密码安全:密码设置要求,密码爆破办法,密码归类使用,密码处置方案

[网络安全] 季雨林 2018/11/1 8:38:53

密码设置要求:常见的要求无非这么几条要求

  • 密码复杂度。要求大写+小写+数字+字符,要求大于8位,要求不得使用常见密码例如123456

  • 密码有效期。要求3个月必须更换密码

  • 密码存储方式。要求足够私密,切勿向他人透漏

  • 密码关联性。要求不用生日、姓名、门牌、电话等作为密码,要求不跟其他地方使用相同密码


简易的6位数纯数字密码,有些时候看似简单但也足够安全:例如银行卡密码

之所以仅仅6位,因为银行卡密码的使用过程,存在一定时间内错误次数约束,因此可以有效避免猜解

之所以纯数字,因为银行卡兼容各种终端的需要,例如atm,pos机很多场景只能使用数字键盘


密码破解方式:

  • 暴力破解。

    例如把所有密码允许字符拿过来,排个顺序,使用类似于 0,1,2,3,4,5,6等数数的方式递归排列,逐个尝试。这种暴力破解,针对没有密码错误次数时效约束的系统非常有效。

    银行卡密码此处显然不太不适用。对于windows远程密码,mysql远程密码尤其适用,做过系统运维的人都知道,暴露在公网的机器,是天天被大量扫描器自动扫描自动试错爆破的。

  • 关联猜解。

    这里其实有点社工的味道,比如很多人依然用出生年月当银行卡密码,例如198010(1980年10月),801020(80年10月20日),123456(弱密码)

  • 同密码尝试

    例如近几年,互联网上的几次密码泄露事件,csdn600万密码,Facebook泄露密码,天涯泄露密码等等,虽然仅仅泄露了一个网站密码,但是实际上很多人在各大网站使用的是同一个密码,甚至同一个账号,因此一个地方泄露,多个地方受威胁。

  • 钓鱼网站。

    例如某一天打开一个QQ空间,突然提示要求登录QQ号,然而地址栏却根本不是qq.com ,这就是钓鱼,这情况是用户自己辨别不当,中了黑客的骗术,自己把密码告诉了黑客。

  • 忘记密码,不健全的找回方式。

    例如电影《Searching》(中文名《网络迷踪》)中,父亲在女儿失踪后通过忘记密码方式,打开自己知道密码的邮箱重置密码从而登录女儿社交帐号的操作。


最后建议:密码分级!归类使用

现实当中显然难以做到每个地方一个密码,因此在这个前提下,可以考虑密码分组分级

  • 最高等级

    可以将所有涉及银行卡的密码可以考虑使用同一个,因为银行单位的密码安全级别足够高

  • 第二等级

    然后各种邮箱帐号单独一个密码,因为很多在线系统都是靠邮箱注册,找回密码,重置密码。

  • 第三等级

    然后各种自己在乎的社交系统可以考虑单独用一套密码,同时还有些必要的政府类网站可以使用此密码,例如社保公积金系统等。

  • 第四等级

    总是不可避免注册一些“一次性”的网站,例如各种小论坛,各种非自己行业关注的网站

  • 第五等级

    此类别针对更弱的使用范围,也可以并入第四等级管理。例如我的所有国外网站账号都单独设立了密码,因为国外网站密码是否泄漏,是否出现问题很难及时得到消息,所以我个人建议还是保留一个类别比较合理


密码的处置方案:

其实文章开头已经说全了。复杂度,关联性,存储方式就没有必要重复说明了。

说说定期更换,定期更换主要防的是介质安全隐患,例如存在某硬盘上,硬盘被别人看到。另外就是比较有效的防止暴力爆破,例如破解一个密码需要1年,但是你1个月换一次密码,那么爆破执行的过程中,因为改密码打乱了爆破的顺序,有可能躲过爆破过程使用的全部密码。关于改密码对于爆破手段,实际上依然存在一种极端概率,就是爆破的前几个密码就是自己使用的密码。




原文地址: https://www.opengps.cn/Blog/View.aspx?id=204 文章的更新编辑依此链接为准。欢迎关注源站原创文章!
文末推荐: 阿里云代金券礼包,感谢领取支持本文!!

暂不开启留言板块

鲁ICP备14008001号-2