讓自己成為合格“密碼控”

我們生活在一個密碼的時代，每天的工作、生活都會離不開密碼。網上購物在線支付時需要密碼，股票在線交易時需要密碼，登錄系統、打開屏保需要密碼，訪問電子郵件、進行在線聊天也要密碼，甚至，系統中的一些重要文檔還開啟了打開權限密碼和修改權限密碼。在形形色色的密碼面前，我們該如何才能讓自己成為一名合格的“密碼控”呢?

密碼為何被破

不少用戶在設置密碼時，只追求方便記憶，而沒有做到難以破譯的要求。惡意用戶一旦成功破解訪問密碼，輕則造成個人隱私信息、重要文檔或敏感圖片對外泄露，重則能給單位帶來嚴重的經濟損失；而且，對于單位用戶來說，惡意用戶還能將木馬、后門程序植入到局域網重要主機系統，將它們變成黑客的肉雞，從而能對整個網絡進行控制，最終給單位帶來無法估量的損失。為了阻止惡意用戶輕易破解密碼，我們一定要學會正確設置密碼。

首先要嚴格禁用一些暴力破解工具能輕易破解的簡單密碼。很多人都自以為是，認為自己設置的密碼，既方便記憶，又能保護安全；事實上，在那些專業密碼破解工具面前，這些密碼幾乎不堪一擊，根本達不到任何安全防范目的。一般來說，下面一些密碼內容，很容易被專業密碼破解工具快速破解：

一是與用戶名關聯的密碼。主要包括用戶名與密碼相同，用戶名中的幾個字符為密碼，用戶名加前后綴或顛倒后為密碼這幾種情況。對于密碼和用戶名相同的情形，幾乎所有的惡意攻擊者，都會首先嘗試以用戶名作為破解密碼的突破口，這種類型的密碼簡直形同虛設。如果密碼設置為用戶名中的某幾個字符的話，那么密碼內容的長度是有限的，而暴力破解工具對位數很少的密碼，破解起來效率是最高的。要是將用戶名僅作加前后綴或顛倒處理就成為密碼的話，那么惡意攻擊者會嘗試以用戶名為基礎，以用戶比較常用的變換方法來猜測破解密碼，這種破解密碼的時間也是很短暫的。

二是存在連續相同字符的密碼。這主要包括密碼內容有連續相同的數字，或者有連續相同的字母。這些類型的密碼往往被黑客列為最先破解的密碼，如果密碼被設置為333333、444444或aaaaaa、bbbbbb之類的內容時，黑客利用破解字典就能在瞬間將其破解成功。

三是將自己的個人信息作為密碼。例如，將自己的姓名或出生日期作為密碼，或者將自己家人或親近人的身份信息作為密碼。要是用姓名作為密碼，那么支持百家姓列寫功能的破解工具，可以很輕松地將這類密碼破解掉；而且，以姓名作為密碼的還存在另外一種威脅，黑客或別有用心的人一旦知道自己或家人的真實姓名，那么他們不需要破解工具，直接用自己的姓名來試密碼。如果密碼內容為自己或親友的生日，考慮到月份只有12個數字可以使用，日期也最多只有31個數字可以使用，它們組合在一起有74400種結果，普通計算機最多只要10秒鐘就能將這么多結果逐一測試一遍。

四是僅以英文單詞作為密碼。如果密碼內容只有英文單詞，而沒有其他字符參與組合的話，那么使用加掛包含20萬多個英文單詞及相應組合字典庫的破解工具，最多兩分鐘就能將這類密碼內容破譯出來。

五是字符位數不多的密碼。密碼長度如果低于6位，那么其內容不論是數字還是字符，甚至是數字或字母的組合，它們的組合結果也只有不到一億種，黑客工具充其量只會消耗幾個小時就能完成密碼破譯任務。

如何設置密碼

既然弄清楚了上面幾種密碼比較容易破解后，那么日后我們在設置密碼時，一定要考慮全上面的多項因素，確保密碼設置得足夠強壯，以便在某種程度上抵擋破解工具的暴力轟炸：

首先保證密碼長度超過8位。雖然密碼位數越短越容易記憶，但是對于安全要求比較高的用戶來說，千萬不能將好記憶放在第一位，而應該保證字符位數在8位以上，當然也不能設置得太長，太長則不方便記憶，盡量在8-12個字符以內。

