■

高強(qiáng)度只是個(gè)神話

所謂密碼強(qiáng)度是指一個(gè)密碼被破譯的難易程度，密碼強(qiáng)度可以分為低強(qiáng)度或高強(qiáng)度。低強(qiáng)度密碼包括系統(tǒng)默認(rèn)密碼、常見的密碼以及其他一些短密碼，這些密碼一般由某些具有固定特征的詞組成，比如人的姓名、字典里的單詞等，這些內(nèi)容容易被輕易猜出或快速破解。高強(qiáng)度密碼一般長度足夠長，排列隨機(jī)，猜出或破解需要花費(fèi)更多時(shí)間。當(dāng)然，高強(qiáng)度和低強(qiáng)度是相對的，不同的身份認(rèn)證系統(tǒng)對于密碼強(qiáng)度有不同的要求。密碼的猜譯和破解與系統(tǒng)允許客戶嘗試不同密碼的次數(shù)、是否熟悉密碼主人等因素相關(guān)；然而，即使強(qiáng)度再高的密碼也有可能被猜譯和破解。

為了增強(qiáng)猜譯和破解難度，用戶在設(shè)置密碼時(shí)，一般都喜歡遵循字符復(fù)雜化原則。按有關(guān)標(biāo)準(zhǔn)要求，一個(gè)高強(qiáng)度、復(fù)雜化的密碼所包含字符應(yīng)該不少于12個(gè)，管理員級別的密碼字符數(shù)盡量要達(dá)到15個(gè)字符。很多人或許會(huì)對這樣的字符長度感到頭疼，不過這已經(jīng)是最近幾年來美國國家標(biāo)準(zhǔn)與技術(shù)研究所推薦的長度中最短的了，所有長度不達(dá)要求的密碼都會(huì)被認(rèn)為是不安全的。

密碼的高強(qiáng)度、復(fù)雜化要求，不僅體現(xiàn)在字符長度上，還應(yīng)體現(xiàn)在字符排列的隨機(jī)性上。一般來說，當(dāng)用戶被迫需要設(shè)置一些更加復(fù)雜化的密碼時(shí)，他們會(huì)在相同的地方使用類型相同的字符。例如，當(dāng)用戶在設(shè)置某個(gè)普通的字符長度為8的復(fù)雜密碼時(shí)，很人會(huì)選擇字母加數(shù)字的組合，并且首個(gè)字母會(huì)用大寫形式，其余字母使用小寫形式。要是他們同時(shí)使用了阿拉伯?dāng)?shù)字，一般會(huì)是一個(gè)或幾個(gè)“6”或者“8”，同時(shí)放置在密碼的最后。要是用戶在密碼設(shè)置中一并使用了特殊符號，多半會(huì)是一個(gè)平時(shí)使用頻率極低的字符放置在中間某個(gè)地方，以便用特殊字符替換一個(gè)形狀相似的字母，比如用“!”字符替換“i”字母，用“@”字符替換“o”字母等等。

對上述密碼設(shè)置習(xí)慣，惡意用戶早已了然于心，他們往往會(huì)對專業(yè)的密碼爆破軟件進(jìn)行針對性優(yōu)化，按需設(shè)置一些規(guī)則進(jìn)行密碼破解。一些專業(yè)的安全人士，借助外力工具反復(fù)分析轉(zhuǎn)儲捕獲密碼，能夠看出一些高強(qiáng)度、復(fù)雜化密碼的設(shè)置規(guī)律。如果希望設(shè)置的密碼真正發(fā)揮高強(qiáng)度的防范作用，密碼內(nèi)容一定要具有隨機(jī)性和獨(dú)立性。

高強(qiáng)度設(shè)置原則

當(dāng)遇到安全問題時(shí)，大家的第一反應(yīng)就是立即重新設(shè)置密碼，那么如何設(shè)置一個(gè)高強(qiáng)度、復(fù)雜化的密碼呢？哪種類型的密碼內(nèi)容才能確保強(qiáng)度足夠高，不容易被非法破解呢？很簡單！只要全面考慮到下面的一些設(shè)置原則，就能保證密碼的強(qiáng)度設(shè)置得足夠高，從而在一定程度上抵擋惡意用戶的暴力破解。

第一，密碼既要滿足長度要求，又能便于記憶。從安全角度來看，密碼長度一定要有保證，高強(qiáng)度的密碼長度要盡可能達(dá)到12位，當(dāng)然也不能設(shè)置得太長，太長則不方便記憶。從方便記憶角度開看，應(yīng)該盡可能使用有意義的內(nèi)容作為密碼，其中可以插入諧音或其他特殊字符，比如“xin xiang shi cheng”可以設(shè)置為“*xiang4cheng”。當(dāng)便于記憶的密碼內(nèi)容在長度上不符合高強(qiáng)度要求時(shí)，可以使用間隔符號對密碼長度進(jìn)行拉伸。例如，“woaini”密碼可以設(shè)置成“W_o_A_i_N_i_”（每隔一個(gè)插入“_”符號，同時(shí)將特定位置的字母大寫），又比如“gaoqiangdu”可 以 變 成“gao#qiang%du&”，也能通過數(shù)學(xué)運(yùn)算符號來設(shè)置高強(qiáng)度密碼，例如“2*2+6=10？Yes!”。

