2016-10-13 16:51:55giszto
密碼設定原則:提高安全把關的第一道門
您會將幾十元的兒童鑰匙裝在家裡大門口嗎?
擁有強悍的虛擬主機 + 設計嚴謹的程式架構,比不上您對密碼安全的重視,就如同一把鑰匙,如果您只願意買個兒童鎖裝在大門,那住在什麼豪宅、買什麼保全也不重要了。
沒有不被破解的密碼,那怎樣才算安全的密碼?判斷的重點是「這道密碼需要花多久時間才能破解?」,如同小偷如果需要花上數小時、數天的時間才能開啟你家大門,
這時間需要越長就提高您的安全係數,因時間可以足夠管理員報警或抓到小偷。
如何設定密碼前需先以破解密碼的角度去思考。
除非您的密碼被竊取、或病毒側錄了您的鍵盤密碼(如同鑰匙直接被偷走..),否則破解密碼的方式分為兩大類:
1) 暴力破解
過短的密碼如 4 個數字密碼,只需最多猜 9999 次時間即可破解,看起來需要很長時間,但以程式來說,猜一次的時間只需大約花 1/1000秒(在此為舉例,需視電腦環境、網路速度、及同時進行破解的攻擊來源數量,所以這個數字可長可短)。
2) 常用密碼配對
如字典中的常用字及駭客手上的一套常用密碼本,拿來匹配時很容易的配對到密碼(例如:work money master admin ..... 123456 abc123 121212 passw0rd .....),
縮短暴力破解的所需時間。並配合密碼設定心裡學,以網域名稱、網址、帳號等相關聯的密碼更容易被猜測成功。
綜合上述兩大類破解密碼方式,設定密碼時需注意下列幾項重點:
- 一、密碼長度勿過短:增加密碼長度有效於增加暴力破解所需時間,建議密碼長度大於12字元以上。
- 二、密碼最好包含英數大小及特殊符號:密碼通常區分大小寫,如:英文大寫 A 與英文小寫 a 視為不同字元,故設定密碼時由英文大小寫配合數字可增加組合機率的次數,配合特殊字元(@!#$% ..)更佳。
- 三、帳號密碼勿太相似:很多人會將密碼設定為與帳號相關聯,例如帳號為 Allen,密碼為 Allen5678 .... 如此類推等於減少密碼破解長度。
- 四、勿使用姓名作為帳號密碼:設定帳號密碼時如使用姓名(如:jerry、May...等)常用英文名、或字典中用語,很容易就被破解密碼者配對成功。
- 五、勿相同密碼重複使用:很多人為了方便,將一組同時使用多個軟體系統(如管理者後端、資料庫的密碼使用同一組)、或一組密碼同時使用多個郵件帳號。
- 六、定期更換密碼(建議至少半年更換一次):有些密碼被竊取並不一定會立即危害到網站(如同未發病或沒有病徵,讓您無法察覺),駭客可能保存一段時間,當必要時或需要發動攻擊的時機同時啟動破壞或木馬程序,隨時更新密碼將有效增加保護及減少密碼被竊取的風險。
所謂防範於未然,當您對於密碼設定有基本的認知時,表示已經踏入安全認證的大門,避免宵小隨意就可侵入您的系統內偷竊資料,當然這只是初步的安全認識,
其它如何使用密碼、保管保存密碼、避免被竊取及木馬側錄...等,還需用戶多加留意。