前不久一段时间,国内网络上出了一件大事,很多主流网站的密码都被盗了,一时间,大家都争相改密码。
很幸运,我的密码没有被盗,不过看到这个消息,其实一开始我很困惑,即使密码被盗了,照理说密码应该是加密过的,盗了应该也没办法用吧,后来发现原来很多网站保存的密码竟然是明文,怪不得大家这么着急改密码了。
再回想到之前国外 Sony和Visa都被盗过很多客户的信用卡和密码信息,看来网络安全越来越重要了。
网络安全涉及到太多的因素,网络设备、防火墙、软件等等,每个因素都是很重要,也没法每个都理解得很深入,所以今天想先找个简单跟大家谈谈,就是密码策略。
大家到任何网站上注册会员,基本上都离不开密码这个东西,很多网站注册的时候,都会提示你的密码是否很强还是很弱,我每天登陆的一个论坛,天天在提示我去更改密码,因为那个密码太简单了,几乎都是数字。
那到底怎么样的密码策略才是比较安全的呢?
我们来结合著名的 DevSuite 中密码策略来分析一下吧:
1. 长度:对于密码而言,长度越短,意味着越容易被破解,反过来,越长当然就越难被破解了,所以最高密码能规定最小的长度,比如说起码8位。
2. 密码内容规则:
密码的组成如果越单一,就越容易被破解,比如都是数字,可能几个小时就能被黑客破解,所以我们就需要用各种不同类型得字符去生成密码,比如,必须有数字,必须有小写字母,必须有大写字母,必须有特殊字符
一般我们喜欢密码与登陆名一致或者跟邮件名一致,因为好记,不过你好记了,人家也就好破解了,都没技术难度的,只要试一下你的登录名看看就知道了,所以尽量要避免这种情况。
上面的几点都是针对密码内容的,不过即使密码再复杂,由于你平常天天要用,也不会用特别长的密码,这样子总是会让人家有机会破解,实在不行,用暴力破解方式24小时不停去试,所以还是需要其它方法来增加密码的安全性。
3. 密码锁定与解锁:如果真的要暴力解锁,我们可以设置当输入密码错误多少次以后自动锁定密码,这样子暴力解锁就没用了,永远没办法得到密码。而一旦锁定的密码,要么管理员给你解锁,要么等待很长时间才能解锁。暴力解锁用几次的尝试可是没法破解密码的哦,所以它也不会傻的等着你解锁后再去继续尝试的。
4. 密码过期:一个密码使用的时间越长,被破解或者被人家看到猜到的可能性越大,所以每隔一段时间强制更换密码是很有必要的。
一个好的密码策略是一个系统安全的基础,随着网络日益发达,黑客越来越厉害,密码策略也必然需要越来越先进,所以不管是从规则上,还是算法上,业内的朋友都需要好好加油,维护网络的安全性。