第二，密碼既要定期修改，又不能具有通用性。強(qiáng)度再高的密碼也容易被人偷窺到，定期修改密碼內(nèi)容，可以避免偷窺帶來的安全風(fēng)險(xiǎn)。一般來說，如果用戶有經(jīng)常更換強(qiáng)密碼的習(xí)慣，被破解的可能性可見是極低的。當(dāng)然，也不要在任何場合下，讓一個(gè)密碼“走天下”，這樣在遇到安全事故時(shí)，可能會(huì)帶來連鎖反應(yīng)?，F(xiàn)在用到密碼的場合很多，用戶不能圖一時(shí)方便，而將所有密碼內(nèi)容都設(shè)置成一樣的，不然的話惡意用戶在一處得手，那么在其他地方就會(huì)一路綠燈，這是因?yàn)閻阂庥脩魰?huì)首先用已竊取到的密碼，去破譯其他位置處的密碼內(nèi)容。顯然，讓密碼內(nèi)容具有通用性，會(huì)給用戶帶來不小的安全威脅，嚴(yán)重的時(shí)候，能給用戶帶來無法挽回的經(jīng)濟(jì)損失。還有要注意的是，密碼千萬不要和別人的相同，也不要與他人共享密碼。

第三，密碼既要講究組合，又不能具有規(guī)律性。從形式上看，密碼內(nèi)容至少應(yīng)該包含數(shù)字符號、非數(shù)字符號（例如 !>&<@？$>_等）、小 寫字母、大寫字母等類型中的三種組合。同時(shí)，在實(shí)際組合時(shí)，可以巧妙使用諧音來替代特殊字符，以增強(qiáng)密碼的可記憶性。高強(qiáng)度密碼的共同特點(diǎn)是組合復(fù)雜，位數(shù)較長，因?yàn)槭褂玫姆柗N類越多，密碼位數(shù)越長，就越難被暴力破解。通常，一種具有大小寫字母、數(shù)字和符號的組合、位數(shù)越長、使用的符號種類越多的密碼，被破解的可能性只有1%至3%。

要提醒大家的是，有些操作系統(tǒng)不支持“#@!”等字符作為密碼內(nèi)容，因?yàn)樗鼈兛赡茉谟行╂I盤中無法找到。在這種情況下，增加其它的數(shù)字或字母可以達(dá)到同樣的安全效果。另外，盡量使用不規(guī)則的組合，因?yàn)閷τ谝恍┮?guī)則性的組合，專業(yè)加掛字典的破解工具可以在轉(zhuǎn)瞬之間進(jìn)行破譯，而使用一些不規(guī)則的詞語、符號、數(shù)字來進(jìn)行相對復(fù)雜的組合時(shí)，能有效降低密碼被成功破解的機(jī)率。

第四，密碼既要設(shè)置簡便，又要具有高安全性。密碼在網(wǎng)絡(luò)環(huán)境中扮演著十分重要的角色，密碼的設(shè)置對用戶提出的要求，不僅僅是數(shù)量問題，而且還有質(zhì)量問題，要讓惡意用戶不能輕易猜譯到，也不能輕易爆破掉。如果每次手工設(shè)置密碼總感覺非常麻煩，而且也不能準(zhǔn)確判斷它的強(qiáng)壯性時(shí)，不妨嘗試通過外力工具來快速隨機(jī)設(shè)置高安全性的密碼。例如，在如圖1所示的密碼隨機(jī)生成頁面，用戶只要根據(jù)實(shí)際要求指定好密碼的長度、類型等參數(shù)，之后單擊“點(diǎn)擊生成隨機(jī)密碼”按鈕，就能快速擁有一個(gè)十分健壯的密碼內(nèi)容了，日后用戶就沒有必要絞盡腦汁地設(shè)置密碼內(nèi)容了。現(xiàn)在，Internet中有很多專業(yè)的密碼生成利器，通過它們也能非常方便地設(shè)置高安全性的密碼內(nèi)容。

圖1 密碼隨機(jī)生成頁面

圖2 指定瀏覽器類型和語言參數(shù)

高強(qiáng)度管理技巧

高強(qiáng)度的密碼在帶來安全保障的同時(shí)，也會(huì)給日常的管理帶來麻煩。記憶和管理密碼最常用的方法，就是使用紙和筆進(jìn)行手工記錄，不過這種方法修改管理密碼很不方便，而且也容易發(fā)生丟失。為了高效管理記憶高強(qiáng)度的密碼，我們必須要講究一些技巧。

