如何在没有复杂密码的情况下实现安全的域登录？

Question 1

指纹扫描绝不能被视为密码的替代品。它可以作为附加因素使用，但绝不能单独使用，因为它永远无法更改。

最好但最简单的安排是创建一个你能记住的图案。这种图案可以随时间而变化，但仍然让你难忘。

事实上，记住字母、数字和符号的模式并不难，而且有很多模式可以使用。模式本身让人难以忘怀。单词也是如此，但我们当然习惯于识别有意义的单词。

因此，如下模式：

mhall~ouat<14?05

“玛丽有一只小羊羔〜从前〜2014 年 5 月” - 明白了吗？

您可以简单地玩一些符号或数字。如果您真的很偏执，您可能不想使用像基础这样明显的东西，因为一个非常好的彩虹表可能会发现它。

该示例包含 15 个字符，包括字母、数字和符号。如果使用一个或两个大写字母，效果会略有改善，但实际上，大写/小写/数字/符号的可能性比它们在每个密码中的实际用途更重要。

这样的密码对于目前的威胁来说确实非常强大。剩下的最大威胁是肩窥或一些更隐蔽的威胁，例如声音分析（对你打字的声音进行分析）。

如果您愿意，您可以通过使用 YubiKey 或智能卡等附加因素来更进一步，但实际上您应该将它们用作附加因素，而不是直接替代。如果您想保持最大程度的安全性。

就我个人而言，我也使用工具来记住大多数密码，我更喜欢真正随机生成的 Windows 密码。尽管如此，它只是一个密码，因此经过几次练习后，就不难记住了。

但是，您还应该注意，如果您仅依赖 Windows 登录密码，如果有人控制了您的 PC，您仍将暴露所有数据。为了实现真正的安全，您需要 UEFI BIOS、TPM 芯片、安全的 BIOS 设置和全盘加密。只有有了这些，您才能合理地预期攻击者在控制 PC 后无法获取您的信息。

接下来，您还应该为 Windows 添加额外的保护。至少要有 Microsoft EMET，最好是应用程序白名单工具（例如内置于 AVAST AV 中）。应用程序白名单仅允许特定应用程序运行，并且几乎可以肯定是目前针对零日攻击的最佳防御措施。使用 EMET 来强化 Windows 和优秀的 AV/反恶意软件工具（例如 AVAST）以及上述其他措施，删除所有不需要的软件并及时更新剩余软件的补丁，您现在就可以获得尽可能安全的环境。

更新：我意识到我还没有完全回答给出的问题，即关于登录域有哪些选项可用。

有很多工具可以实现这一点，Windows 支持可替换的登录功能，以前称为 GINA，不确定现在是否还叫这个。智能卡登录是本机支持的，有许多第三方工具可以补充（或替换）域上的标准 ID/密码登录，例如一次性密码生成器（如 RSA 令牌）等。您还可以调整 Windows 域的密码要求以强制使用更强的密码。我建议在这种情况下给出简单的指导，我似乎记得看到过一些信息图表来解释我上面提到的密码选择类型。

Answer

指纹扫描绝不能被视为密码的替代品。它可以作为附加因素使用，但绝不能单独使用，因为它永远无法更改。

最好但最简单的安排是创建一个你能记住的图案。这种图案可以随时间而变化，但仍然让你难忘。

事实上，记住字母、数字和符号的模式并不难，而且有很多模式可以使用。模式本身让人难以忘怀。单词也是如此，但我们当然习惯于识别有意义的单词。

因此，如下模式：

mhall~ouat<14?05

“玛丽有一只小羊羔〜从前〜2014 年 5 月” - 明白了吗？

您可以简单地玩一些符号或数字。如果您真的很偏执，您可能不想使用像基础这样明显的东西，因为一个非常好的彩虹表可能会发现它。

该示例包含 15 个字符，包括字母、数字和符号。如果使用一个或两个大写字母，效果会略有改善，但实际上，大写/小写/数字/符号的可能性比它们在每个密码中的实际用途更重要。

这样的密码对于目前的威胁来说确实非常强大。剩下的最大威胁是肩窥或一些更隐蔽的威胁，例如声音分析（对你打字的声音进行分析）。

如果您愿意，您可以通过使用 YubiKey 或智能卡等附加因素来更进一步，但实际上您应该将它们用作附加因素，而不是直接替代。如果您想保持最大程度的安全性。

就我个人而言，我也使用工具来记住大多数密码，我更喜欢真正随机生成的 Windows 密码。尽管如此，它只是一个密码，因此经过几次练习后，就不难记住了。

但是，您还应该注意，如果您仅依赖 Windows 登录密码，如果有人控制了您的 PC，您仍将暴露所有数据。为了实现真正的安全，您需要 UEFI BIOS、TPM 芯片、安全的 BIOS 设置和全盘加密。只有有了这些，您才能合理地预期攻击者在控制 PC 后无法获取您的信息。

接下来，您还应该为 Windows 添加额外的保护。至少要有 Microsoft EMET，最好是应用程序白名单工具（例如内置于 AVAST AV 中）。应用程序白名单仅允许特定应用程序运行，并且几乎可以肯定是目前针对零日攻击的最佳防御措施。使用 EMET 来强化 Windows 和优秀的 AV/反恶意软件工具（例如 AVAST）以及上述其他措施，删除所有不需要的软件并及时更新剩余软件的补丁，您现在就可以获得尽可能安全的环境。

