如何防止黑客入侵：如何构造安全的口令／密码.doc

如何防止黑客入侵：如何构造安全的口令/密码不要共用口令/密码　　俺发现有相当多的同学喜欢靠一个口令包打天下。这是相当相当危险的事情。同一个口令，用的场合越多，则泄密的危险越大。而一旦泄露，你的安全防线就会全面崩溃。　　所以，今天要讲的头一个要点，就是绝对不要在所有（大多数）场合，使用同一个口令。密码的分级机制　　由于共用口令存在很大的风险，比较稳妥的办法就是——每一个场合仅使用一个密码。但是很多人会抱怨说：这样会很繁琐，增加了很多的麻烦。那如何才能做到既安全，又不太麻烦捏？这就要引入密码的分级机制。　　根据安全圈内一个人所共知的常识：越安全的措施，通常也就越麻烦，成本也高；反之亦然。另外，根据二八原理，非常重要口令毕竟只占少数。所以，就像电影要有分级机制一样，你的密码/口令也要引入分级的概念。通过分级机制，对大多数不太重要的口令，可以采取简化的安全措施；而对少数重要的口令，采取高度安全的措施。　　下面，就来介绍一下，如何对不同的口令，进行分类。第1级：不重要的口令　　所谓不重要的口令，就是说万一被盗了或者忘记了，对你没啥损失。　　比如，俺经常碰到一些土鳖的论坛，只允许注册会员从上面下载附件。因此俺就经常临时注册一个账号，然后登录上去下载东西。这类账号，基本上都属于一次性的（用完即扔），所以重要程度很低。　　对于那些不重要的口令，基本上不用考虑太多安全性的因素。随便设置一个即可。第2级：重要但少用的口令　　对于重要的口令，还要根据其使用的频繁程度，再区别对待。有些口令虽然重要，但是使用的频度很低。由于这类口令很少使用，所以设置得麻烦一些，问题也不大。　　比如俺管理的一些研发的服务器（比如源代码服务器），其重要程度非常高，但是平常基本无需登录。第3级：重要且频繁使用的口令　　最后这类口令，既重要，又经常用。所以，设置这类口令就比较讲究。要同时兼顾安全性和易用性。　　比如自己日常使用的操作系统用户密码，就属于此类。一些反面教材——脆弱的密码举例　　说完了分级机制。接下来俺先列举一些反面教材，让大伙儿看看，啥样的口令算是脆弱的？（顺便说一下：2011年底，国内各大网站纷纷被脱库，大量用户口令侧漏。俺专门写了一篇博文，分析国内用户的口令习惯）口令和用户名一样　　无需多说，这种情形的口令，非常脆弱。口令是一串简单数字　　在上一个帖子，俺举了RockYou网站用户数据被盗的案例。在该网站3200万用户中，最受欢迎的十大弱智口令分别是：1. 1234562. 123453. 1234567894. password5. iloveyou6. princess7. rockyou8. 12345679.10. abc123　　从这TOP 10的排名可以看出，有一半是采用连续数字。所以，用连续的数字串（包括顺序和逆序）作密码，也是很愚昧滴。口令太短　　如果你的口令小于6个字符，是很容易被暴力破解滴。毕竟，小于6个字符的所有组合，也没多少个。对专门穷举密码程序来说，那简直是小菜一碟。用英文单词作口令　　用单个的英文单词作口令，也很容易被破解。毕竟，常用的英文单词，也就千把个；算上冷僻的，也就几万个。　　在许多年以前，就有黑客专门收集整理了英文单词的列表（称之为“口令字典”）。而且这个字典是根据单词的使用频度进行排序。有了这种密码破解字典，密码破解程序就可以轻易猜解出那些使用单个英文单词的密码。用日期作口令　　有些同学希望用某个具有特殊意义的日期（比如：生日、结婚纪念日、等）作为口令。要知道这种伎俩也是不灵滴。因为常见的日期，大都分布在最近100年的范围内。所以充其量，可能的个数也就大约是365*100个。即便把不同的日期表示格式考虑进去，也多不了几倍。在这个数量级上，对于暴力破解工具而言，还是小菜一碟。其它的烂口令　　上述列举的这几种情况，大伙儿一定要避免。另外，你还可以去围观一下某老外整理的一个滥口令大全（这老外真有耐心）。提醒一下：这个列表是根据欧美用户统计的，未必适合中国的国情。如何构造复杂的密码？　　前面已经说了：口令太简单，容易被破解。但是太复杂的话，万一自己也忘了，那可就完蛋了。所以，很多网友都纠结于口令到底该复杂到什么程度。俺的经验是：口令要做到对自己简单，对别人复杂。　　下面就来介绍俺在这方面的经验。用多个单词构成词组　　前面提到，如果用单个英文单词作密码，容易遭受字典攻击。为了避免字典攻击，可以考虑由2-5个英文单词构成密码。如果你英语不灵光或你比较习惯中文，也可以考虑用2-5个汉字的拼音来构成密码。　　优点　　由于能显著增加密码长度，可以抗击暴力破