其次要用組合方式設置密碼內容。必須使用字母、符號、數字等字符相結合的方式，來設計密碼內容，例如，可以使用的字符類型包括26個小寫字母、26個大寫字母、10個阿拉伯數字、Unicode、非字母數字字符等；當然，在進行組合式設計密碼時，也要考慮到記憶的方便性，比方說可以用諧音來組合密碼，例如，*xiang4cheng(心想事成)，這種組合設計出來的密碼就比較容易記憶了。

第三要注意密碼設計的不規則性。對于一些規則性的密碼內容，例如，使用常見的單詞，或自己的個人信息等，一些加掛字典的破解工具能很輕松地將它們破譯出來；為此，我們必須打破常規，使用一些不規則的數字、詞語、符號來進行相對復雜的組合，以此降低破解的成功率。

第四要在不同場合使用不同密碼。網絡環境中需要輸入密碼的場合很多，用戶在設置這些密碼時，千萬不能圖方便而將所有場合的密碼內容設成一樣的，否則黑客一旦在一處得手，那么在其他場合就會一路綠燈，這是因為黑客會首先用已破譯的密碼嘗試著解開其他場合需要輸入的密碼，要是密碼內容全部相同的話，黑客就會給自己帶來很大的麻煩，嚴重的時候，能給自己帶來不可估量的損失。此外，還需要注意的是，密碼不能和別人的設置得相同，也不能和其他人共用一個密碼。

第五善于借助外力生成高安全密碼。密碼在網絡環境中扮演著十分重要的角色，密碼的設置對用戶提出的要求，不僅僅是數量問題，而且還有質量問題，要讓黑客無法輕易猜測到，也不能輕易破解掉。要是每次設置密碼總覺得十分麻煩，而且也無法判斷它的強壯性時，可以考慮借助外力來隨機生成高安全性的密碼。例如，可以訪問http：//www.jiucool.com／mine／generate-rand-password網頁(如圖1所示)，設置好密碼的長度、密碼類型等參數，再按下“點擊生成隨機密碼”按鈕，就能輕松獲得十分健壯的密碼內容了，日后我們再也用不者絞盡腦汁地編寫密碼內容了。當然，網絡中也有一些專業的密碼生成工具，利用它們也能輕松生成比較復雜的密碼內容。

測試是否安全

不管密碼內容是自己設置的，還是借助外力隨機生成的，相信多數人對密碼內容的安全性總感覺到心里沒底，無法確認它們是否足夠健壯，黑客破譯它們究竟有多大難度。為了知己知彼，我們必須學會測試密碼內容的健壯性。

檢測破譯難度

許多專業的密碼破譯工具幾乎都采用暴力破解方法，來嘗試破譯密碼，也就是說，它們通過內置的密碼字典或者專業字典生成工具生成的密碼字典，借助加掛方式，對密碼內容進行計算破譯。所以，密碼內容設置得是否健壯，直接決定著黑客破譯密碼的難度。根據一份權威測試數據，我們了解到密碼為8位以下的純數字內容時，暴力破譯工具最多耗費1秒鐘的時間，就能將密碼內容破譯出來，如果是8位以下的純字母內容時，最多只要5小時完成破譯任務，8位以下的字母大小寫組合密碼需要61天才能被破譯，8位以下的字母數字組合密碼需要252天才能被破譯，8位以下的數字、字母以及特殊字符組合密碼需要3年的時間才能被破譯，如果這種組合式密碼的長度達到10位，那么暴力破解工具必須要耗費17000年的時間，才能將密碼內容破譯出來。很顯然，密碼內容的組合方式越復雜，密碼的位數越長，那么密碼暴力破解工具破譯難度就會越大，成功破譯需要耗費的時間就會越長。

如果想測試自己密碼的破譯難度時，可以訪問http：//www.qlqq2.com／m-m／m-m.htm頁面，在其中的密碼文本框中輸入自己設置的密碼內容(如圖2所示)，按回車鍵后，網頁就會返回自己設置的密碼內容，究竟需要多長時間能被暴力破解工具成功破譯。當然，借助該網頁在線測試破譯難度的功能，我們可以分別對純字母、純數字、字母數字組合、字母大小寫組合、數字字母特殊字符組合等幾種類型的密碼進行在線測試，看看相同長度的密碼內容，究竟哪種類型的密碼破譯起來最耗費時間。經過反復實踐測試，我們會發現密碼長度在8位以上，密碼類型為數字字母特殊字符組合的，破譯起來難度最大，因此將密碼設置成這樣的內容，可以保證密碼的健壯性是最高級別的。

