密碼對于保障計算機用戶的信息安全具有至關(guān)重要的作用，密碼設(shè)置不能過于簡單，否則，入侵者將通過很容易的方式破解，同時密碼設(shè)置不能過于復(fù)雜，太長而又煩瑣的密碼對于提高安全性沒有實際意義，只會增加用戶的使用負擔。設(shè)計安全方便的密碼需要遵循以下原則：

一、選擇可靠的加密方式

信息在本地存儲的安全性要遠遠高于網(wǎng)絡(luò)存儲，因此秘密信息應(yīng)采用本地存儲，并選擇可靠的加密方式進行保護。可靠是指：

1.加密算法安全

使用那些采用強加密算法的軟件進行加密，使其無法被暴力破解，如RAR3.0，7z壓縮，而office2007之前的版本則不安全。

2.程序安全

程序自身沒有安全漏洞，攻擊者不能采用繞過密碼等方式讀取或破譯文件，如windows系統(tǒng)，就能夠通過外接方式繞過登錄密碼直接讀取文件。

二、密碼設(shè)置避免弱口令

1.密碼口令的位數(shù)應(yīng)在8～12位

如果攻擊者使用暴力破解方式，以現(xiàn)在的計算速度，8位以下的密碼都是不安全的，破解的時間會非常短，單機在幾天甚至幾分鐘即可完成破解。

2.使用字母、數(shù)字、符號混合方式組合密碼

密碼口令不能由單一字母或數(shù)字組成，在程序允許的范圍內(nèi)應(yīng)盡量使用混合組合的方式，如id*jo20I（DJO2K6^A，就是強度很高的密碼，可以大幅提高暴力猜解的難度。

3.避免使用有規(guī)律的字母和數(shù)字組合

類似APPle20111221這樣的密碼，由于使用了“單詞+年份”的組合方式，雖然對窮舉式暴力破解的安全性較高，但極有可能被一些破解字典收錄。

4.密碼設(shè)置不要與個人信息明顯關(guān)聯(lián)

不要使用本人及家人的姓名、車牌號、手機號、身份證號、工號、生日等易獲取的常用信息組合密碼，攻擊者會通過收集這些信息以后生成字典攻擊。

三、密碼設(shè)置要方便使用

1.組合方式要方便輸入

如果把密碼弄得很復(fù)雜，雖然一定程度提高了安全性，但是自己平時輸入就很不方便，如頻繁切換大小寫、數(shù)字、符號的組合會更為安全，但這樣會給輸入密碼帶來很大的麻煩。事實上，真正需要經(jīng)常用到密碼口令的人只有用戶自己，如果不設(shè)計得更加合理，符合個人操作習慣，只會增加使用者負擔。

2.密碼設(shè)計要方便用戶記憶

從安全角度出發(fā)，使用毫無規(guī)律的隨機組合作為密碼可以完全避免字典攻擊，類似于前面所提到的那個密碼id*jo20I（DJ02K6^A，這樣的口令組合確實安全性很高，但這種隨意的組合的方式也會讓使用者本人難于記憶，一個使用者無法記住的密碼是沒有任何意義的。

3.平衡密碼安全和使用方便

既要密碼安全，又要使用方便，那么在設(shè)計密碼時，就要盡量含有各種組合，同時不要頻繁切換，英文字母可以用有意義的漢語拼音首字母來輔助記憶，如這樣一組密碼hlj407@MMPJ704，含有大小寫和特殊字符、數(shù)字共14位，從暴力破解和字典角度看都是強密碼，使用時可以根據(jù)黑龍江拼音首字母，407房間，密碼破解拼音首字母輔助記憶。

四、按需求分組使用密碼

從安全角度，不同應(yīng)用要設(shè)置不同密碼，但在實際使用中，特別是互聯(lián)網(wǎng)上我們要使用大量的密碼，如果每一組密碼都不同，想要記得住是不現(xiàn)實的，因此最有效的辦法，是在安全方便的原則下，按照應(yīng)用的環(huán)境將密碼分組使用，同組使用相同密碼。如可分極強、強、中、弱、極弱五個等級。極強密碼只在本地使用，保護特別重要信息；強密碼可以用來保護支付寶等安全性很高的應(yīng)用，中等密碼保護QQ等重要應(yīng)用，弱密碼日常論壇使用，極弱密碼作為臨時注冊賬戶等非重要應(yīng)用。

五、養(yǎng)成良好的密碼使用習慣

1.不使用任何形式的保存密碼

很多瀏覽器和軟件提供保存密碼服務(wù)，他們將密碼以各種形式保存在本地硬盤，的確可以方便用戶使用，卻是極不安全的。

2.按時升級殺毒軟件和防火墻

無論你密碼設(shè)計得多么安全，如果感染了木馬和病毒，攻擊者都可以輕易地將其竊取。

3.不在公共計算機使用強密碼

網(wǎng)吧等公共計算機的安全性是沒有保障的，為避免損失，不要在公共計算機登錄使用強密碼保護的任何應(yīng)用。

4.定期更換密碼

密碼應(yīng)按照強度和使用情況定期更換，中等強度密碼一年左右為宜，極弱密碼可以長時間不換。

（作者單位：黑龍江司法警官職業(yè)學院信息技術(shù)應(yīng)用系）