一、密码设置原则
1.不使用空密码或系统缺省的密码,因为这些密码众所周知,为典型的弱密码。
2.密码长度不小于8个字符。
3.密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
4.密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。
5.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6.不要长期使用固定密码,定期或者不定期修改密码,防止未被发现的入侵者继续使用该密码。
7.不要在多个场合使用同一个密码:为不同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个帐户密码被盗,其它帐户密码也被轻易破解。
8.不把密码保存在电脑、U盘、笔记本、书籍等上面。
二、密码修改建议
大家曾有过账号被盗的经历,而为此把密码改得五花八门,连自己都会忘记,那如何设置密码才比较安全和便于记忆呢,推荐大家可以用自己喜欢的单词-喜欢的数字排列-喜欢的特殊字符,也可以找到一个生僻但又容易记住的短语、句子、歌词、书名或者电影台词都可以摘录,并创建它的缩写形式,其中可包括大写字母、数字和标点符号等。字母、数字、符号最好都要有这样设计出来的密码更安全。
三、常见的弱密码
看你中招没?
美国密码管理应用公司Splashdata发布「2018年度最弱密码」榜单,分析了2018年在互联网上泄漏的500多万个用户密码,最后统计出TOP100的结果。黑客经常用名人姓名、流行文化、体育术语和简单的键位排列组合来撞库盗号,因为他们深知很多人都在用容易记忆的密码,发布这份榜单,就是希望人们学会在网上自我保护。
四、密码是怎么被保存的?
1.明文保存
"明文密码"(Cleartext Password),即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候,用的是没有隐藏、直接显示的明文字符,而不是经过加密后的密文。如密码为123,那么密文密码是***,明文密码则是123。从信息安全的角度出发,任何网络服务都不应该保存或发送明文密码。
2.哈希保存
为了不让密码明文存储,我们需要对密码进行加密,这样即使数据库用户密码暴露,也是加密后的。但是如何让加密后的数据难以解密呢?我们现在比较流行的做法就是把密码进行Hash存储。给定算法和原文,生成一个哈希值。从哈希值里你看不出任何的原文信息。它不是压缩算法,所以你可以从原文算出密文,但不能从密文还原原文。如果算法是128位的,那么就算你原文长达100个英文字符,出来的也就是16个英文字符。
3.高级保存
高级加密标准,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个(如果数据块及密钥长度不足时,会补齐)。AES加密有很多轮的重复和变换。大致步骤如下:1.密钥扩展(KeyExpansion) 2.初始轮(Initial Round) 3.重复轮(Rounds),每一轮又包括:SubBytes、ShiftRows、MixColumns、AddRoundKey 4.最终轮(Final Round),最终轮没有MixColumns。
4.硬件加密
使用待加密的电子产品之外的硬件电路与待加密的电子产品进行通讯,让产品内部程序通过通讯数据来判断自己是否应该继续执行程序。硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑定在一起,缺少任何一个都将无法使用。经过加密后硬盘如果脱离相应的加密芯片和电子钥匙,在计算机上就无法识别分区,更无法得到任何数据。
五、密码是怎么丢的?
1.暴力破解
简单来说就是将密码进行逐个推算直到找出真正的密码为止。
2.碰撞Collision
碰撞是专门针对哈希码的,可以快速找到一个可能和原始密码完全不同的字符串,但是算出来的哈希值和原始密码算出来是一样的。
3.木马
是指通过特定的程序木马程序来控制另一台计算机。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
4.拖库
拖库本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
5.撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
