kaspersky發佈了一篇密碼原則指南
密碼是資訊安全中最重要的元素之一,因此密碼政策就成為我們關注的焦點。密碼政策是一套規則,旨在激勵使用者使用強密碼並正確地處理它們。密碼政策可以是建議或要求,但現在後者比較常見:線上服務和企業IT基礎設施的管理員會在軟體設定中規定密碼使用的規則。
密碼政策的規則可以多樣化,涵蓋:
- - 密碼長度:密碼中的最小和最大字元數。
- - 允許的字元:密碼必須包含或不包含的大小寫字母、數字、特殊字元、表情符號等。
- - 禁止的組合:例如,與公司或使用者名稱相符的字元序列。
- - 特定禁令:例如,密碼不能以“1”開頭,不能包含連續數字(“12345678”),也不能符合一些容易猜測的模式(日期、電話號碼、車牌號等)。
- - 密碼黑名單:滿足一般政策要求,但因其他原因被認為不安全的例外表;例如,已知被洩露的密碼。
- - 密碼到期間隔:使用者必須設定新密碼的期限。
- - 密碼重複禁止:密碼不能更改為之前用過的密碼。
- - 禁止使用者要求更改密碼:防止攻擊者更改密碼而劫持帳戶。
- - 密碼儲存方法:特別是公司內部禁止使用貼有密碼的便利貼。或者建議使用密碼管理器。
- - 行政措施:如果某些密碼政策規則無法在軟體設定中強制執行,則可以採取行政措施來迫使使用者遵守它們。
當然,這個清單既不是完整的,也不是所有情況都必須遵守的。沒有一個單一通用的方法(也不可能有一個),因為密碼政策始終是安全性和使用者便利性之間的平衡。每個個別情況都需要找到合適的平衡點。現在讓我們看看密碼政策應該和不應該強制執行哪些要求。我們將舉例說明一些最多錯誤或有時甚至很愚蠢的密碼政策。
不良密碼政策的例子
過於具體的密碼政策可能會導致意想不到的後果。以下是一些常見的不良密碼政策:
要求使用者每隔幾天就更改密碼
這種做法可能會讓使用者感到厭煩和困惑,因為他們必須不斷地記住新的密碼,而且很可能會選擇一些容易記住但不安全的密碼,例如在舊密碼後面加一個數字。這種做法也沒有提高安全性,因為如果攻擊者獲得了使用者的密碼,他們不會等待下一次更改密碼的時機,而是立即利用它。因此,這種做法只會增加使用者的負擔,而不會減少風險。
要求使用者使用特殊字元和大小寫字母
這種做法的目的是增加密碼的複雜度,從而增加破解密碼所需的時間和成本。然而,這種做法也可能會產生一些問題,例如:
- - 使用者可能會選擇一些常見的替換方式,例如將“a”替換為“@”或將“o”替換為“0”。這些替換方式已經被攻擊者預測並納入破解工具中,因此並不會增加密碼的強度。
- - 使用者可能會忘記自己使用了哪些特殊字元和大小寫字母,導致無法登入帳戶或需要重設密碼。這些情況都會降低使用者的體驗和效率。
- - 使用者可能會在不同的設備上輸入密碼時遇到困難,例如在手機或平板電腦上輸入特殊字元可能需要切換鍵盤或長按某些鍵。這些操作都會增加使用者的不便和錯誤。
因此,這種做法並不一定能提高密碼的安全性,反而可能會降低使用者的滿意度和忠誠度。
禁止使用者使用密碼管理器
有些服務或系統會禁止使用者使用密碼管理器來儲存或自動填充密碼,例如通過禁用剪貼簿功能或阻止粘貼操作。這種做法的目的是防止使用者將密碼洩露給第三方應用程式或惡意程式。然而,這種做法也可能會產生一些問題,例如:
- - 使用者可能會選擇一些簡單或重複的密碼,以便於記憶和輸入。這些密碼更容易被攻擊者猜測或破解。
- - 使用者可能會將密碼寫在紙上或其他不安全的地方,以免忘記。這些地方更容易被其他人看到或竊取。
- - 使用者可能會感到沮喪和不耐煩,因為他們必須手動輸入每個帳戶的密碼,而且不能利用密碼管理器提供的其他功能,例如生成強密碼或提醒更改密碼。
因此,這種做法並不一定能保護使用者的密碼,反而可能會削弱使用者的安全意識和行為。
如何避免不良密碼政策
- - 選擇一個足夠長(至少12個字元)且不含常見字詞或組合的密碼。您可以使用一句話或一個短語作為密碼,例如「I love to chat with Bing」或「Bing is my favorite search engine」。
- - 使用不同的密碼來存取不同的服務或系統,以防止一個帳戶被入侵後影響其他帳戶。您可以使用一些規則來變化您的基本密碼,例如在前面或後面加上服務或系統的名稱或首字母,例如「I love to chat with Bing-FB」或「Bing is my favorite search engine-GM」。
- - 定期更改您的密碼,但不要過於頻繁。您可以根據帳戶的重要性和風險來決定更改密碼的間隔,例如每三個月或每半年。您也可以在發現任何可疑的活動或收到安全警告時立即更改密碼。
- - 使用密碼管理器來儲存和管理您的密碼。密碼管理器是一種軟體或應用程式,可以幫助您生成、記錄、填充和保護您的密碼。您只需要記住一個主密碼來解鎖您的密碼庫,而且可以在不同的設備上同步您的密碼。請選擇一個可靠和安全的密碼管理器,並定期備份您的密碼庫。
- - 啟用多因素驗證(MFA)來增加帳戶的安全層級。多因素驗證是一種要求您提供兩種或以上的身分證明來登入帳戶的方法,例如密碼加上手機收到的驗證碼或指紋掃描。這樣即使您的密碼被洩露,攻擊者也無法存取您的帳戶,除非他們也有其他因素。請選擇一個方便且安全的多因素驗證方式,並在支援此功能的服務或系統上啟用它。
密碼政策是一種旨在提高帳戶安全性和防止資料外洩的措施,但如果設定不當或執行不力,可能會產生反效果,降低使用者的體驗和效率。因此,我們建議您遵循上述的建議,選擇一個強而有力且容易記住的密碼,並使用其他工具和方法來保護和管理您的密碼。這樣不僅可以減少被攻擊的風險,也可以提高您使用網路服務和系統的信心和滿意度。
詳情請看: