快停止使用简单的密码吧!下面的内容将为您展示如何创建无数的、易牢记的强大而简单的密码。
即使有了智能卡、生物识别技术和其它多因素身份验证解决方案,但是基本的账户/密码登陆的组合依然必不可少。安全专家总是建议使用“高强度密码”。但是,什么样的密码才算是高强度密码呢?应当具备什么条件呢?你如何避免因密码过于复杂而忘记呢?
依据NIST(美国国家标准与技术研究所)的标准,一个高强度密码所包含的字符应该不少于12个,这是由美国政府在2007年所通过的标准,并进一步明确了美国政府密码配置的基线。管理员的密码应该是15个字符。读者肯能会对这个长度叹口气,但这已经是五年来被推荐的长度中最短的了。任何比这个标准短的密码都被认为是不安全的。
当然,很多人都在使用更短的密码。但是,你应该知道,随着时间的推移,增加长度的密码可以为你提供更多的保障。一个8个字符的密码可能为你提供几天的保护,而一个12个字符的密码普遍认为能够提供最多90天的保护。15个字符的密码通常被认为能够提供一年的良好保护。
复杂性只是个神话
大多数安全准则依然坚持字符复杂化的方针,这通常意味着密码必须包含多个字符集,如大写字母、数字、符号键盘等等。而正如我之前所说,复杂性并没有长度重要。若密码拥有了足够的长度则可以战胜密码破解器或解密高手,而复杂性的大量增加只是体现了随机或者接近随机的价值。
通常情况下,当用户被迫增加密码的复杂性时,他们会使用相同类型的字符在同样的地方。例如,当人们需要设置某个常见的8字符复杂密码时,大多数人会选择自己国家语言的词根,第一个字母会用大写(通常是个辅音),其次会是一个小写元音字母。如果他们使用数字,通常会是一个“1”或者“2”,并放置在密码的最后。如果他们使用符号,极有可能会是一个极少数的字符放置在中间某个地方,经常更换一个字母相似的形状:@或零更换“O”,“i”替换成“!”等等。
密码破解者很清楚这些用户习惯,他们对密码破解工具进行了优化,添加这些规则进行密码猜测。一些安全专家,包括我在内,通过对大型转储捕获密码的分析,可以发现上述复杂密码的规律,而且非常之多。
若是让增加的复杂性显示出真正的价值,密码必须是独特的、随机的——类似%TV4$H@<P。但是,如果它们太过有难度,人们就会将它们写下来或是忘记。遗憾的是,安全审计人员和相关规定(包括PCI DSS)要求密码具备一定的复杂性。例如,我使用的金融网站最长的密码长度为6个字符,但却被迫要求使其更加复杂。这让我想尖叫!我觉得Dogdogdogdog或Iforeverlovedogs这样的密码比那强多了!
设置密码的窍门
有些人喜欢使用特殊的密码保存方案,但我喜欢其它的方法,这对我来说是更快的。在我所有的密码当中,会使用一个相同的根密码(比如:TadPole),但每个密码要具有不同的开头和结尾。一个网站是44TadPole44,另一个可能是TadPole32,而还有一个可能是AmazTadpole32On。此外,根据不同的网站你可以在根密码上添加不同的前缀和后缀,方便记忆。
由于具有共同的根密码,我可以轻松记住数百个不同网站的密码。因为每个密码是不同的,如果有攻击者破解了我某个网站的密码,虽然我的密码具有共通性,但针对其它账户而言,那些密码仍然是未知的。即使他们能够得到我的通用根密码,但他们也很难弄清楚我其它账户的那些密码前缀和后缀。目前没有一个密码工具可以处理这类型的复杂密码组合。
密码重置问题的设置
一个良好的强有力的密码重置问题也同样非常重要。这类型的事件有很多(是否还记得萨拉·佩林电子邮件攻击事件?),那些人并非是真正的黑客,他们只是做了一些研究,动了动脑筋,就能够正确地猜测一个人的密码重置问题。在一般情况下,努力破解一个重置问题的数量级要远远小于猜测一个密码的数量级。因此,这是一个非常薄弱的环节。
所以,在某些时候你需考虑是否该如实填写一些问题。比如当他们问你母亲氏族的姓氏时,你的第一辆车的品牌,或者你的出生地,你是不是有义务提供真正的答案。相反,对每个账户使用一个通用的密码重置问题,并记住我所使用的根密码策略,改变相关的单词或词组,这样你就可以记住每个账户或网站的密码重置问题的答案了,并且安全系数也很高。
现在,任何人都可以抛弃那些不安全的密码了。如果你采纳了我的建议,那么就可以减少黑客破解密码的风险了。相信我,现在就开始行动吧。