1.采用手工方式記憶

最常見的記憶密碼方式，自然就是用紙和筆進(jìn)行手工記錄。在采用手工方式記憶時(shí)，建議大家不要將自己的高強(qiáng)度密碼寫在其他用戶能夠看到的地方，例如筆記本、桌面上等等，最好是強(qiáng)記在自己的腦海中。也不要在輸入密碼的時(shí)候讓其他用戶偷窺到，反復(fù)練習(xí)幾次，輸入速度快了，其他用戶自然就看不到了。更不能將自己的高強(qiáng)度密碼告訴其他用戶，這樣對自己對他人都是很不負(fù)責(zé)任的，保護(hù)好自己的密碼，既是尊重自己，也是尊重他人。

2.借助外力工具管理

為了有效管理好各種各樣高強(qiáng)度的密碼，我們可以請“LastPass”這款外力工具幫忙，它能在線管理各個(gè)需要在常見瀏覽器中輸入的高強(qiáng)度密碼，用戶只要手工記住一個(gè)密碼，就能對其他密碼進(jìn)行加密和管理，并完成登錄過程，提供一個(gè)可記憶、非儲存的密碼管理方案。

在進(jìn)行這種密碼管理操作時(shí)，先進(jìn)入 http：//lastpass.com站點(diǎn)頁面，點(diǎn)擊“免費(fèi)下載”按鈕，按需設(shè)置好操作系統(tǒng)和瀏覽器類型，下載獲得“LastPass”工具的安裝程序。用鼠標(biāo)雙擊安裝程序，指定好瀏覽器類型和語言參數(shù)（如圖2所示），再根據(jù)安裝向?qū)崾?，設(shè)置好電子郵件賬號、程序管理密碼內(nèi)容、提示信息，保留所有缺省設(shè)置，最后“LastPass”工具會(huì)對本地系統(tǒng)進(jìn)行全面、徹底地掃描操作，所有位于本地硬盤中的不安全密碼都會(huì)被發(fā)現(xiàn)并顯示出來，將它們?nèi)刻砑拥健癓astPass”工具界面中。當(dāng)向?qū)υ捒蛱嵝延脩羰欠褚獎(jiǎng)h除位于硬盤的不安全密碼時(shí)，必須要點(diǎn)擊“是的，移除所有已導(dǎo)入到LastPass工具的項(xiàng)目”，再單擊“完成”按鈕退出安裝向?qū)Э颉?/p>

打開“LastPass”工具界面，按下“登錄”工具欄按鈕，輸入事先指定的程序管理密碼，成功進(jìn)入“LastPass”后會(huì)自動(dòng)提示用戶保存有關(guān)密碼。同時(shí)，該工具還可以使用填寫表單、添加安全提示、賬號設(shè)置等形式，靈活地管理密碼。日后，用戶只要進(jìn)入“LastPass”程序界面，就能自由調(diào)用之前已經(jīng)保存的各種高強(qiáng)度密碼了。

3.使用組策略管理

圖3 設(shè)置密碼長度最小值

第一，強(qiáng)制變換密碼內(nèi)容。不停地變化密碼內(nèi)容，可以降低安全威脅程度。在Windows XP系統(tǒng)環(huán)境下，要強(qiáng)制系統(tǒng)定期變化密碼內(nèi)容時(shí)，先展開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。依次展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”分支，雙擊該分支下的“密碼最長存留期”選項(xiàng)，彈出選項(xiàng)設(shè)置對話框，輸入合適的密碼變換間隔時(shí)間，比方說輸入“20”，確認(rèn)后保存設(shè)置操作，Windows 7系統(tǒng)日后會(huì)每隔20天就提示用戶更改密碼內(nèi)容。

第二，限制密碼最小位數(shù)。前面本文提到，一個(gè)高強(qiáng)度、復(fù)雜化的密碼所包含字符應(yīng)該不少于12個(gè)，管理員級別的密碼字符數(shù)盡量要達(dá)到15個(gè)字符。要進(jìn)行這種限制操作時(shí)，可以打開系統(tǒng)組策略編輯器窗口，在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”分支上，雙擊該分支下的“密碼長度最小值”選項(xiàng)，彈出如圖3所示的選項(xiàng)設(shè)置框，在其中輸入“12”，確認(rèn)后密碼最小位數(shù)將不能低于12個(gè)字符。

4.通過注冊表管理

在IE瀏覽器中訪問電子信箱或提交在線表單時(shí)，都要輸入用戶賬號與密碼，日后即使選擇保存密碼選項(xiàng)，發(fā)現(xiàn)重復(fù)登錄時(shí)還要輸入密碼，怎樣讓IE不要求重復(fù)輸入賬號與密碼呢？很簡單！只要依次單擊“開始”、“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit”命令，彈出系統(tǒng)注冊表編輯界面。在該界面左側(cè)列表中，依次展開“HKEY_L O C A L_M A C H I N ESOFTWAREMicrosoftInternet ExplorerMAIN”注冊表分支，找到該分支下的字符串鍵值“Delete_Temp_Files_On_Exit”，并用鼠標(biāo)雙擊之，在對應(yīng)鍵值對話框中輸入“no”，確認(rèn)后并刷新系統(tǒng)注冊表，就能讓IE瀏覽器不要求重復(fù)輸入賬號與密碼了。