你的密碼為什麼不安全
02-25
我們常說的「密碼」,在信息安全領域中實際上叫做「口令」(對應英文是password或passcode)。「密碼」這個詞來自於密碼學,是
研究加密、解密的學問,最早可以追溯到古代軍事領域對信息的保護,不誇張的說,密碼學是信息安全的基石。為了方便閱讀,照顧大家的習慣,這裡就用「密碼」這個詞。
密碼安全是個老生常談的話題,無論是個人還是企業的信息安全事件中,因密碼導致的安全事件層出不窮。
其實密碼安全問題不難解決,為什麼還常出問題呢?有三方面原因:
第一,從個人角度看,弱密碼很普遍。
用戶怕麻煩不願意設置複雜密碼,因為一旦忘記密碼要找回非常麻煩(實際上,強密碼也可以很好記,先留個坑,以後寫如何設好記又安全的密碼),多數人也想當然認為安全問題不會發生在自己身上,即便是一些具備安全技能的系統管理員同樣也常使用弱密碼,不管你的系統通過了等保三級、四級,或是各種安全設備和加固措施一應俱全,黑客從弱密碼這一點就能很容易的突破防線;
第二,從軟體技術和產品設計角度看,相當多的軟體系統在密碼安全方面很欠缺。
比如密碼不加密直接存到資料庫、或只做標準Hash不加Salt保存、在網路上明文傳輸、缺少用戶密碼強度要求等;
第三,從黑客的角度看,針對密碼的攻擊和入侵方便快捷、容易得逞。
網路中有大量直接可用的工具和各種庫,比如社工庫、弱密碼庫、彩虹表(Rainbow Table)等等。
保障密碼安全,需要把前面兩個方面做好,第三個方面我們無法控制,但是做好前兩個方面,就能給黑客提高破解密碼的難度。
推薦閱讀:
※第1章:認識你自己
※八種在 Linux 上生成隨機密碼的方法
TAG:密碼 |