鉴于最近发生的“黑客”从网站管理员处学习并重试密码那么,关于密码方面的最佳做法,我们能给大家什么建议呢?
- 在网站之间使用唯一的密码(即永远不要重复使用密码)
- 应避免使用字典中找到的单词
- 考虑使用非英语语言的单词或短语
- 使用密码短语并使用每个单词的首字母
- l33tifying没有多大帮助
请提出更多建议!
答案1
使用以下密码不是由常用词或名称组成。字典攻击使用包含数百万个单词的字典,而且速度非常快。
使用长密码。我倾向于使用 pass短语。我选择一个短语、句子或韵律,并找到某种方式使用大量非字母数字字符,这样我的单词就不会是字典里的单词。
不要对多个登录服务使用相同的密码。花点时间想出一个密码选择公式。这样你就可以使用许多不同的密码,如果忘记了,你可以通过反复尝试重新创建。
如果必须的话,一定要写下一个好的、长的、安全的密码并将其藏在某个地方。这至少比使用容易记住的弱密码要好。
如果上述建议无法解决,请使用密码管理器设置较长的安全密码,然后对其他所有密码使用随机字符密码。将密码管理器放在加密的 USB 闪存驱动器上随身携带(当然要备份)。
答案2
我发现密码短语存在几个问题:
- 许多网站对密码长度都有上限 - 例如 20 个字符 - 这很愚蠢,但你能做什么呢?
- 其他网站不允许密码中有空格。
- 盲目地输入长文本很容易出错 - 尤其是当您不擅长盲打时。
- 输入 50 个字符的密码比输入 15 个字符的密码要花费更长的时间。
我解决这个问题的方法是使用密码短语作为实际密码的助记符。例如,我可以选几行威廉·亨利·戴维斯的伟大诗歌(76 个字符):
当我们经过树林时,没有时间去看,
松鼠把坚果藏在草丛里。
我会选择每个单词的首字母,创建以下非常好的 16 个字符的密码:
Nttswwwp,Wshtnig
使用诗歌尤其好,因为它更容易记住,当你被要求更改密码时,你只需选择诗歌的接下来几行。
答案3
当向他人规定密码制度时,不仅不要要求他们使用唯一的、长度超过阈值的、包含大小写混合、特殊字符等,还要教育用户有关密码管理器或构建/记住这些密码的方案……如果不这样做,用户会将密码写下来或找到其他不安全的方式来“记住”它们。
答案4
不要使用密码,这才是你一开始就犯错的地方。使用随机字符集(至少 8 个)或密码短语。你可以想出一个公式来为每个网站生成不同的密码短语,例如 ILikeStackOverflowOnions 或 ILikeServerFaultOnions;这可以保证你免受外部攻击,但如果实际网站被黑客入侵并且密码没有加盐,或者管理员一开始就腐败,这仍然可能导致问题。