青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 中国互联网的十二月大灾变从泄密门分析中国网民习惯 »

个人密码安全策略

  管理一个密码并不难,难就难在怎么管理几十个甚至几百个网络服务的密码,我们现在处于网络时代,时常要登录各种网站、论坛、邮箱、网上银行等等,这些访问常需要帐户+密码的身份认证,因此我们不断地注册用户,就有了数不清的网络帐户和密码。大多数人为了便于记忆,习惯只用一个常用的网络用户名、邮箱和密码,这是非常危险的行为,因为只要有一个网站出事泄露出来密码,那么几乎所有注册过的网站和服务都会全部沦陷。那么,网上的密码我们应该怎么设置,才能相对安全一些呢?

  总的来说,个人密码安全需要遵循如下几个简单的要求:对于不同的网络系统使用不同的密码,对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛,可以设置简单的密码;对于重要的信息、电子邮件、网上银行之类,必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。具体的设置策略如下:

  一、将自己常用的网站分类:大网站、小网站、重要网站、普通网站

  1、大网站

  大网站为可以信任的、安全的网站,例如用户为数亿的几个门户网站(腾讯、谷歌等),这类网站理论上安全性较好,常规情况下用户密码不易泄漏,并且都会提供绑定手机号功能,这类网站应该不超过十个。

  2、小网站

  大网站之外的网站都算小网站,是不可信任的网站,在上面保存的密码随时可能泄漏,并且可能是密码明文泄漏。

  3、重要网站

  涉及到网络使用的核心网站,例如主要的电子邮件、网银、网上支付、域名管理等,这类网站如果被黑客攻破,则会引起个人资产损失或者相关其他网站服务被攻击,损失巨大。

  4、普通网站

  重要网站之外的网站。

个人密码安全策略

  二、将自己的常用密码分类:弱密码、中密码、强密码

  1、弱密码

  最容易记忆的,且默认是可以丢失的密码。

  各类中小网站、论坛、社区、个人网站等使用。

  原因:这些网站的安全性可能都不太好,有些只是将密码MD5一下存储,有些可能还会明文存储密码。黑客很容易从这些网站盗窃用户的密码。

  2、中密码

  中等强度密码,8个字符以上,有一定抗穷举能力的。

  中等密码主要在国内门户网站、大型网站、门户微博、社交网站等使用,但不要在主要邮箱里使用。门户网站最好绑定手机号码。

  原因:大网站的安全性较好,通常被破解的可能性低,在大网站使用的密码要强度可以稍强。

  需要注意的是,有些门户网站(例如新浪、搜狐等)即提供微博,又提供邮件系统,如果系统默认建立了这些邮箱,那建议不要在任何地方使用这些邮箱,如果要使用邮箱,最好确认该邮箱具有独立密码功能。

  其中有一个例外是腾讯邮箱,腾讯邮箱支持邮箱的单独密码,设置好了以后,用户需要输入QQ密码和邮箱密码两个之后才能使用。

  所有游戏帐号使用单独的密码。

  3、强密码

  强密码要求至少8个字符以上,不包含用户名、真实姓名或公司名称,不包含完整的单词,包含字母、数字、特殊符号在内。

  强密码主要用于邮箱、网银、支付系统等。

  这类网站是最核心最重要的网站,网银涉及到用户的财产安全,邮箱则可以重置用户所有注册过的网站密码,因此这类网站一定要用强密码,保证其绝对安全性。

  密码穷举对于简单的长度较少的密码非常有效,但是如果网络用户把密码设的较长一些而且没有明显规律特征(如用一些特殊字符和数字字母组合),那么穷举破解工具的破解过程就变得非常困难,破解者往往会对长时间的穷举失去耐性。通常认为,密码长度应该大于8位,密码中最好包含字母数字和符号,不要使用纯数字的密码,不要使用常用英文单词的组合,不要使用自己的姓名做密码,不要使用生日做密码。

  三、电子邮件使用规范

  1、邮箱类型

  个人邮箱并非越多越好,只要两个个人邮箱即可(工作邮箱除外),关闭那些没用的邮箱,或者清除其内的所有内容,不在任何地方使用这个邮箱。

  邮箱分为两个类型,主要邮箱和次要邮箱,重要服务用主要邮箱来申请,一般服务用次要邮箱来申请。

  主要邮箱首选谷歌Gmail,其次微软Outlook,绑定用户的手机,并设置二步验证的手机动态密码,Gmail信箱和Outlook邮箱都支持手机动态密码,增加手机动态密码之后,黑客即使重置了用户的帐号密码,依旧无法登录该帐号,除非用户手机同时也被盗。有了动态密码,一旦用户信箱被攻击,用户有足够的时间通过手机修复密码。

