統等。

  • 第四等級

    總是不可避免註冊一些“一次性”的網站,例如各種小論壇,各種非自己行業關注的網站

  • 第五等級

    此類別針對更弱的使用範圍,也可以併入第四等級管理。例如我的所有國外網站賬號都單獨設立了密碼,因為國外網站密碼是否洩漏,是否出現問題很難及時得到訊息,所以我個人建議還是保留一個類別比較合理

密碼的處置方案:

其實文章開頭已經說全了。複雜度,關聯性,儲存方式就沒有必要重複說明了。

說說定期更換,定期更換主要防的是介質安全隱患,例如存在某硬碟上,硬碟被別人看到。另外就是比較有效的防止暴力爆破,例如破解一個密碼需要1年,但是你1個月換一次密碼,那麼爆破執行的過程中,因為改密碼打亂了爆破的順序,有可能躲過爆破過程使用的全部密碼。關於改密碼對於爆破手段,實際上依然存在一種極端概率,就是爆破的前幾個密碼就是自己使用的密碼。