人密码安全策略.pdf

个人密码安全策略 我们现在处于网络时代 ，时常要登录各种网站、论坛、邮箱、网 银行等等 ，这些访问常需 要帐户+密码的身份认证 ，因此我们不断地注册用户 ，就有了数不清的网络帐户和密码。大 多数人为了便于记忆 ，习惯只用一个常用的网络用户名、邮箱和密码 ，这是非常危险的。 那么 ，网 的密码我们应该怎么设置 ，才能相对安全一些呢 ？ 总的来说 ，个人密码安全需要遵循如下几个简单的要求 ：对于不同的网络系统使用不同的密码 ，对 于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛 ，可以设置简单的密码 ；对于重要的信息、电子邮件、网 银行之类 ，必需设置为复杂的密码。永 远也不要把论坛、电子邮箱和银行账户设置成同一个密码。具体的设置策略如下 ： 一、将自己常用的网站分类 ：大网站、小网站、重要网站、普通网站 1、大网站 大网站为可以信任的、安全的网站 ，例如用户为数亿的几个门户网站 （腾讯、谷歌等 ），这类网站 理论 安全性较好 ，常规情况下用户密码不易泄漏 ，并且都会提供绑定手机号功能 ，这类网站应该 不超过十个。 2、小网站 大网站之外的网站都算小网站 ，是不可信任的网站 ，在 面保存的密码随时可能泄漏 ，并且可能是 密码明文泄漏。 3、重要网站 涉及到网络使用的核心网站 ，例如主要的电子邮件、网银、网 支付、域名管理等 ，这类网站如果 被黑客攻破 ，则会引起个人资产损失或者相关其他网站服务被攻击 ，损失巨大。 4 、普通网站 重要网站之外的网站。 二、将自己的常用密码分类 ：弱密码、中密码、强密码 1、弱密码 最容易记忆的 ，且默认是可以丢失的密码。 各类中小网站、论坛、社区、个人网站等使用。 原因 ：这些网站的安全性可能都不太好 ，有些只是将密码MD5一下存储 ，有些可能还会明文存储 密码。黑客很容易从这些网站盗窃用户的密码。 2、中密码 中等强度密码 ，8个字符以 ，有一定抗穷举能力的。 中等密码主要在国内门户网站、大型网站、门户微博、社交网站等使用 ，但不要在主要邮箱里使用 。门户网站最好绑定手机号码。 原因 ：大网站的安全性较好 ，通常被破解的可能性低 ，在大网站使用的密码要强度可以稍强。 需要注意的是 ，有些门户网站 （例如新浪、搜狐等 ）即提供微博 ，又提供邮件系统 ，如果系统默认 建立了这些邮箱 ，那建议不要在任何地方使用这些邮箱 ，如果要使用邮箱 ，最好确认该邮箱具有独 立密码功能。 其中有一个例外是腾讯邮箱 ，腾讯邮箱支持邮箱的单独密码 ，设置好了以后 ，用户需要输入Q Q密 码和邮箱密码两个之后才能使用。 所有游戏帐号使用单独的密码。 3、强密码 强密码要求至少8个字符以 ，不包含用户名、真实姓名或公司名称 ，不包含完整的单词 ，包含 字母、数字、特殊符号在内。 强密码主要用于邮箱、网银、支付系统等。 这类网站是最核心最重要的网站 ，网银涉及到用户的财产安全 ，邮箱则可以重置用户所有注册过的 网站密码 ，因此这类网站一定要用强密码 ，保证其绝对安全性。 密码穷举对于简单的长度较少的密码非常有效 ，但是如果网络用户把密码设的较长一些而且没有明 显规律特征 （如用一些特殊字符和数字字母组合 ），那么穷举破解工具的破解过程就变得非常困难 ，破解者往往会对长时间的穷举失去耐性。通常认为 ，密码长度应该大于8位 ，密码中最好包含字 母数字和符号 ，不要使用纯数字的密码 ，不要使用常用英文单词的组合 ，不要使用自己的姓名做 密码 ，不要使用生日做密码。 三、电子邮件使用 范 1、邮箱类型 个人邮箱并非越多越好 ，只要两个个人邮箱即可 （工作邮箱除外 ），关闭那些没用的邮箱 ，或者清 除其内的所有内容 ，不在任何地方使用这个邮箱。 邮箱分为两个类型 ，主要邮箱和次要邮箱 ，重要服务用主要邮箱来申请 ，一般服务用次要邮箱来 申请。 主要邮箱建议使用Gmail建立 ，绑定用户的手机 ，并设置二步验证的手机动态密码 ，目前世界 只 有Gmail信箱支持手机动态密码 ，增加手机动态密码之后 ，黑客即使重置了用户的Gmail密码 ，依旧 无法登录该帐号 ，除非用户手机同时也被盗。有了动态密码 ，一旦用户信箱被攻击 ，用户有足够的 时间通过手机修复密码。 Gmail的辅助邮箱可以不使用 ，或者用一个可以 ，辅助邮箱的安全性一定要高 ，不容易被攻破。 对于Gmail的访问还有一点 ，就是不要用Host s来访问Gmail ，不要把ht t p://acco unt s.google.co m放 入到Host s文件中 ，否则将对Gmail的安