  Gmail的辅助邮箱可以不使用,或者用一个可以,辅助邮箱的安全性一定要高,不容易被攻破。

  对于Gmail的访问还有一点,就是不要用Hosts来访问Gmail,不要把accounts.google.com放入到Hosts文件中,否则将对Gmail的安全性产生极大的威胁。

  2、动态密码设置

  对于经常受到攻击的Gmail用户,强烈推荐使用Gmail的“两步验证”功能,具体方法是,先登录Gmail,然后访问这个地址,之后根据提示安装一个iPhone或Android应用,即可实现动态口令,极大增强了Gmail的安全性。

  Gmail的“两步验证”支持iPhone和Android手机,实际上属于动态密码的一种类型。动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。由于每次使用的密码必须由动态令牌来产生,而用户每次使用的密码都不相同,因此黑客很难计算出下一次出现的动态密码。不过动态密码对手机要求较高,需要iPhone或Android这样的智能手机。

谷歌验证:Google Authenticator

  除了Gmail邮箱之外,腾讯QQ邮箱也是国内使用较为广泛的邮箱,使用腾讯QQ邮箱时需要注意,一定要设置双密码(邮箱单独密码),如有需要则打开腾讯的QQ手机令牌,QQ手机令牌是腾讯公司的一款QQ安全软件,通过验证30秒动态密码来保护QQ帐号、Q币Q点和游戏装备等,不过目前QQ邮箱还不支持手机令牌方式登录。

手机令牌:腾讯动态密码保护

  很多人觉得动态密码不方便,不愿意使用,这是不对的。方便性固然是好的,安全性是更重要的,重视用户密码的管理,虽然增加了一点点不便,但是你可能将会因此避免极大损失。

  3、邮箱密码

  邮箱的密码绝对不要和其他任何网站的密码相同,要使用8位以上的强密码。

  邮箱是密码管理中的核心和关键,通过邮件重置密码功能,可以获得用户大部分网站的密码,因此一旦邮箱密码被黑,会导致用户全部密码体系失控,Gmail动态密码虽然看起来麻烦一些,其实也并非每次都输入,在单台电脑可以三十天再输入一次。QQ的手机令牌也可以设置各种方法来减少输入动态密码的次数。

  在邮箱使用过程中要注意,使用主要信箱和次要邮箱注册不同的网站,重要服务用主要邮箱来申请,一般服务用次要邮箱来申请。大网站用复杂的密码,小网站和论坛使用简单的密码。如果注册的网站被盗,需要尽快通过电子邮件进行重置密码。

  对于那些小网站,在里面设置密码只能当没有,因为我们不知道这些网站是怎么保存密码的,其网站也随时可能被黑,因此只能保证注册邮件不被黑,可以用其重置密码。

  4、“找回密码”设置

  “找回密码”是一个关键的邮箱安全设置,很多黑客破解邮箱是通过“找回密码”进行破解的,因此如何设置“找回密码”的安全问题是一个很重要的环节。

  什么是“找回密码”中不安全的问题,主要有“你的生日?”(你会在其他社交网站录入自己的生日);“你的姓名?”(熟悉你的人都知道你的姓名);“你的出生地?”(通过身份证号码可以算出你的出生地);“你的手机号码?”(太多的地方容易泄漏你的手机号码);等等。

  这样,通过一些毫无技术含量的操作,别人就很可能重置你的邮箱密码。

  所以,“找回密码”应该设置为一个只有你自己知道答案的问题,自己不会轻易告诉他人,别人通过正常方法很难知道,例如“你中学时候暗恋的人叫什么”、“你初三时的同桌叫什么”、“你小学时最好的朋友叫什么”、“你第一个初恋情人叫什么”等等,这些问题通常别人很难猜到。

  归纳:1、核心邮箱可选用Gmail,启用其两步认证,因此密码被盗黑客也进不去,除非手机同时也被盗。2、用这个信箱注册其他网站,用不同的密码,大网站用复杂的密码,小网站和论坛使用简单的密码。3、邮箱使用单独的复杂密码,不要和其他网站密码相同。

  四、网银使用规范

  尽量少开通网上银行,如有必要,则开通那些口碑较好,较少发生过安全事故的网银,例如招商银行的网银。开通网银后使用数字证书,最好申请USB Key,USB Key使用了双钥加密,私钥安全地保存在Key中,在网络应用的环境下,可以更安全,弥补了动态密码锁单钥加密的一些缺陷。由于用户私钥保存在USB Key密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。除非黑客获取到用户USB Key的物理硬件,否则很难攻破用户的网银。

