网络安全日常防护密码管控试题及答案

网络安全日常防护密码管控试题及答案一、单项选择题（每题2分，共20分）1.以下哪类密码符合网络安全日常防护的强密码要求？A.12345678B.P@ssw0rd!2024C.1qaz2wsxD.用户生日+姓名首字母（如20000101zs）答案：B解析：强密码需满足长度≥8位，包含大小写字母、数字和特殊符号的组合，避免常见模式或个人信息。选项A为纯数字短密码，选项C是键盘连续字符组合（常见攻击库包含），选项D直接使用生日和姓名，均属于弱密码。2.关于密码复用（同一密码用于多个账号），以下说法正确的是？A.方便记忆，推荐使用B.若其中一个账号泄露，其他账号可能连带受损C.仅用于非敏感账号（如论坛）时安全D.现代加密技术可防止复用风险答案：B解析：密码复用是高风险行为，若某平台数据库泄露导致密码明文或哈希值被获取，攻击者可直接尝试登录其他平台。即使是非敏感账号，也可能因“撞库攻击”导致敏感账号（如邮箱、支付账号）被盗。3.定期更换密码的最佳周期是？A.1个月B.3个月C.6个月D.无固定周期，根据账号敏感程度调整答案：D解析：敏感账号（如银行、邮箱）建议每1-3个月更换，普通账号（如视频平台）可适当延长。但需注意：频繁更换可能导致用户使用“123456aA!”→“123456aA@”等简单修改模式，反而降低安全性；部分平台支持“长期有效+多因素认证”时，可灵活调整周期。4.以下哪种密码存储方式最安全？A.记录在手机备忘录中并加密B.写在纸质笔记本上锁入抽屉C.使用可信的密码管理工具（如1Password、Bitwarden）D.保存在云盘的加密文档中答案：C解析：密码管理工具通过主密码+加密算法（如AES-256）存储，支持自动生成强密码、跨设备同步，且部分工具提供“泄露检测”功能。手机备忘录或云盘加密文档可能因设备丢失、云服务被攻击导致泄露；纸质记录可能被物理窃取。5.多因素认证（MFA）的“第二因素”不包括以下哪项？A.短信验证码B.指纹识别C.设备位置信息D.硬件安全密钥（如YubiKey）答案：C解析：多因素认证需满足“你知道的（密码）、你拥有的（手机、硬件密钥）、你本身的（指纹、人脸）”三类中的两类。设备位置信息属于环境因素，单独无法作为第二因素。二、判断题（每题2分，共10分）1.为避免遗忘，可将密码写在便利贴上贴在显示器旁边。（）答案：×解析：物理环境中的密码暴露会直接导致窃取风险，即使是私人办公区域，也可能因访客、清洁人员接触而泄露。2.所有账号使用同一高强度密码比每个账号单独设置弱密码更安全。（）答案：×解析：复用强密码仍存在“一密通杀”风险，而每个账号单独设置不同的强密码（通过密码管理工具管理）可降低整体风险。3.仅使用数字和字母组合的密码（如Abc12345）属于弱密码。（）答案：×解析：弱密码的定义是“易被猜测或暴力破解”，8位以上包含大小写字母和数字的组合（如Abc12345）虽未使用特殊符号，但已具备一定强度；若长度≥12位则更安全。特殊符号是加分项而非强制要求。4.收到“账号异常需重置密码”的邮件，点击邮件中的链接直接修改密码是安全的。（）答案：×解析：此类邮件可能是钓鱼攻击，链接指向伪造的登录页面，用于窃取密码。正确做法是通过官方渠道（如直接输入官网地址）登录账号中心修改。5.儿童手表、智能音箱等物联网设备的默认密码（如admin、123456）无需修改。（）答案：×解析：物联网设备默认密码是公开信息，攻击者可通过扫描工具批量入侵，修改为强密码并定期更新是基础防护措施。三、简答题（每题10分，共30分）1.简述“强密码”的核心要素及设计示例。答案：核心要素：①长度≥8位（建议12位以上）；②包含至少3类字符（大写字母、小写字母、数字、特殊符号）；③避免个人信息（生日、手机号、姓名）、常见单词（如password）或键盘连续字符（如qwerty）；④无重复模式（如112233、abcabc）。示例：R#9fGk7!pX2（10位，包含大写、小写、数字、特殊符号，无规律）。2.为什么不建议使用“密码提示问题”（如“母亲的姓氏”）作为账号找回方式？答案：①提示问题答案多为公开或半公开信息（如通过社交平台、户籍信息可获取）；②攻击者可能通过社工手段（如冒充客服）骗取答案；③部分平台存储提示问题答案时未加密，存在数据库泄露风险；④若用户为方便记忆使用真实答案，会直接暴露隐私。3.列举3种常见的密码泄露途径，并说明对应的防护措施。答案：①钓鱼攻击：攻击者伪造登录页面窃取密码。防护措施：不点击陌生链接，通过官方渠道登录，开启浏览器“安全警告”功能。②弱密码暴力破解：攻击者使用工具尝试常见密码组合。防护措施：设置高强度密码，开启账号“登录失败锁定”功能（如连续5次错误锁定30分钟）。③设备感染恶意软件：木马程序截获键盘输入或屏幕截图。防护措施：安装杀毒软件并定期更新，避免下载非官方应用，关闭不必要的权限（如键盘记录权限）。四、案例分析题（共40分）案例背景：某公司员工小王的常用操作如下：所有账号（邮箱、OA系统、购物平台）均使用同一密码：Xiaowang2023！（包含大小写、数字、特殊符号）；为防止遗忘，将密码写在便利贴上贴于电脑显示器边框；收到“OA系统升级需重新登录”的邮件后，点击邮件中的链接输入密码完成“登录”；家庭路由器、智能摄像头均使用默认密码（admin/admin）；认为“多因素认证麻烦”，所有账号均未开启。问题：结合网络安全密码管控要求，分析小王操作中的风险点，并提出改进建议。答案：风险点分析：1.密码复用：所有账号使用同一密码，若任一平台泄露（如购物平台数据库被攻击），其他账号（如邮箱、OA）可能连带被盗。2.密码物理暴露：便利贴贴于显示器边框，易被同事、访客或清洁人员直接获取，导致密码泄露。3.点击钓鱼链接：邮件中的“升级登录”链接可能指向伪造页面，输入密码会直接被攻击者窃取。4.物联网设备使用默认密码：路由器、摄像头默认密码公开，攻击者可通过扫描工具入侵，控制设备或劫持家庭网络。5.未启用多因素认证：单一密码验证安全性低，即使密码泄露，攻击者仍需第二因素（如短信验证码、指纹）才能登录，未开启则无额外防护。改进建议：1.密码管理：使用密码管理工具（如Bitwarden）为每个账号生成唯一强密码（如邮箱：M#7rTk9!pX3，OA：Lq8@Fg2$sY5），仅记忆工具主密码。2.密码存储：删除便利贴，通过密码管理工具自动填充密码，避免物理记录。3.钓鱼防范：收到需登录的邮件时，通过官方渠道（如直接输入OA系统官网地址）登录，不点击邮件链接；开启邮箱“钓鱼邮件拦截”功能。4.物联网设备：修改路由器、摄像头默认密码为高强