■

高強度只是個神話

所謂密碼強度是指一個密碼被破譯的難易程度，密碼強度可以分為低強度或高強度。低強度密碼包括系統(tǒng)默認密碼、常見的密碼以及其他一些短密碼，這些密碼一般由某些具有固定特征的詞組成，比如人的姓名、字典里的單詞等，這些內(nèi)容容易被輕易猜出或快速破解。高強度密碼一般長度足夠長，排列隨機，猜出或破解需要花費更多時間。當然，高強度和低強度是相對的，不同的身份認證系統(tǒng)對于密碼強度有不同的要求。密碼的猜譯和破解與系統(tǒng)允許客戶嘗試不同密碼的次數(shù)、是否熟悉密碼主人等因素相關(guān)；然而，即使強度再高的密碼也有可能被猜譯和破解。

為了增強猜譯和破解難度，用戶在設(shè)置密碼時，一般都喜歡遵循字符復(fù)雜化原則。按有關(guān)標準要求，一個高強度、復(fù)雜化的密碼所包含字符應(yīng)該不少于12個，管理員級別的密碼字符數(shù)盡量要達到15個字符。很多人或許會對這樣的字符長度感到頭疼，不過這已經(jīng)是最近幾年來美國國家標準與技術(shù)研究所推薦的長度中最短的了，所有長度不達要求的密碼都會被認為是不安全的。

密碼的高強度、復(fù)雜化要求，不僅體現(xiàn)在字符長度上，還應(yīng)體現(xiàn)在字符排列的隨機性上。一般來說，當用戶被迫需要設(shè)置一些更加復(fù)雜化的密碼時，他們會在相同的地方使用類型相同的字符。例如，當用戶在設(shè)置某個普通的字符長度為8的復(fù)雜密碼時，很人會選擇字母加數(shù)字的組合，并且首個字母會用大寫形式，其余字母使用小寫形式。要是他們同時使用了阿拉伯數(shù)字，一般會是一個或幾個“6”或者“8”，同時放置在密碼的最后。要是用戶在密碼設(shè)置中一并使用了特殊符號，多半會是一個平時使用頻率極低的字符放置在中間某個地方，以便用特殊字符替換一個形狀相似的字母，比如用“!”字符替換“i”字母，用“@”字符替換“o”字母等等。

對上述密碼設(shè)置習(xí)慣，惡意用戶早已了然于心，他們往往會對專業(yè)的密碼爆破軟件進行針對性優(yōu)化，按需設(shè)置一些規(guī)則進行密碼破解。一些專業(yè)的安全人士，借助外力工具反復(fù)分析轉(zhuǎn)儲捕獲密碼，能夠看出一些高強度、復(fù)雜化密碼的設(shè)置規(guī)律。如果希望設(shè)置的密碼真正發(fā)揮高強度的防范作用，密碼內(nèi)容一定要具有隨機性和獨立性。

高強度設(shè)置原則

當遇到安全問題時，大家的第一反應(yīng)就是立即重新設(shè)置密碼，那么如何設(shè)置一個高強度、復(fù)雜化的密碼呢？哪種類型的密碼內(nèi)容才能確保強度足夠高，不容易被非法破解呢？很簡單！只要全面考慮到下面的一些設(shè)置原則，就能保證密碼的強度設(shè)置得足夠高，從而在一定程度上抵擋惡意用戶的暴力破解。

第一，密碼既要滿足長度要求，又能便于記憶。從安全角度來看，密碼長度一定要有保證，高強度的密碼長度要盡可能達到12位，當然也不能設(shè)置得太長，太長則不方便記憶。從方便記憶角度開看，應(yīng)該盡可能使用有意義的內(nèi)容作為密碼，其中可以插入諧音或其他特殊字符，比如“xin xiang shi cheng”可以設(shè)置為“*xiang4cheng”。當便于記憶的密碼內(nèi)容在長度上不符合高強度要求時，可以使用間隔符號對密碼長度進行拉伸。例如，“woaini”密碼可以設(shè)置成“W_o_A_i_N_i_”（每隔一個插入“_”符號，同時將特定位置的字母大寫），又比如“gaoqiangdu”可 以 變 成“gao#qiang%du&”，也能通過數(shù)學(xué)運算符號來設(shè)置高強度密碼，例如“2*2+6=10？Yes!”。

