密碼是一種常見的認證形式,而且經常是使用者和你的個人信息之間的唯一壁壘。攻擊者可以使用一些程序來幫助猜測或“破解”密碼,但是通過選擇一個好的密碼并做好保密工作,你就可以使未經授權進入你的信息變的非常困難。
為什么你需要一個密碼?
想想每天你要使用多少個個人標識碼,密碼或密碼口令:從ATM取錢或在商店使用銀行借記卡時,登錄你的電腦或電子郵件時,簽署網上銀行賬號或網上購物時……看起來名單只會越來越長。記住所有這些數字,字母和單詞組合可能會讓你時不時地感到沮喪,沒準你也會懷疑這些煩瑣的工作是否值得。畢竟,攻擊者關心的是你的個人電子郵件賬號,不是嗎?還有在別人的賬號有很多錢的情況下,還會有人騷擾你的空空如也的銀行賬號嗎?
攻擊者常常不是只想要進入你的賬號,他們想要獲得進入你的資料的權限來發動更大的攻擊。也許看起來有人能夠進入你的個人電子郵件并不比侵犯個人隱私更嚴重,但是想想如是進入的是你的社會安全保險賬號或是醫療記錄呢?
保護個人資料和有形資產的最好方法之一就是僅讓得到授權的人進入賬號。接下來的步驟是確認人物身份是否如他所說,這個認證的步驟更為重要,在數碼世界里實現它也更為困難。密碼是最常用的認證手段,不過假如你沒有選擇一個好的密碼且將它保密好,它就會形同虛設。很多系統和服務都可以侵入賬號都歸因于不安全和不恰當的密碼,有些病毒軟件和蠕蟲病毒可以猜測出較簡單的密碼。
怎樣選擇一個好的密碼?
很多人使用的密碼都基于他們的個人信息,這樣很容易記憶。但是,這樣也更容易被黑客猜出或破解。起一個4個數字的PIN碼時,你會用你的生日的年月日來組合嗎?或是你的社會保險號碼的后四個數字?或者你的地址和電話號碼?想想找到一個人的個人信息是多么容易。那么你的電子郵件密碼呢?—是一個在字典中能找到的單詞嗎?如果是,就可能會被那些“字典”攻擊者攻擊,他們是基于運用字典信息來猜測密碼的攻擊者。
盡管有意拼錯單詞(如用“daytt”代替“date”)可以為防御字典攻擊者提供一些保護,更好的方法是依靠單詞串聯和使用記憶技巧,或記憶術,幫助你記得如何破解它。比如,使用“llTpbb”來代替密碼“hoops”,“llTpbb”是"[I][l]ike [T]o [p]lay[b]asket[b]all."的縮寫。使用小寫和大寫兩種字母來增加一層隱型保護。不過最好的防御方法還是使用數字、特殊字符、小寫和大寫兩種字母的組合。把上面的例子再改變一下我們得到"Il!2pBb."可以看到增加了數字和特殊字符后它變的復雜的多了。
不要以為你已經制定了強有力的密碼,就可以在你登錄的每個系統和程序中使用它。如果一個攻擊者猜到了你的密碼,他就可以進入你所有的賬號。你應該使用這些技巧來為每一個賬號制定獨特的密碼。
現在回顧一下選擇密碼時的策略:
|
怎樣保護你的密碼?
現在你已經選好了一個難猜的密碼,你得確保不會把它放在什么別人能找到的地方。寫下來放在你的桌子上,電腦旁邊,或者更糟糕的,貼在電腦上,都會使任何進入你辦公室的人輕易得到你的密碼。不要把密碼告訴任何人,還要小心通過電話、電子郵件的方式要求你提供密碼的欺騙行為。
如果你的互聯網服務提供商(ISP)提供系統認證的選擇,那么選擇那些使用Kerberos,基于挑戰/響應類型的,或公開密鑰的系統,而不是簡單的密碼(請參考理解ISP和加強口令了解更多的信息)。可考慮挑戰那些只用口令的服務商,讓他們采用更安全的方法。
另外,很多程序都提供了“記住”密碼的選項,但是這些程序保護信息的安全級別各不相同。有些程序,比如電子郵件程序,把信息按文本文件存入你的電腦。這意味著任何能夠進入你電腦的人都可以發現你所有的密碼,由此得到進入你信息的權限。因此,如果使用的是公共電腦,要一直記得登出賬號(在圖書館,網吧,甚至是辦公室里公用的電腦)。當你的密碼過多時,其他使用強大的加密術來保護密碼的程序,如Apple’s Keychain和Palm's Secure Deskto,可以提供可行性的選擇管理密碼。
雖然這些方法不能完全確保阻止攻擊者得到你的密碼,但是它們肯定會使之變得更為困難。
