帳號密碼作為信息系統安全的第一道屏障,用戶名、密碼和驗證碼組合的登錄驗證機制已成為大多數系統的標配,但仍有一些用戶對此不夠重視。建設公司內部的信息系統時,為了員工更方便的記憶自己的用戶名,統一採取員工工號作為用戶名,又為了員工登陸體驗,很多業務系統都取消了驗證碼,如此,用戶事實上只要記一個密碼就可以登錄信息系統了,但仍然有很多用戶將自己的密碼設置成123456、12345678、Ab123456這樣的簡單密碼。
很多人或許不知道,設置成這樣的密碼,對於別有用心的人來說,相當於形同虛設,帳號密碼很容易就被猜測和破解了。
密碼被猜測和破解,輕者會導致非法登錄,嚴重者可提權至管理員權限,甚至直接滲透內網,登錄內網伺服器。
那麼怎麼樣的密碼才是合格的強密碼呢?
一、 密碼長度必須超過8位,且同時含有大小寫字母、數字和特殊字符中的至少3種?
為什麼要這麼麻煩?全數字不好嗎?如果你全部設置數字,即使達到了8位字符,總共也才1億(10的8次方)種組合,對於超級計算機的計算強度,一秒鐘就把所有的組合都遍歷了一遍,如果信息系統本身沒有防止暴力破解的防護措施,那麼這樣的密碼是不是也是形同虛設?如果你增加英文字母,並且含有大小寫,那麼一個位上就有62種可能,8位就是62的8次方。
二、 密碼不要直接使用個人手機號、生日、姓名全拼這些個人信息
這又是為什麼?有人或許會問,我用姓名全拼不就是字母了嗎,在加上手機號,密碼就足夠長了,計算機遍歷應該沒那麼容易了吧?確實是的,採取姓名拼音加手機和生日這樣的字符組合,密碼已經從表面上符合了密碼的強度要求,但是現在有一個詞叫做社會工程學,專門從你的社會關係,個人信息中獲取帳號密碼。
三、 不要使用默認密碼
這一點就不要我多說了吧?因為相同產品的默認密碼是一樣的,如果你使用默認密碼,相當於你把密碼告訴了所有和你使用相同產品的人,另外,哪怕其他產品的默認密碼也不要借用,因為黑客的字典裡往往會收錄很多默認密碼。
密碼設置的一些建議
1、 定期修改密碼,不管是多麼複雜的密碼?如果太長時間不修改,仍然是不安全的,別有用心的人長時間的猜測和破解,甚至套路你,總有機會得到你的密碼.
2、 準備幾套密碼,重要的系統設置一套密碼?例如網銀和支付的密碼,擁有後臺管理的信息系統帳號密碼,要嚴格按照上述強密碼的要求設置,並定期修改。如何適用於娛樂的,比如新聞瀏覽類的,論壇類的帳號密碼,可以根據自己個人要求,設置一個好記的,當然為了密碼安全,網站也會建議你設置符合一定密碼強度的密碼,但是我們一定不要設置和前面那套重要密碼一致的密碼。
3、熟讀唐詩、宋詞、名人名言,密碼從中摘取。唐詩宋詞中隨便拿出一句,在配合一些對自己有意義的數字和字符組成的密碼就是最好的強密碼,而且對自己好記。