第二，密碼既要定期修改，又不能具有通用性。強度再高的密碼也容易被人偷窺到，定期修改密碼內(nèi)容，可以避免偷窺帶來的安全風(fēng)險。一般來說，如果用戶有經(jīng)常更換強密碼的習(xí)慣，被破解的可能性可見是極低的。當然，也不要在任何場合下，讓一個密碼“走天下”，這樣在遇到安全事故時，可能會帶來連鎖反應(yīng)。現(xiàn)在用到密碼的場合很多，用戶不能圖一時方便，而將所有密碼內(nèi)容都設(shè)置成一樣的，不然的話惡意用戶在一處得手，那么在其他地方就會一路綠燈，這是因為惡意用戶會首先用已竊取到的密碼，去破譯其他位置處的密碼內(nèi)容。顯然，讓密碼內(nèi)容具有通用性，會給用戶帶來不小的安全威脅，嚴重的時候，能給用戶帶來無法挽回的經(jīng)濟損失。還有要注意的是，密碼千萬不要和別人的相同，也不要與他人共享密碼。

第三，密碼既要講究組合，又不能具有規(guī)律性。從形式上看，密碼內(nèi)容至少應(yīng)該包含數(shù)字符號、非數(shù)字符號（例如 !>&<@？$>_等）、小 寫字母、大寫字母等類型中的三種組合。同時，在實際組合時，可以巧妙使用諧音來替代特殊字符，以增強密碼的可記憶性。高強度密碼的共同特點是組合復(fù)雜，位數(shù)較長，因為使用的符號種類越多，密碼位數(shù)越長，就越難被暴力破解。通常，一種具有大小寫字母、數(shù)字和符號的組合、位數(shù)越長、使用的符號種類越多的密碼，被破解的可能性只有1%至3%。

要提醒大家的是，有些操作系統(tǒng)不支持“#@!”等字符作為密碼內(nèi)容，因為它們可能在有些鍵盤中無法找到。在這種情況下，增加其它的數(shù)字或字母可以達到同樣的安全效果。另外，盡量使用不規(guī)則的組合，因為對于一些規(guī)則性的組合，專業(yè)加掛字典的破解工具可以在轉(zhuǎn)瞬之間進行破譯，而使用一些不規(guī)則的詞語、符號、數(shù)字來進行相對復(fù)雜的組合時，能有效降低密碼被成功破解的機率。

第四，密碼既要設(shè)置簡便，又要具有高安全性。密碼在網(wǎng)絡(luò)環(huán)境中扮演著十分重要的角色，密碼的設(shè)置對用戶提出的要求，不僅僅是數(shù)量問題，而且還有質(zhì)量問題，要讓惡意用戶不能輕易猜譯到，也不能輕易爆破掉。如果每次手工設(shè)置密碼總感覺非常麻煩，而且也不能準確判斷它的強壯性時，不妨嘗試通過外力工具來快速隨機設(shè)置高安全性的密碼。例如，在如圖1所示的密碼隨機生成頁面，用戶只要根據(jù)實際要求指定好密碼的長度、類型等參數(shù)，之后單擊“點擊生成隨機密碼”按鈕，就能快速擁有一個十分健壯的密碼內(nèi)容了，日后用戶就沒有必要絞盡腦汁地設(shè)置密碼內(nèi)容了。現(xiàn)在，Internet中有很多專業(yè)的密碼生成利器，通過它們也能非常方便地設(shè)置高安全性的密碼內(nèi)容。

圖1 密碼隨機生成頁面

圖2 指定瀏覽器類型和語言參數(shù)

高強度管理技巧

高強度的密碼在帶來安全保障的同時，也會給日常的管理帶來麻煩。記憶和管理密碼最常用的方法，就是使用紙和筆進行手工記錄，不過這種方法修改管理密碼很不方便，而且也容易發(fā)生丟失。為了高效管理記憶高強度的密碼，我們必須要講究一些技巧。

1.采用手工方式記憶

最常見的記憶密碼方式，自然就是用紙和筆進行手工記錄。在采用手工方式記憶時，建議大家不要將自己的高強度密碼寫在其他用戶能夠看到的地方，例如筆記本、桌面上等等，最好是強記在自己的腦海中。也不要在輸入密碼的時候讓其他用戶偷窺到，反復(fù)練習(xí)幾次，輸入速度快了，其他用戶自然就看不到了。更不能將自己的高強度密碼告訴其他用戶，這樣對自己對他人都是很不負責任的，保護好自己的密碼，既是尊重自己，也是尊重他人。

