页面

2011年3月3日星期四

网络安全宝盒连载:3. 如何创建与维护安全密码

来源:网络安全宝盒

很多让我们使用数码技术来轻松管理重要事务的安全服务,从登录计算机、发送电子邮件,到加密与 隐藏敏感数据,都会要求我们记住密码。这些秘密的单词、短语或杂乱无章的字符串,往往提供了第一道,甚至有时候是唯一的一道安全屏障,用来防止别人未经您 的许可就读取、复制、修改或销毁您的敏感资料。别人能通过多种方法得知您的密码,但您可以采取一些特定的策略、使用一个安全密码数据库工具安全密码数据库工具,如KeePass,来抵御他们。
设定场景


Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。Magda 最近在尝试登录她私人电子邮件帐户时发现她的密码被修改了。在重置密码后,她能成功登录,但当她打开收件箱时她注意到有几封新邮件被标记为"已读"。她怀 疑某个有政治动机的入侵者可能知道或猜到了她同时用于若干个网站的密码。她正在与比她电脑经验更少的 Mansour 会面,打算要说明情况并表明她的忧虑。
您将从本章节学到的内容
一个安全密码的要素
记住长而复杂的密码的一些诀窍
如何使用KeePass 安全密码数据库来储存密码,而不用再记住它们。
选择与维护安全密码
记住与记录安全密码
延伸阅读



选择与维护安全密码



一般来说,当您想要保护某个东西,您会用钥匙把它锁起来。房子、汽车和自行车的锁全部都有实体钥匙;受保护的文件有加密钥匙,银行卡有PIN码,电邮账户也有密码。所有的这些"钥匙",无论是实体的还是电子化的,都有一个共通点:它们落到别人手上时也能同样有效地打开对应的锁。您可以安装高级防火墙、保护电邮账户和加密 硬盘,但如果您的密码太弱,或者密码落入别人手里,那您采取的措施都于事无补了。
一个高强度密码的要素

一个密码应该要很难被计算机程序猜解出来。


加长:一个密码越长,电脑程序在一定的时间�把它猜解出来的可能性就越小。您应该尽量创建十位或以上的密码。有些人使用不止一个单词的密码,中间可能包含空格,这叫密码短语。这是个很好的主意,只要您使用的程序或服务允许您选择如此长的密码。


复杂化:除了长度之外,密码的复杂性也能帮助预防自动的"密码破解"软件猜出正确的字符组合。如有可能,您应该在密码中使用大小写字母、数字和符号,例如标点符号。

一个密码应该要很难被别人猜出。


实用性:如果您因记不住密码而不得不把它写下来,那您就可能面临另外的危险,任何人,只要能看清您的桌面或者能暂时进入您家、接触到您的钱包甚至您办公室外的垃圾箱,都有可能对您造成危害。如果您想不出来一个长而复杂又能记得住的密码,以下的记住安全密码可能会对您有所帮助。否则,您还是应该选择安全的密码,但需要借助一个安全密码数据库来记录密码,例如KeePass。其他受密码保护的文件,包括微软 Word文档,都不应被信任用于此用途,因为通过互联网上随意获取的工具就能很快地破解它们。


避免个人化: 您的密码不应该跟您个人相关。不要用您的名字、身份证号码、电话号码、小孩的名字、宠物的名字、生日,或别人稍作调查便可得知的其他信息来选择单词或短语作为密码。


保持私密性: 除非确实有必要,否则不要与任何人分享您的密码。还有,如果您必须把一个密码分享给朋友、家庭成员或同事,您应该先改成一个临时密码再分享,等他们使用完 了再把它改回来。通常还有一些分享密码的替代方法,比如可以为需要访问的个人另外创设一个单独的帐号。保持密码的私密性也意味着必须注意当您输入密码或通 过安全密码数据库查找密码的时候,有没有人在您的背后偷看。

如果有人知道了密码,要另外选择一个密码以减少损失。


独特化: 避免把相同的密码用于一个以上的账户。否则,任何人得知密码后就可以获取您更多的敏感信息。这点尤为正确,因为有些服务很容易就能破解出密码。例如,假如 您给 Windows账户和Gmail账户设置相同的密码,那么能实际接触到您的计算机的人,就可以通过破解前者的密码来获取后者的访问权限。同理,把一个密码 倒过来拼写再用于另一个账户,也不是个好主意。


定期更新: 定期更改您的密码,最好至少每三个月一次。有人会对某个特定的密码情有独钟而从来不更改。这不是一个好主意。您使用一个密码越久,别人把它推算出来的机会 就越大。还有,如果有人能够使用您已经外泄的密码来访问您的资料,而您却毫不知情,那他们会一直偷窥,直到您更改密码。


Mansour: 如果我相信某个人呢?那我把我的密码告诉他也没问题,对吧?

