密码评审方案.docx

密码评审方案

1.前言

随着互联网的发展与普及，各种社交平台、电子商务平台、金融交易平台等的使用日益增加，而其中涉及到的个人敏感信息和财产等有诸多的安全隐患。为了保障用户的隐私和资金安全，网站需要设计强度较高的密码体系，并及时对一些容易被破解的密码进行评审和更新。

本文就网站如何建立一个有效的密码评审方案进行详细介绍。

2.风险控制及密码评审原则

如果我们将山洪爆发比作是水的暴力攻击，那么针对密码的攻击则相对于洪水，它是常年涓涓细流般的侵蚀。破解密码的方法不断更新变化，更加复杂隐蔽，常规的防护措施已经不足以抵抗他们的攻击。面对被攻击的风险，网站需要采取一系列可行的风险控制措施，对于密码体系要有以下评审原则：

密码规格要求。定义符合使用密码的必须标准，其中包括密码位数、使用字符种类、大小写敏感性、有效期限等等。

密码复杂度。密码复杂度是指密码的难度，建议根据不同的用户级别来分别设置。复杂度过高，用户难以记忆，反而会降低安全性。

常规更改。定期的更改密码是防范密码泄露的一个重要手段，因此密码过期期限也应定期检查。

身份验证。进行身份验证时，应使用多种方法，如非常规验证码、图形验证、声纹等方式进行身份验证。这些方式需要直接保障了用户的安全性。

3.密码评审方案

针对网站的恶意攻击、黑客入侵等风险，我们需要实施一套完善的密码评审方案。主要内容包括：密码规格定位、密码对比匹配、密码复杂度检测、常规更改等。

3.1密码规格定位

密码位数。网站应该要求用户的密码长度达到八个字符以上，过短的密码容易被攻击者通过撞库猜解的方式破解。

使用字符种类。网站应该要求用户的密码要包含数字、字母、特殊符号等多种类型字符，这样可以增加密码词典数量，使破解过程更为困难。

大小写敏感性。密码中使用大写字母和小写字母是常见的密码规格，可以增加密码的复杂度，但在填写密码时可能会出现记错字母的情况。

有效期限。针对需要更高安全级别的资金交易，设定有效期限也是必要的。如需进行密码更改，那么必须进行完整的身份验证。

3.2密码对比匹配

评审算法的核心就是密码对比匹配，以下是常用的方法：

无加盐对比。这是最简单的一种密码对比方式，应用最广。直接对比输入密码和已存密码作比较，但这种方式容易受到暴力破解攻击，因此不适用于高安全级别的应用场合。

加盐后对比。加盐后对比的方式相对来说更加安全，同时，对每一个用户都生成独立的盐值来增加破解难度，从而更有效增强密码的安全性。

3.3密码复杂度检测

密码复杂度预防重要且困难，毕竟最常见的密码就是被收集制作出来的。我们可以采用以下几种方法，对用户密码复杂度进行评审和检测：

设置密码策略:设置必须符合密码规格标准的密码策略；

字典检测:判断用户设置的密码是否符合字典中的常用密码；

熵值检测:计算密码设置的随机程度；

语法检测:判断用户的密码是否具有按照规定排列等语法以上等级。

3.4常规更改

在密码评审方案中，常规的更改是必不可少的一个环节。这里需要针对用户等级进行不同的设置，具体应包括：

基础用户。一年之内改变一次密码；

普通用户。3个月之内改变一次密码；

高级用户。1个月之内改变一次密码；

除此之外，在更改密码的时候，网站需要设计出良好的密码找回或者重新设定密码的程序，同时为了减少用户的操作时间，我们需要设计出方便的界面和步骤，方便用户自助查找或者更改密码。

4.总结

随着互联网的快速发展，密码评审已经成为了一个非常重要的工作。一个好的密码评审方案可以最大程度保障网站、客户资料的安全。本文从风险控制、密码评审原则、密码评审方案等方面进行阐述，希望能对网络安全有所启示。对网站而言，要时刻保持高度的警惕性，关注安全威胁、排查漏洞、强化体系防护才能真正保障用户数据安全。