级别: 初级 陈新风 (chenxinf@xinhuanet.com), 自由撰稿人
2002 年 7 月 01 日 密码只是问题的一部分,而其他的是对普通用户的培训,良好的物理安全,修补网络漏洞和安装强壮的防火墙。这些对机构团体的环境的整体保护比单单密码的提供要多的多。但是在个人标识或密码是管理用户的唯一的方法的领域里,最好的就是 避免安全风险和保持对他们密码的管理。
前言 - 口令的使用
老实说,密码是令人感到懊恼的。 目前,我们在到处都需要设置自己的密码或个人标识。 而当我们有越来越多的数量以后,我们将很难掌控所有。 忘记了去更新它们;或者当我们去更新的时候,很难再找一个既有效的又让我们能仍然记得牢的密码了,因此我们就陈年累月的延迟,不去更新它们。 大家都知道这是很不好的, 但是 - 痛苦的、令人恼怒的密码创建和记忆 - 有时是超乎我们的宽容度。 然而可喜的是:现在密码无须是复杂的密码。 一些简单的方法能帮你更容易的使用密码。
虽然我们可能发现他们令人感到懊恼的, 和甚至视他们为理所当然,但是重要的是记得,密码为什麽是重要的: 密码时常是对抗入侵的第一道防线。他们保护你的个人信息 - 一些我们不想要任何人或每个人都知道的信息。 在我们的个人生活中,这意味着一些金融财务信息,健康数据和私人文档。从一个专业的联系的角度来看,这可能包含一些被认为是对组织机构的成功起决定性的东西: 商业机密,财务的数据,知识产权,客户名单, 等等。
密码是相对比较简单和方便的,更安全的形式像特殊的密匙卡、指纹 ID 机和网膜的扫描器。 他们提供了一种简单, 直接的保护系统或帐户的方法。本文的目的是,我们将说明"密码"就如一个词,一句短语或鉴别用户身份的各种的字符的组合。密码通常被使用在一些验证形式的组合中,例如:使用者名称,账号或电子邮件位址。当一个用户名称被确认是这个计算机或系统的,那么只有授权用户自己知道的密码就是用来证明这个使用者合法性。 这个意味着他的功能是"向系统证明你就是你说的那个角色!"。
密码的破解
因为密码是系统安全的一个至关重要的组成部分,而且他们又相对容易地被破解。密码的破解就是为了未经授权登陆一个系统或帐号去计算出或解除密码的过程。这比大多数的使用者想象的更加容易。 (破解和入侵的不同是代码是被破解,机器是被入侵)。 密码可以以多种不同的方式来破解。 最简单的就是利用词表或字典程序来暴力破解密码。这些程序利用词表或字母组合来跟密码对比,直到找到与之相匹配的。破解代码就象科幻小说似的,可以在 Packetstorm 或 Passwordportal.net 上去搜寻"密码破解机"。 也有为数众多的密码破解工具可利用,这些工具平常的人都会使用。 (有关于更多密码破解工具的信息, 请参考 SecurityFocus 的文章--Password Crackers - Ensuring the Security of Your Password.)
入侵者的另外一个容易捕捉密码的方法就是通过社会工程学:从某人的键盘操作上物理的捕捉密码或者通过利用电话模仿 IT 工程师来询问。只要稍微研究一下这个密码正在被搜寻的用户的一些信息,许多用户创建的密码可以被猜测出来。(关於社会工程学的较多资讯,请参考 SecurityFocus 系列 -- 社会工程学基本原理 ),研究密码的另外一个技术途径就是通过嗅探器, 它监视在网络上传输的原数据并且破译它的内容。"一个嗅探器能够读取从你的机器送出的每次按键,包括密码"。可能现在有某个人至少已经拥有了你的某个密码。
该如何选择好的密码?
既然我们已经确认了密码的重要性和它们可能受攻击的一些方式,那我们就能够讨论如何去创建良好的,强壮的密码。留意它可能被攻击的方式常常是有助于创建强壮的、有效的密码的,因此我们就从创建密码的一些防止事项开始。
避免使用字典词句,专有名词或外国语的词句
正如刚刚已经提到的,密码破解工具一般是在处理大量由字母和数字组合体直到他匹配到一个密码,这往往是很有效,因此用户应该避免使用传统的词句作密码。出于同样原因,他们也应该避免使用正常的词语的末尾带上数字和传统词语的倒写,例如:"nimda"。虽然这可以证明这很难被别人计算出来的,它们不会被密码破解工具暴力破解。
避免使用个人信息
关于密码的一件比较麻烦的事就是密码需要让用户很容易记住。自然地,这将导致许多用户在他们的密码中使用个人信息。然而,如同在那 "社会工程学基本原理"上的讨论一样,易于黑客获取预定目标的个人信息是令人担忧的。同样地,一般强烈地推荐使用者在他们的密码中不要含有如此的信息。也就是说密码里不应该包含任何有关于用户的名字,呢称或家庭成员或宠物的名字。而且,密码也不应该含有任何容易被认出的数字,像电话号码、地址或者其他的一些可以从你的邮件上猜测出的信息,如邮政编码。
长度,广度和深度
一个强壮的, 有效的密码需要一个必要的复杂程度。 这三个因数能够帮助用户达到这个复杂程度: 长度,宽度和深度。 长度的意味着一个越长的密码越难被破解。简单的说,就是越长越好。 从机率(可能)性来看,也是越长的密码越难被破解。通常推荐密码是在六和九个字符之间。但是只要操作系统允许而且用户能够记得住密码的话,更大的长度也是可以接受的。 然而不管什么样,比较短密码应该被避免使用。
广度是描述使用不同的字符类型的方法。 别仅仅考虑字母,也可以用数字和像 '%' 一样的特殊字符, 在大多数的操作系统中, 大写和小写字母也被认为是不同的字符。 例如:在windows操作系统下不总是大小写敏感的。 (这就意味着它不能认出"A"和 "a" 之间的区别) 一些操作系统允许在密码中使用控制字符、转意字符和空格。 因此总的来说,每个密码里都应该包含以下的字符:
深度是指选择一个有一定意义的密码,我说的是不易被猜测的但是容易记的,因此别从密码的角度考虑,而可以从他的意思的角度来考虑,"一个好的密码是易于记忆且难于猜测的"。你可以用你的名字的简写,或是一句英文句子的第一个字母的组合等等。
比较有效的一个方法就是选择一句有特定意义的短语(能够很容易的记住的),取他们每个词的第一个字母,然后适当的做一些转换,例如:把第三个字母用"3"代替。还有更多的方法,大家可以依照自己的习惯去开拓。
额外的保护
所有出色的密码破解程序都包含了外国文字,倒写的单词等等。而且最简单的盗窃密码的方法就是请求密码,所以说这个是不能忽视的。
在有些地方,一个好的密码对于抵御入侵是足够的保护了,但在另一些地方,这只是开始。密码术和一次性密码对系统增加了额外的保护。密码术意味着对密码的加密,以便对防护密码不被那些嗅探者或窥视者的窃取。一次性密码,顾名思义,密码只使用一次。这就需要运行一个密码列表,或有一个特殊的密码算法,或者加密卡等来实现,但他是一个非常有效的密码加密的方法。
而且还要确认用户将要进行的行为来最佳化他们的密码效力。用户应该避免多个帐号使用一个密码。如果这样做的话,将暴露一个盲点,意思就是说,如果一个入侵者取得了你的一个帐号,那他将畅通无阻的使用你其他的帐号。因此用户永远不要把他们的密码透露给任何人,除非确认他们是可信任的,例如:系统管理员。即使如此,密码也只能人为的告知,别通过电话或 E-MAIL。
用户应该非常小心,如果要记下或保存密码的话。因为骇客们通过侧面来盗取密码的故事并不是城市神话,而是确有其实的。用户应该注意别轻易的把密码写在贴在显示器上的便签纸上,或者藏在键盘底下。相反,他们应该选择他们能够记住的,足够强壮的,有效的密码。
但也有那种必须要我们写下密码的境况,虽然并不推荐这种做法,但是如果必须这样做的话,那就应该做得有规划,而不能仓促。一个极端的例子:对于一个多用户系统的管理员,将有太多的密码制约着他,对与这些人来说,那只能建议他,在纸上写下一些利于提高他们的记忆的短语或相关的分类等并随身携带,或者复印一个并保存在家里安全的地方。千万别写在便签纸上等。就一些隐晦的暗示就可以了,别直接写下密码或加密后的密文。
修改或保存密码或个人标识
为了保证密码的有效性,密码应该经常的更改。安全的更改密码其实是很简单的。windows 的密码可以通过控制面版来更改,而在UNIX 下,一般是"PASSWD"命令。更改密码的一条好的准则是尽可能的符合切实用户。比如说,如果是一个ISP 帐号,别通过其他第三方机器 telnet 上来更改密码。如果是在办公室的机器,用户应该在自己的电脑上更改,而不能在同事的机器上做。而且当你输入新密码或旧密码时,别让任何人看到。如果是所有的可能的情况下,密码更改可以通过像 SSH 这样的安全连接来完成!
需要多久更改一次密码实际上取决于这个帐号。在线金融帐号应该一两个月改一次。组织网络的密码应该3-4个月更改一次。有的文章也建议"至少在每一个财年和每一个财季之间强制更改密码一次"。头脑明锐而且别懒惰!更改一个密码相比起令人气愤而且花费昂贵的同窃取做斗争的过程要来的快捷和轻易。
一些建议
经理们或管理者可以通过建立强有力的密码策略来增强他们网络的安全。密码要求应该被创建到机构的安全政策中去。网络管理员应该是定期的更改/更新密码。他们也应该有义务的提醒用户通过社会工程学和一些在线攻击,骇客是多么容易的取得他们的密码。应该教育新用户关于良好的密码习惯。也有助于机构资源安全和密码安全。最后,整个组织的密码政策应该综合到安全政策中去,并要让所有人都通读。
系统管理员应该执行安全措施以确保每个人在他们的系统上都使用充分强壮的密码了。他们应该设置系统上所有程序的密码的有效期。保留一个密码记录一防重用,在密码尝试 3-5 次后锁定帐号。机构也应该使用更新的操作系统以获取更安全的密码文件和认证协议。而且最好还是保持你个人帐号的密码的更新。最后,每当安装一个新的系统时,确保默认的密码立即被改掉。
小结
很明显,密码只是问题的一部分,而其他的是对普通用户的培训,良好的物理安全,修补网络漏洞和安装强壮的防火墙。这些对机构团体的环境的整体保护比单单密码的提供要多的多。但是在个人标识或密码是管理用户的唯一的方法的领域里,最好的就是避免安全风险和保持对他们密码的管理。
参考资料
关于作者
对本文的评价
| 