Magda: 首先,您相信某个人而把密码告诉他,不代表着他就能好好保管密码,是吧?尽管我不会滥用您的密码,但我有可能把它写下来或者遗失了。这也许就是我陷入现在 这个困境的原因!而且,这不仅是信任不信任的问题,如果您是知道密码的唯一一个人,当您的帐户被闯入,您就不需要花时间去烦恼应该责怪谁。好比现在,我就 能确信是有人猜到了或破解了我的密码,因为我从来没有把它写下来或分享过给任何人。
记住与记录安全密码



当 看到以上列出的建议,您可能会质疑:没有过目不忘能力的人,如果不写下来,怎么可能记得住这么长这么复杂而又没有意义的密码呢?而要在不同账户使用不同密 码,就更是难上加难了。有一些技巧也许可以帮助您创建密码能让您很容易记住,但即使对于别人而言,即使他非常聪明并且拥有先进的"密码破解"软件,都很难 破解。您还可以选用专为此目的而创建的工具,如KeePass,用来记录您的密码。
记住安全密码

选择密码的时候,使用不同类型的字符很重要。这可以通过不同的方法做到:
改变大小写,例如:'My naME is Not MR. MarSter'
数字与字母互相替换,例如:'a11 w0Rk 4nD N0 p14Y'
掺入符号,例如:'c@t(heR1nthery3'
使用不同语言,例如:'Let Them Eat 1e gateaU au ch()colaT'

任何一种这样的方法都可以增加一个简单密码的复杂性,帮您创建出一个安全的密码,而又不需要完全抛弃原本用来记住它的方法。有些普通的置换法(如使 用'0'来代替'o'或使用'@'符号来代替'a')早就被密码破解工具给结合进去了,但仍不失为好方法。因为它能拖延此类工具破解出密码所需要的时间。 而在更多情况下,当无法使用此类工具时,密码也没那么容易被碰运气猜出来。

您也可以利用更为传统的助忆法,例如首字母组合。这可以把长长的语句变成既复杂看上去又很随机的词语:
'To be or not to be? That is the question' 变为 '2Bon2B?TitQ'
'We hold these truths to be self-evident: that all men are created equal' 变为 'WhtT2bs-e:taMac='
'Are you happy today?' 变为 'rU:-)2d@y?'

这仅仅是抛砖引玉,您可以想出一套自己的方法,来把单词或短语重新编码,使它们既复杂又容易记住。
安全地记录密码

虽然少许创新便能让您记住您的所有密码,但要定期更改密码可能很快会让您无计可施。您可以生成随机的安全密码用于您的大多数账户,而不用逐一记住它们。您可以把它们记录在一个便携的、加密的安全密码数据库 里,如KeePass


上手指南:查看 KeePass 指南 开始使用

当然,如果您使用这种方法,给KeePass或任何一款工具本身创建一个非常安全的主密码并记住它就变得尤其重要。任何时候当您需要给某个账户输入一个密码,您就可以只通过一个主密码来找到它,这就使得遵循上面的建议变得更为容易。KeePass也是便携的,这意味着,您可以把数据库放进U盘里,以防您不在经常使用的计算机前而又需要查找一个密码。

尽管这对于那些需要维护大量账户的人来说也许是最好的方法,这个方法也有一些缺点。首先,如果您遗失了或不慎删除了唯一的密码数据库,您就再也不能访问任何一个密码保存在数据库中的账户了。这就使得备份KeePass数据库变得极为重要。请参看第五章:如何挽回信息损失以了解更多备份策略的信息。幸好,您的数据库是加密的,您并不需要因为丢失了U盘或含有数据库副本的备份驱动器而惊慌失措。

第二个主要缺点更为关键。如果您忘记了KeePass的主密码,就没有办法找回密码或恢复数据库里的内容了。所以,一定要选择一个既安全又能记住的密码作为主密码!


Mansour: 等等,如果KeePass仅仅使用一个主密码来保护您的所有其他密码,这怎么会比把同一个密码用于您的所有账户来得更安全呢?我意思是,如果有坏人知道了主密码,他就能获取所有东西了,对吧?

Magda: 您考虑得很周到。保护好主密码很重要,您说对了。但当中有几点重要的区别。首先,这个"坏人"不光需要您的密码,他还需要您的KeePass数据库文件。 如果您仅仅是把同一个密码用于您的所有账户,他就仅仅需要一个密码了。而且,我们都知道KeePass非常安全,对吧?但其他程序和网站就不一样了,它们 有些非常不安全,那您也不想让人通过闯进一个脆弱的网站,进而访问到一个更安全的账户吧。还有一点,当您认为有必要的时候,修改KeePass的主密码真 的很方便。我当初要是那样做就走运了!今天我花了一整天来更新我的密码。
延伸阅读


要了解更多关于安全密码,请参看《人权捍卫者的数字安全与隐私》一书附录中的"密码保护"章节以及"我的密码应该有多长?"。
维基百科上有关于密码密码强度准则密码破解的资料。



―――――――――――――――――――――――――――――――――――――――――
需要翻墙利器赛风? 请阅读和关注中国数字时代

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件


更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com


请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙)


请使用Google Reader订阅中国数字时代中文版http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。


















可从此处完成的操作:
使用 Google 阅读器订阅"GFW Blog(功夫网与翻墙)" via 数字时代精选 in Google Reader
开始使用 Google 阅读器,轻松地与您喜爱的所有网站保持同步更新

没有评论:

发表评论