更新：我意识到我还没有完全回答给出的问题，即关于登录域有哪些选项可用。

有很多工具可以实现这一点，Windows 支持可替换的登录功能，以前称为 GINA，不确定现在是否还叫这个。智能卡登录是本机支持的，有许多第三方工具可以补充（或替换）域上的标准 ID/密码登录，例如一次性密码生成器（如 RSA 令牌）等。您还可以调整 Windows 域的密码要求以强制使用更强的密码。我建议在这种情况下给出简单的指导，我似乎记得看到过一些信息图表来解释我上面提到的密码选择类型。

Question 2

记住的单个密码可以像存储在密码管理器中的任何随机密码一样安全。您需要一个简单的算法，将容易记住的单词或短语（对您有个人意义）转换为复杂的密码。您可以安全地写下足够多的内容来记住短语和算法，而不必真正担心有人会偷走您的钱包并破解它。

假设您喜欢 Disney。您的短语可能是 Uncle Walt。以新颖的方式修改短语，例如交换每个单词的首字母和尾字母，并用数字和标点符号包装每个单词，同时将看似任意的字母按模式大写（例如，倒数第二个字母）。

Uncle（5 个字母）和 Walt（4 个字母）可以变成 4encLu$taLw5。

如果你真的很偏执或者担心忘记自己的算法，你可以想出一个小纸条记在某处，比如“迪士尼动画手机要 45 美元？”，就好像你正在考虑购买一样。

当需要更改密码时，您可以保留个人算法并想出不同的短语和同样“随机”的注释。

Answer

记住的单个密码可以像存储在密码管理器中的任何随机密码一样安全。您需要一个简单的算法，将容易记住的单词或短语（对您有个人意义）转换为复杂的密码。您可以安全地写下足够多的内容来记住短语和算法，而不必真正担心有人会偷走您的钱包并破解它。

假设您喜欢 Disney。您的短语可能是 Uncle Walt。以新颖的方式修改短语，例如交换每个单词的首字母和尾字母，并用数字和标点符号包装每个单词，同时将看似任意的字母按模式大写（例如，倒数第二个字母）。

Uncle（5 个字母）和 Walt（4 个字母）可以变成 4encLu$taLw5。

如果你真的很偏执或者担心忘记自己的算法，你可以想出一个小纸条记在某处，比如“迪士尼动画手机要 45 美元？”，就好像你正在考虑购买一样。

当需要更改密码时，您可以保留个人算法并想出不同的短语和同样“随机”的注释。

Question 3

准备一台带有智能卡读卡器的笔记本电脑或键盘，并要求对您的域登录进行智能卡身份验证。

由于发布了大量大型纯文本密码文件，现在可以很好地了解人们认为的复杂且易于记忆的密码。结果是使用简单算法生成的复杂密码，如

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

——生成密码不再复杂。有破解算法可以生成这些密码，以及您认为聪明的任何其他方法，这些方法都是从目前可用的数百万个密码示例中学到的。

Answer

准备一台带有智能卡读卡器的笔记本电脑或键盘，并要求对您的域登录进行智能卡身份验证。

由于发布了大量大型纯文本密码文件，现在可以很好地了解人们认为的复杂且易于记忆的密码。结果是使用简单算法生成的复杂密码，如

a password that you can remember and then add lots of characters

a simple algorithm that transforms an easy to remember word or phrase

create a pattern that you can remember

——生成密码不再复杂。有破解算法可以生成这些密码，以及您认为聪明的任何其他方法，这些方法都是从目前可用的数百万个密码示例中学到的。

Question 4

对于安全域密码，密码长度是破解密码的主要因素。

Steve Gibson 谈到了使用密码干草堆来设置长密码的方法。你可以在以下网址阅读他的页面：https://www.grc.com/haystack.htm了解详情。基本思路是选择一个你能记住的密码，然后添加许多容易记住的字符。例如，选择你最喜欢的狗史努比，然后选择第一次世界大战开始的最后两位数字（14）（史努比在第一次世界大战中与红男爵作战）。然后你就可以得到以下密码（将 o 改为零以获得数字）：

Sn00py>>>>>>>>>>>>>>

根据 Steve 网站上的强力计算器，假设有一个每秒可以进行 100 万亿次猜测的大型破解阵列（这将需要 1000 个启用 GPU 的密码破解程序），则需要 11.52 千亿个世纪才能破解。然后，您就可以得到一个简单易记且难以破解的密码。

历史记录，超过 14 个字符的 Windows 域密码以更安全的方式存储，不允许部分解码密码，因此必须一次性解码整个密码。

更新：用户想要一个“安全”的密码，但密码不复杂。如果你想要一个强密码，一个能够抵挡住铁杆密码破解者的密码，那么你必须有一个长而复杂的密码。考虑到不复杂的限制，密码的长度将是唯一能提供安全性的东西（但它仍然需要比重复的字符更复杂）。使用>> 是为了将密码延长到暴力猜测无效的程度。这就是 Steve 页面上的数字所表明的。问题是，如果你选择一个密码破解者也使用的方案，那么强度就会小得多。这就是为什么，当你真正这样做时，你需要选择一个可以记住但不太可能出现在破解者数据库中的基础和扩展器。如果用户想要一个具有“真正强度”的密码，那么“不复杂”的约束就必须被放弃。

你说得对，Steve 确实说过这不是密码强度计。他确实说过，增加密码长度会使暴力破解变得更加困难（运行模式不是暴力破解）。上面给出的密码是一个例子，最终用户应该将其更改为所需的复杂程度，同时保持较长的密码（15 个字符以上的密码）。

Answer