安全密码设置三原则.doc

安全密码设置三原则密码对于每个现代用户都不陌生，从银行卡密码到游戏密码，从QQ密码到保险箱密码，能不能用好它直接关系到大家的个人隐私安全。有的人说密码只要越复杂越好，有的人说密码易记且统一最好，这类想法都是错误的，侥幸心理只会让你的银行账号被攻陷，而越复杂越好的做法则只会让你每天被自己的健忘所困扰。只有权衡好安全密码的几个原则，才能设计出既安全又方便的密码第一原则:避免出现弱密码既然是密码，那安全就是第一位的，如果我们知道自己的密码是黑客随时能够破解的简单弱密码，那设置它还有什么意义呢？1、密码口令的位数应在812位如果使用暴力猜解，8位以下的密码都很不安全，猜解的时间很短，几天甚至几分钟就能破解的密码谁还敢用？2、应使用字母和数字结合的方式密码口令所使用的字符组合为大写字母数字或小写字母数字，如idjo2006或者waxd201309，这样能加大暴力猜解的难度3、避免使用有规律的字母或数字组合类似ming1993、abcd2006、qwerty、admin1234等使用常用单词或日期都很危险，容易被黑客字典收录，增大被破解的几率。4、避免使用开头或结尾的字母和数字避免使用09或ac、AC、xz、XZ中的任一字符作为密码的开头，做到的话就会使暴力猜解提高好几倍的难度。第二原则：能记住的密码才是好密码1、大小写切换，多麻烦的事儿！把密码弄得很复杂，虽然提高了安全性，但是自己平时输入就很不方便比如有人认为使用大写字母+小写字母+数字的组合会更为安全，如ChOoSe2008等，但殊不知这样会给输入密码带来多大的麻烦！事实上，真正需要经常用到密码口令的人只有用户自己，如果不设计得更加合理，符合个人操作习惯，岂不是平白无故给自己增添很多不必要的麻烦？2、毫无规则，你自己记得住吗？也是从安全角度出发，有人喜欢使用毫无规律的字母数字组合作为密码，类似于电信ADSL的初始密码形式:c5u3j9lo这样的口令组合确实非常安全，但同时这种随意的组合也会让使用者本人难于记忆，这事可比大小写切换更麻烦，一旦遗忘会非常麻烦。3、权衡一下，安全和方便谁重要？所以，我们设计密码的时候既要安全，又要方便，大写或小写字母数字的组合足够了，同时，拼音也能帮上忙，找一句自己印象深刻的格言座右铭或俗语，将它们的英文或拼音逐一写出，取其每个单词的首字母加以组合，最后再补上一组相关标志性数字例如:号令天下2013年即为hltx2013、十指科技9898即为shzkj9898，这种密码既安全又便于自己记忆，但在实际应用时还是不要用太大众化的句子为好，相信每个人心中都有一个自认为压箱底的歇后语或者名言的。第三原则：不要锁了门却忘了关窗1、不要为所有的门都配一样的钥匙不要以为设计的密码口令组合够复杂就100%安全了，它所应用于的系统或软件环境也是一个不可忽视的因素。由于早期开发技术和理念的局限，某些使用密码口令的系统或软件本身就存在着设计安全缺陷，致使在其特定应用环境下操作密码极易被破解例如：BIOS口令放电即可破解、早期版本的OFFICE产品的口令保护较弱等。因而在这种情况即便用户设计的密码组合再复杂也无济于事，所以建议用户在实际应用中使用两套密码口令组合，分别用于弱口令和强口令系统或软件的不同应用环境，以备万全！这样做的好处是可以防止一套口令的损坏影响第二个系统的使用，即避免别有用心者通过轻易得到的弱口令环境下的密码而猜出或推导出其他强口令环境下的密码，从而致整个系统和软件应用环境完全不设防。2、杀鸡焉用牛刀由于设计理念和技术的进步，目前大多数系统和软件的密码口令算法还是比较安全可靠的，但在实际使用中还是应特别注意区别对待。对于像BIOS口令、屏幕保护口令、OFFICE2000以前版本的口令保护、早期版本的IE/OE口令等可以本着防君子不防小人的思想，只设简单好用的形式密码即可，如ABCE；而对于WINRAR、WINZIP、OFFICE2003等程序来说，要想保护文档使其更安全就必须使用复杂可靠的密码口令组合才成，如此才能切断弱口令环境和强口令环境间密码口令的内在联系，防止电脑安全的崩溃。3、善将兵，也善将将对于用户而言，设计合理的密码固然是重要的。但是善于利用其它外部的账号工具也可以帮助更好的保障安全。比如超级密码、手机短信验证、硬件Ukey、手机令牌软件（也叫号令）等，在这里着重提一下号令。号令属于手机客户端软件，采用OTP技术，基于时间同步方式，每隔60秒钟变化一次密码，用户登陆的时候须输入账户名、静态密码、动态密码三块，这样即使静态密码泄露或者被盗，盗号者在没有动态密码的前提下，也不可能登陆账号。这种软件是通过一定的算法达到时间同步，所以过程中无需使用流量，而且由于本号令软件是植入手机（装载在安卓或者IOS系统中），真正做到了贴身保护，一令无忧，安全、便捷、用户体验良好，而且也拥有一些诸如账号锁定、消息盒子推送等功能。结语：要保证密码安全，你还需要做的。1、安装可靠杀毒软件，及时升级病毒库，定期查毒，确保密码口令的安全。使用环境非常重要，对于已经感染木马病毒的系统而言，即使18位复杂组合的密码也无法逃过其监听窃取。2、避免将密码保存在缓存区随时调用，尽量做到随用随输入，有些用户为了方便习惯使用保存密码或者自动填充表单，这是不安全的。另外，及时清理cookie，也能避免一些别有用心的人窃取密码。3、登录邮箱、网银后要执行退出操作。如果仅仅关闭浏览窗口而不退出，其他人还可以通过浏览缓存而查看邮箱内容。4、是否有必要经常性的更换密码口令？这要根据不同的安全需求而定。一般的个人用户没有必要频繁更换密码，那样的话一是会增加操作负担，二是容易造成思维混乱。基本上每半年一年定期更换一次比较好。5、不要把密码保存起来。有的人习惯建一个文档，然后把所有