注意！保護我方密碼陣地！

開篇先分享一個故

(

shì

)

事

(

gù

)

引入本期話題：某公司請第三方安全機構做滲透測試，安全機構的大神們各顯神通后發現客戶公司的信息安全防護還是非常到位的，一時半刻難以得手。于是乎測試團隊另辟蹊徑，提出“釣魚”方案，搭建了一個從訪問地址到內容都能夠以假亂真的客戶公司的管理平臺，并向所有管理者發送郵件稱管理平臺“臨時維護”，維護期間，如需使用管理平臺請從“釣魚島”登錄。自古套路得人心，就這樣，測試團隊順利拿到管理員的賬號和密碼，圓滿完成滲透任務。

在日常生活中，各種各樣的密碼安全問題，層出不窮，由此引發的各種恩怨情仇，坑蒙拐騙，大家是否早已身經百戰，甚至見怪不怪了呢？

從壞人的角度出發，獲取賬號密碼的手段可以分為技術手段與非技術手段。技術手段從密碼本身著手，暴力破解，利用軟硬件監聽記錄；非技術手段則以人為切入點，坑蒙拐騙，稍有不備，信息就會在不經意間泄露。兩種手段相互結合，“拖庫-洗庫-撞庫”，一條龍服務，多少密碼到頭來被“安排”的明明白白。

無論對手的活計有多花哨，套路有多深，堅持良好的密碼管理與使用習慣，恪守本心，方為正理。有道是，“他強由他強，清風拂山崗。他橫由他橫，明月照大江”。

在下今日奉上《密碼真經》一冊，與諸君共享——

第一式 不要弱密碼！不要弱密碼！不要弱密碼！

首先要強調一點，凡是能夠輕易被暴力破解的密碼都是弱密碼，不單指簡單密碼，也不僅限于各種字典表。那么，如何才能得到一個不是弱密碼的密碼呢？例如，1password 上隨機生成的密碼，默認長度 24 位，含大小寫字母、數字和符號的混合。而設置一個足夠安全又便于記憶的密碼，其實并不復雜，有很多簡單易操作的方法

(參見《“2020網絡安全宣傳周” 12345678?!》)

。此外，給密碼加密同樣是個好辦法，比如，把熟悉的密碼在鍵盤上全部向右平移一格輸入，就會得到一個難以分析且方便好記的新密碼。

第二式 對密碼進行分級 控制密碼數量

日常生活中，我們要處理不同賬號的許多密碼，可以根據實際使用情況，對賬號密碼歸類分級，比如“核心-重要-普通”的經典三分法。各級密碼要做到互不相通，不要有任何聯系。反復使用相同的密碼注冊賬號是大忌。切記能使用第三方賬號登錄的盡量選擇關聯三方帳號，減少注冊所需的密碼數量。http://haveibeenpwned.com 建議使用 1password 為每個賬號生成對應的隨機密碼，以確保足夠安全。但這里也提醒大家慎重使用密碼管理軟件，重要的密碼不應該被寫在“紙”上，能存儲本地的盡量少上云，云上存儲則需要加密且足夠安全。務必妥善保管好密碼管理軟件本身的安全憑據，倒持太阿不可取。

此外，安全性與易用性，密碼數量與可管理性之間，都需要維持平衡。

第三式 密碼不要長期使用 經年不換

密碼更新要做到脫胎換骨，新密碼和原密碼同樣要做到互不相通，舉例來說，本質上 “password2019” 和 “password2020” 其實可以算做一個密碼。密碼多久更換一次、如何更換，并沒有固定規則，很大程度上，這取決于用戶如何在安全性和易用性之間保持平衡。實際工作與生活中經常會遇到密碼經年不變的情況，這極大加劇了密碼泄露的風險，這些不慎落入不法之徒手中的“老密碼”就有可能為其創造“機會之窗”。

通過一些工具，我們可以比較容易地掌握自己密碼的泄露情況。例如，在網站 http://haveibeenpwned.com 輸入密碼進行查詢，可以看到你的密碼是 “Oh no — pwned!” 還是 “Good news — no pwnage found!”。還有，在 Google Chrome 瀏覽器上也能通過安全檢查了解自己的密碼是否已被泄露到了互聯網上。當然，日常關注社工庫也是個不錯的辦法。

第四式 輸入密碼注意環境安全

在不安全的環境

(如網吧、公用電腦、公共WIFI)

里，首先要避免直接進行密碼操作，盡量使用軟鍵盤輸入密碼，其次，要多多留心瀏覽器的安全信息提示，木馬病毒、釣魚、抓包、劫持其實距離我們并不遙遠。

你聽，每次 ATM 都在提醒：

第五式 多因子身份認證 設置登錄保護

盡可能使用多因子身份認證，提高賬號安全性。盡量設置登錄設備白名單、登錄地區白名單、異常登錄提醒等，可以有效降低密碼被盜后的風險與損失。

總之，密碼安全問題看似老生常談，但依舊是一個長期存在的隱患，持續困擾著大家。即便未來我們普遍采用類似生物檢查的技術來取代密碼，類似的問題依然會存在，正如曾經大家還在試圖尋找最牛的字典表，現如今已經漸漸發展為社工滿地走了。當然，你有張良計，我有過墻梯，網絡安全的攻防總是在不斷博弈中進步的，不要期望一勞永逸的密碼安全，堅持良好的密碼管理與使用習慣才會使我們始終受益，防患未然。

（張旭 | 天存信息）

HTTP 網站 運維 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。