  银行取款密码不要和任何其他密码相同。网上银行密码不要和取款密码相同,也不和其他网站密码相同。

  对于支付宝来说,一定要安装数字证书,支付密码和登录密码不要一样,把支付宝帐户认定为实名,同时开通手机、邮箱绑定,如果还想更安全一点再申请个支付盾。

  归纳:少开通网上银行,网银申请USB Key配合使用。支付密码和登录密码不同。银行、网银、主要电子邮件的密码安全最为重要,需要重点保护。网银使用单独的复杂密码,不要和邮箱及其他网站相同。

  五、总结

  密码是个人网络信息安全的钥匙。在网络非常发达的今天,网上木马病毒横行,我们应该好好设计一下密码安全,才能保障网上银行安全、网上信息安全、网上交易安全,遵循上面介绍的个人密码安全策略,可以较为有效地提高用户个人密码的安全性,防止自己的个人信息遭受威胁和攻击。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址
  • 2.dawn
  • 喜欢用keepass来保管密码
    tr0217 于 2014-10-22 13:03:54 回复
    这里有个关于密码安全的调查问卷sojump/jq/3923447,只有10道选择题,很快就能填写完成,帮帮忙吧
  • 2011/12/23 20:55:56   支持(16)反对(7) 回复
  • 3.刘郁闷兰州
  • 韩国因为网络技术永远无法做到绝对安全取消了实名制!而我们的砖家告诉我们,无法做到绝对的网络安全,所以用户要给每一个网站注册不同的复杂密码!天朝还真的是什么都是国家利益的!
  • 2011/12/24 2:36:00   支持(24)反对(15) 回复
  • 4.nsceo
  • 是很值得关注啊。月光博客
  • 2011/12/24 14:12:11   支持(13)反对(4) 回复
  • 5.93ZLT
  • 请教 为什么不要通过修过该HOSTS来访问谷歌和GMAIL?我使用的是校园网,能用IPV6,通过修过HOSTS,添加了很多谷歌服务的IPV6 host,这样做是安全的吗? 谢谢!(那个ipv6 Hosts地址:https://docs.google/Doc?docid=0ARSigXXpKEesZGYyYzZmM3ZfMGhtM3I5a2Nt&hl=en_US)
    frantz 于 2012-1-2 21:06:12 回复
    我也正想问这个问题。hosts如果不是官方的,可能会被截取数据吧也许。
  • 2011/12/24 16:33:11   支持(14)反对(6) 回复
  • 8.xzymoe
  • 注册的东西太多了~~现实就是那么残酷啊~~CSDN都玩这种~~~
  • 2011/12/23 20:49:19   支持(12)反对(7) 回复
  • 9.挨踢帮客
  • 互联网安全不容忽视啊
  • 2011/12/23 21:56:30   支持(15)反对(10) 回复
  • 10.wolf
  • 月光讲得很详细,现在去试下。
  • 2011/12/24 11:43:20   支持(14)反对(9) 回复
  • 12.编程入门
  • 个人密码还是要位数多一点,字母、数字和特殊字符都包含最好。
  • 2011/12/24 22:03:05   支持(18)反对(13) 回复
  • 13.石牛肚
  • 作者讲的是策略性的,我发现命名密码是有规律,但如果这个规律只有自己知道,在别人不知道的情况下,对别人就是无序的,对自己就是安全的。命名密码必须平衡安全与方便两者的关系,它们是一对矛盾,依据自己知道但别人不知道规律去命名最是实现它们统一的佳方式。
    作者,你可以研究下这个方面,发表下文章啊
    小姐年芳几何 于 2011-12-26 19:24:20 回复
    看你是需要学学加密学,自己设计几个易记的加密方法,分安全级别适用,加邮箱安全分级策略,而且不四处宣扬,定期定期更换加密方法,基本上应该算是安全的!
  • 2011/12/24 23:25:36   支持(11)反对(6) 回复
  • 18.灵灵狗友之家
  • 关注月光,关注博客发展
  • 2011/12/24 14:12:52   支持(11)反对(7) 回复
  • 19.callmel
  • 对于Gmail的访问还有一点,就是不要用Hosts来访问Gmail,不要把w w w.google.c o m放入到Hosts文件中,否则将对Gmail的安全性产生极大的威胁。
    ===请问这个怎么理解?
  • 2012/11/13 18:25:43   支持(12)反对(8) 回复
  • 20.Targeat
  • 但是也没有办法呀。没有解决方案
  • 2011/12/23 20:40:27   支持(11)反对(8) 回复
  • 21.William_Zhai
  • 养成良好的密码安全使用习惯是必要的。
  • 2011/12/23 20:53:02   支持(7)反对(4) 回复
  • 24.YY
  • 看的让我感觉所有密码都不安全了。。。
  • 2011/12/23 21:37:58   支持(12)反对(10) 回复
  • 25.Android-阿蛋
  • 蛮好的密码归类方式,值得借鉴。
  • 2011/12/23 22:06:34   支持(10)反对(8) 回复
  • 26.bruce147
  • Gmail 二步验证,早就用了,每天登陆收到手机短信,android用的是k-9 mail,
  • 2012/1/5 18:31:28   支持(8)反对(6) 回复
  • 28.zylew
  • Google的两步验证也支持黑莓好不好
  • 2011/12/24 9:08:37   支持(8)反对(7) 回复
  • 29.钻铣床
  • 不要把重要的东西跟网络挂钩
  • 2011/12/24 11:11:06   支持(12)反对(11) 回复
  • 30.a
  • 无论是在首页查询,或者通过在线网页或软件进行批量破解,只要是查询失败的,将立即自动进入后台分布式云破解。用户只需过一段时间再次查询或再次进行批量破解即可。如果在首页查询,则可提示后台破解进度。后台破解成功结果自动进入查询数据库,计费标准不变,用户再次查询点击购买才付费。