2.借助外力工具管理

為了有效管理好各種各樣高強度的密碼，我們可以請“LastPass”這款外力工具幫忙，它能在線管理各個需要在常見瀏覽器中輸入的高強度密碼，用戶只要手工記住一個密碼，就能對其他密碼進行加密和管理，并完成登錄過程，提供一個可記憶、非儲存的密碼管理方案。

在進行這種密碼管理操作時，先進入 http：//lastpass.com站點頁面，點擊“免費下載”按鈕，按需設(shè)置好操作系統(tǒng)和瀏覽器類型，下載獲得“LastPass”工具的安裝程序。用鼠標雙擊安裝程序，指定好瀏覽器類型和語言參數(shù)（如圖2所示），再根據(jù)安裝向?qū)崾荆O(shè)置好電子郵件賬號、程序管理密碼內(nèi)容、提示信息，保留所有缺省設(shè)置，最后“LastPass”工具會對本地系統(tǒng)進行全面、徹底地掃描操作，所有位于本地硬盤中的不安全密碼都會被發(fā)現(xiàn)并顯示出來，將它們?nèi)刻砑拥健癓astPass”工具界面中。當向?qū)υ捒蛱嵝延脩羰欠褚獎h除位于硬盤的不安全密碼時，必須要點擊“是的，移除所有已導(dǎo)入到LastPass工具的項目”，再單擊“完成”按鈕退出安裝向?qū)Э颉?/p>

打開“LastPass”工具界面，按下“登錄”工具欄按鈕，輸入事先指定的程序管理密碼，成功進入“LastPass”后會自動提示用戶保存有關(guān)密碼。同時，該工具還可以使用填寫表單、添加安全提示、賬號設(shè)置等形式，靈活地管理密碼。日后，用戶只要進入“LastPass”程序界面，就能自由調(diào)用之前已經(jīng)保存的各種高強度密碼了。

3.使用組策略管理

圖3 設(shè)置密碼長度最小值

第一，強制變換密碼內(nèi)容。不停地變化密碼內(nèi)容，可以降低安全威脅程度。在Windows XP系統(tǒng)環(huán)境下，要強制系統(tǒng)定期變化密碼內(nèi)容時，先展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。依次展開“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”分支，雙擊該分支下的“密碼最長存留期”選項，彈出選項設(shè)置對話框，輸入合適的密碼變換間隔時間，比方說輸入“20”，確認后保存設(shè)置操作，Windows 7系統(tǒng)日后會每隔20天就提示用戶更改密碼內(nèi)容。

第二，限制密碼最小位數(shù)。前面本文提到，一個高強度、復(fù)雜化的密碼所包含字符應(yīng)該不少于12個，管理員級別的密碼字符數(shù)盡量要達到15個字符。要進行這種限制操作時，可以打開系統(tǒng)組策略編輯器窗口，在該窗口的左側(cè)列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”分支上，雙擊該分支下的“密碼長度最小值”選項，彈出如圖3所示的選項設(shè)置框，在其中輸入“12”，確認后密碼最小位數(shù)將不能低于12個字符。

4.通過注冊表管理

在IE瀏覽器中訪問電子信箱或提交在線表單時，都要輸入用戶賬號與密碼，日后即使選擇保存密碼選項，發(fā)現(xiàn)重復(fù)登錄時還要輸入密碼，怎樣讓IE不要求重復(fù)輸入賬號與密碼呢？很簡單！只要依次單擊“開始”、“運行”命令，打開系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，彈出系統(tǒng)注冊表編輯界面。在該界面左側(cè)列表中，依次展開“HKEY_L O C A L_M A C H I N ESOFTWAREMicrosoftInternet ExplorerMAIN”注冊表分支，找到該分支下的字符串鍵值“Delete_Temp_Files_On_Exit”，并用鼠標雙擊之，在對應(yīng)鍵值對話框中輸入“no”，確認后并刷新系統(tǒng)注冊表，就能讓IE瀏覽器不要求重復(fù)輸入賬號與密碼了。