防止密码泄露 教你如何设置安全密码

88865ff

转自华军：
2011年12月22日，国内最大的开发者社区CSDN.NET遭到黑客攻击，其数据库中超过600万用户资料遭到泄露，经过验证确认有其他网站用户数据库信息也被泄露。CSDN虽然已经发布了道歉信，但事情并没有结束。随后黑客相继爆出人人网、178、多玩、百合网、51CTO、天涯论坛等用户资料……从这一系列泄密事件中，我们能够学到什么？



信息互联时代，网络已经成为生活的一部分，网络安全如此不堪一击，孰是孰非很难讲清楚。普通用户应该重视个人密码的安全性以及安全级别，看看以下CSDN上常见密码的前十位，你是否熟悉且用过?




CSDN泄漏的数据中包含所有用户的邮箱信息，其中超过400,000的帐号用生日做密码，超过150,000的帐号用手机号做密码，超过250,000的帐号用QQ号做密码，有部分账户密码甚至可以直接登录新浪微博、人人网等其他社交网站网站……这些密码几乎是形同虚设!要怎么做才能令自己的密码强度高?很难被盗?亦或是很难被破解呢?笔者在这里写上几条建议，希望能帮助大家。
1、勿设简单密码




CSDN上触目惊心的密码数据
简单密码是指生日、电话号、姓名、证件号，或者上图中出现的简单数字排列或字母排列等等，虽然这些密码很容易记住，但相对的安全性也不高。另外，不要使用任何语言的单词或短句做密码。例如：iloveyou、password。也不要使用顺序或重复的字符。 例如：12345678、222222、abcdefg或键盘上的相邻字母 (qwerty)。



CSDN泄漏的数据中包含所有用户的邮箱信息，其中超过400,000的帐号用生日做密码，超过150,000的帐号用手机号做密码，超过250,000的帐号用QQ号做密码，有部分账户密码甚至可以直接登录新浪微博、人人网等其他社交网站网站……这些密码几乎是形同虚设!要怎么做才能令自己的密码强度高?很难被盗?亦或是很难被破解呢?笔者在这里写上几条建议，希望能帮助大家。
1、勿设简单密码




CSDN上触目惊心的密码数据
简单密码是指生日、电话号、姓名、证件号，或者上图中出现的简单数字排列或字母排列等等，虽然这些密码很容易记住，但相对的安全性也不高。另外，不要使用任何语言的单词或短句做密码。例如：iloveyou、password。也不要使用顺序或重复的字符。 例如：12345678、222222、abcdefg或键盘上的相邻字母 (qwerty)。



2、密码长度不要过短
一台每秒完成2的56次方次运算的超级计算机破解8字节的密码仅需要4分16秒，但破解16个字节密码需要149745258842898年，比太阳的寿命还要长。所以说密码还是尽量设的长些好。
3、密码组合可适当复杂
比如说我们最常用的“123awe”数字+字母组合，当然出现这次泄漏密码的事情后，公众的安全意识会大大加强。对于密码我们可以设置特殊字符、字母大小写或者加入下划线等。笔者建议参照下图中的方法设置密码。



4、使用密保、手机、令牌等硬件工具
为确保密码安全性应正确使用密保，设置密保问题，也可将帐号密码绑定手机。另外，也可类似网上银行一样留有网银保护盾或像游戏令牌等硬件，保护密码不被盗窃。
5、多个网站多个密码
似乎有很大一部分用户喜欢多个网站使用相同的账户名和密码，笔者建议多个网站最好设置多个用户名和密码。否则，丢失一个就意味着所有的资料均会被盗。另外，网站登录框下面都有一个“记住密码”的按钮，勾上之后下次就可以自动登录，笔者提醒广大网民在不熟悉或不经常上网的地方禁用此选项。现在有些浏览器也会提示用户“是否保存密码”，笔者建议不保存，危险性就可以降到最低。
笔者上面所提到的建议希望能帮助大家，相对于个人用户而言我们能做的也只有这些，所谓严于律己，毕竟涉及到自己的隐私，大家都会谨慎小心。而众多的网站又该怎么做呢?
1、使用暗文密码
这次CSDN泄漏的600万用户密码系CSDN2009年4月之前的用户资料，CSDN称在2009年4月前该网站将用户资料以明文密码方式存储，09年4月之后系统升级才使用暗文密码，但不知为何，未将之前的用户资料做相关处理。所以，相关网站应该一律使用暗文方式存储密码，就算被盗也不会被黑客轻而易举的拿走用户隐私信息。
2、限制用户输入非常容易被破解的口令
网站在处理用户申请帐号时，可以做出相应的规定。比如说当用户输入“123456”做密码时可以出现提示“此密码过于简单”等并限制此类密码的建立。
3、妥善管理用户登录状态
不要在cookie中存放用户的密码，Javascript 中cookie存放密码，客户端是可以查看的，别人查看一下js代码，然后就可以从cookie里面还原密码了。
正确设计“记住密码”功能，不要让cookie有权限访问所有的操作，权衡cookie的过期时间。
4、口令探测防护
使用验证码登录，设置验证码可以防止网站批量注册及暴力破解等行为。网站也可设置用户口令失败次数，在登录一定次数之后限制该帐号在一段时间内的登录。
5、部署完整的信息安全系统
这一点是需要网站必须做好的一件事情，网站部署完整的信息安全系统，充分保护用户资料信息。密码泄漏的两个源头之一用户密码被盗为个体，如果企业数据库被攻破则为群体，网站的信息安全工作尤为重要。

jiang410426

我擦，密码也太复杂了吧？自己也难以记住

-oAo-

12位以上的大小写字母，数字，特殊符号组成的密码就够强了

hilan

疑似银河落九天

shamozhuifeng

服务器被攻陷了，再强的密码也无用啊

88865ff

shamozhuifeng 发表于 2011-12-29 20:32
服务器被攻陷了，再强的密码也无用啊

指纹识别 语音识别 二维码识别 人脸识别 不怕服务器被攻陷！

shamozhuifeng

88865ff 发表于 2011-12-29 20:33
指纹识别 语音识别 二维码识别 人脸识别 不怕服务器被攻陷！

不知天涯是那种,
自己也被暴漏了

4毛5的诺顿

总的来说...其实最重要的还是网站数据存放管理这一环