    后台破解由多台电脑协同运算,破解范围为1-12位数字、1-10位小写字母+数字、1-8位大小写字母+数字、1-7位任意字符、其它组合形式。

    非标准md5加密方式一般可破解1-8位小写字母+数字,1-11位数字,结合字典破解最长可达20位。

    后台破解在数分钟内开始,3-10天结束。如果是登录后查询,则破解成功将自动发送邮件通知。
  • 2011/12/24 13:38:48   支持(15)反对(14) 回复
  • 31.卓越之道
  • 我是所有邮箱只用一个密码的。分类管理的思想非常重要,感觉也可以建立一个类似长尾关键词记录单一样的文件。
  • 2011/12/24 14:17:18   支持(7)反对(6) 回复
  • 32.寂寞雨点
  • 修改不了QQ密码怎么办呢
  • 2012/5/30 19:08:22   支持(12)反对(11) 回复
  • 34.微微i吧
  • 文章来的真及时,现在密码安全真的很恼火的。
  • 2011/12/23 23:57:46   支持(8)反对(8) 回复
  • 36.野草博客
  • 还要注意一个问题,尽量不要在国内网站使用强密码。
    可搜索:《个人用户选择互联网信息服务的核心标准:信息安全》
  • 2011/12/24 10:56:06   支持(14)反对(14) 回复
  • 37.Tracy
  • 自从密码泄露又的确需要注意这些事项了~要加强保护意识啊、
  • 2011/12/24 12:02:15   支持(9)反对(9) 回复
  • 38.郑义文
  • QQ邮箱已经支持手机令牌方式登录!
  • 2011/12/24 12:43:47   支持(9)反对(9) 回复
  • 39.敏敏知音
  • 互联网安全不容忽视。大小写数字符号等等都要用上,越复杂越好!重要的账号一定要复杂些。
  • 2011/12/24 16:29:47   支持(12)反对(12) 回复
  • 40.kyon
  • 设置Google两部验证,结果验证短信怎么都收不到,有什么解决办法?
  • 2011/12/24 22:00:34   支持(9)反对(9) 回复
  • 41.OTakuzsl
  • 说到手机令牌动态密码什么的,对我来说都很麻烦,不喜欢这种形式,如果将来可以实现用NFC设备来做第二验证方式那就很方便了,比如带NFC的手机放在电脑边上就能验证,带NFC的名片或者其他象征你自己特有的身份ID之类的东西都可以用来作为验证
  • 2011/12/30 11:11:14   支持(9)反对(9) 回复
  • 42.高清硬盘播放器
  • 用户第一!!安全第二!!
  • 2012/1/5 19:05:25   支持(9)反对(9) 回复
  • 43.voidname
  • 各种账号密码基本都一样的,不然自己都不记得~~
  • 2011/12/23 21:07:32   支持(9)反对(10) 回复
  • 44.时尚精品屋GO
  • 有同感,是很危险。
  • 2011/12/23 21:15:17   支持(15)反对(16) 回复
  • 45.卢啸天-Booddy
  • 这个文章很有用。。。
  • 2011/12/23 21:21:06   支持(9)反对(10) 回复
  • 47.土狼妹妹
  • 我的新浪微博前两天被盗了,看了密码真的应该重视了。
  • 2011/12/24 10:05:20   支持(14)反对(15) 回复
  • 48.留学生
  • 我看到有人提到keepass,去搜索了下,看网上的使用体验,好像不错。
  • 2011/12/24 11:18:13   支持(7)反对(8) 回复
  • 49.a
  • MD5
    1-6位大小写字母+数字+特殊字符 收录100% 大于 1400亿
    7位小写字母+数字 收录100% 大于 783亿
    8位小写字母 收录100% 大于 2082亿
    8位小写字母+数字 已收录50%,正在添加 大于14000亿
    8-11位数字 收录100% 大于 1000亿
    1-15位其它数据 部分收录 大于28000亿
    1-20位 900G独家超大字典 大于 910亿
  • 2011/12/24 13:37:22   支持(10)反对(11) 回复
  • 50.单桅帆
  • open id为什么流行不开呢,月光怎么看
  • 2011/12/23 20:46:15   支持(8)反对(10) 回复
  • 51.张秀敏_ada
  • 我深受其害。csdn伤害了我,它却一笑而过!
  • 2011/12/24 0:30:49   支持(9)反对(11) 回复
  • 52.活力珠子
  • 月光博主啊 你的访问量咋就那么高呢?
  • 2011/12/24 10:20:13   支持(15)反对(17) 回复
  • 53.a
  • 本站的数据量比世界上任何其它网站都超过26倍以上,举个很简单的例子,任何其它网站没有收录到8位小写字母的,而本站不但全部收录8位小写字母,而且8位小写字母+数字也收录了大部分。也就是说,本站数据95%以上都是全球独有的。

