標籤:

你的密碼為什麼不安全

我們常說的「密碼」,在信息安全領域中實際上叫做「口令」(對應英文是password或passcode)。「密碼」這個詞來自於密碼學,是

研究加密、解密的學問,最早可以追溯到古代軍事領域對信息的保護,不誇張的說,密碼學是信息安全的基石。

為了方便閱讀,照顧大家的習慣,這裡就用「密碼」這個詞。

密碼安全是個老生常談的話題,無論是個人還是企業的信息安全事件中,因密碼導致的安全事件層出不窮。

其實密碼安全問題不難解決,為什麼還常出問題呢?有三方面原因:

第一,從個人角度看,弱密碼很普遍。

用戶怕麻煩不願意設置複雜密碼,因為一旦忘記密碼要找回非常麻煩(實際上,強密碼也可以很好記,先留個坑,以後寫如何設好記又安全的密碼),多數人也想當然認為安全問題不會發生在自己身上,即便是一些具備安全技能的系統管理員同樣也常使用弱密碼,不管你的系統通過了等保三級、四級,或是各種安全設備和加固措施一應俱全,黑客從弱密碼這一點就能很容易的突破防線;

第二,從軟體技術和產品設計角度看,相當多的軟體系統在密碼安全方面很欠缺。

比如密碼不加密直接存到資料庫、或只做標準Hash不加Salt保存、在網路上明文傳輸、缺少用戶密碼強度要求等;

第三,從黑客的角度看,針對密碼的攻擊和入侵方便快捷、容易得逞。

網路中有大量直接可用的工具和各種庫,比如社工庫、弱密碼庫、彩虹表(Rainbow Table)等等。

保障密碼安全,需要把前面兩個方面做好,第三個方面我們無法控制,但是做好前兩個方面,就能給黑客提高破解密碼的難度。

推薦閱讀:

第1章:認識你自己
八種在 Linux 上生成隨機密碼的方法

TAG:密碼 |