    除此以外,本站筹建了独立服务器,独立的8T硬盘,收录了一批极为冷僻的数据,这些数据命中的几率非常低,因此相对成本要高出很多。但仍然按普通的计费。

    由于大量的查询都集中在简单的密码上,所以本站曾经以4T数据独步全球很多年,那时的成功率就已经达到了87.53%,现在数据已经达到80T,成本增加了20倍,但成功率并不能正比例的提高
  • 2011/12/24 13:40:15   支持(9)反对(11) 回复
  • 55.我也来试试
  • 我以前买了Roboform挺好用的,但是由于当时不能和Opera兼容,就放弃很久没用了,现在发现新版本可以兼容Opera了,我打算重新捡起来看看。
  • 2011/12/30 23:33:09   支持(25)反对(27) 回复
  • 56.黑门书路
  • 我通常这样设置“找回密码”的验证问题:
    问:你初三时的同桌叫什么
    答:做好你自己的事情,小孩子别多管闲事
    阳光网赚 于 2012-1-5 13:53:09 回复
    哈哈...你这个回答挺搞笑的啊
    阳光网赚 于 2012-1-5 13:54:02 回复
    博主,为嘛我说来学习就说我的评论是垃圾呢?
  • 2012/1/4 19:37:18   支持(7)反对(9) 回复
  • 57.慧勇网
  • 阐述得很完整了,基本上这样就可以了。加上有U盾和手机动态密码,安全基本可以得到保障。对了,如果能够插一句“不要点击可疑链接”,就全了。
  • 2013/6/17 19:05:52   支持(9)反对(11) 回复
  • 59.飞仔网
  • 我都不记得我有多少密码了,幸好现在qq一键登录还不错。
  • 2011/12/23 21:28:56   支持(8)反对(11) 回复
  • 60.a
  • 还在讲穷举?去看看cmd5吧,提供了一些常用的加密方式。hash码直接在上面反查就好了。不用再自己去穷举了。
  • 2011/12/24 13:31:12   支持(10)反对(13) 回复
  • 61.夏至
  • 我的密码是不是也被泄漏 我原来的密码等不上去了 重新改了
  • 2011/12/24 16:47:53   支持(8)反对(12) 回复
  • 62.colin
  • 确实,重要的密码还是不要跟常用的混在一起。
  • 2012/1/6 16:36:24   支持(11)反对(15) 回复
  • 63.爆头王子
  • 唉,密码多了记不住,密码少了不安全~~~有木有办法解决捏?
  • 2011/12/23 21:04:38   支持(10)反对(17) 回复
  • 65.天缘阁
  • 我觉得密码这东西不要去讲求规律性的东西,像一般在网上注册的用户名及密码太多了,有时候我们自己都会忘记的,密码应该统一设定,把各种符号都用上,然后定期的更换,这样是最好的,也不容易忘记密码,而且还更加的安全。
  • 2011/12/26 13:05:00   支持(20)反对(29) 回复
  • 66.吴飞群
  • 文章写得很好,对我有很大帮助,谢谢
  • 2011/12/31 15:15:33   支持(19)反对(29) 回复

发表评论:

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注我的推特:关注我的推特
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.