檢測安全程度

除了測試密碼的破譯難度外，還有許多網站可以測試密碼的安全程度，它們能夠直接返回一個具體的分值，來直觀反映密碼內容的安全等級。例如，當我們想測試自己密碼的安全程度時，可以打開http：//www.passwordmeter.corn網站(如圖3所示)，在“password”文本框中正確輸入自己設置的密碼內容，目標網站就能即時地將指定密碼的安全分值顯示在“Score”位置處了，同時在“Complexity”位置處我們還能直觀地看到密碼的安全提示等級，主要包括非常強壯、強壯、好、較好、弱、較弱這幾個等級。而且，該網站的測試功能相當靈敏，當輸入的密碼內容在不斷變化時，密碼的安全分值也會處于不斷調整之中；同時，密碼內容究竟包含哪些類型的字符，通過這些字符能提高多少安全分值，也能看得一清二楚。

怎樣管理密碼

在網絡環境中使用密碼的場合比較多，要是我們分別創建多個各不相同的復雜密碼時，日后密碼使用起來將會十分麻煩，畢竟時間一長，眾多復雜的密碼將會被逐步遺忘，這樣密碼最后也容易將我們自己攔住。為了既能使用復雜密碼，又能方便記憶調用，我們應該學會對密碼進行妥善管理，保證日后可以高效、安全地使用密碼。

使用憑據管理器集巾管理密碼

在網絡環境中，我們需要設置使用若干個復雜的密碼，這些復雜的密碼僅僅依靠頭腦記憶，非常容易產生混淆，那么如何才能在密碼的安全性與復雜度之間找到最理想的平衡點呢?很簡單!面對若干個復雜的密碼，我們可以采用集中管理的方式，來實現既增加密碼的安全性又方便調用的目的。這不，利用Windows 7系統內置的憑據管理器，就能輕松管理眾多的復雜密碼，日后調用這些復雜密碼時，我們根本不需要輸入賬號與密碼就能進行登錄操作，從而大大提高密碼使用效率。

在使用憑據管理器集中管理復雜密碼時，可以依次單擊WindoWS 7系統的“開始”I“控制面板”選項，切換到控制面板窗口，逐一雙擊“憑據管理器”I“添加Windows憑據”圖標，進入系統憑據管理器窗口，如圖4所示；

在“目標地址”文本框中輸入需要登錄訪問的服務器IP地址或名稱，同時將登錄該服務器的用戶名與密碼正確輸入，并點擊“確定”按鈕，如此一來登錄目標服務器的密碼就被有效管理起來了。

按照同樣的操作方法，將其他需要管理的復雜密碼與用戶名依次加入到系統憑據管理器中。日后，在登錄某臺服務器系統需要輸入密碼時，只要切換進入系統憑據管理器窗口，單擊對應服務器系統的地址記錄，憑據管理器就能自動輸入復雜密碼進行登錄操作，整個過程不要用戶手工輸入復雜密碼，這樣既保證了登錄的安全性，又提高了登錄效率，可謂是兩全其美。

除了集中管理Windows系統密碼外，憑據管理器還能集中管理基于證書的密碼、普通密碼，很明顯，善于利用憑據管理器，能高效管理好各種類型的密碼。

管理網絡密碼

使用IE瀏覽器登錄網站、在線交易、登錄信箱時，都要輸入復雜的密碼，為了能夠管理好這些類型的密碼，我們可以選擇使用第三方工具在線管理網絡密碼。這不，LastPass就是一款這樣的工具，它能對各個常見瀏覽器中的密碼進行在線管理，用戶只要記憶一個密碼，就能輕松調用通過瀏覽器輸入的各種密碼。

在用Last Pass工具在線管理密碼時，首先打開http：//lastpass.com站點頁面，按下其中的“DownloadLastpass”按鈕，選擇好適合本地計算機的操作系統和瀏覽器，將目標工具安裝程序成功下載下來。在安裝該程序的時候，選擇好瀏覽器和安裝語言，之后按照向導提示，輸入電子郵件賬號、登錄密碼、密碼提示問題，選擇好所有的默認選項，當安裝向導彈出是否允許目標程序在本地系統中查找不安全信息的提示時，一定要進行肯定回答，這樣LastPassI具就會自動掃描本地系統，將存儲在本地硬盤中的所有不安全密碼掃描出來，同時將這些不安全的密碼集中導入到LastPassI具。接著，LastPassI具會詢問用戶是否要將這些不安全的密碼從本地硬盤中刪除干凈，此時必須選擇“是的，移除所有已導入到LastPassI具的項目”，最后按“完成”按鈕結束程序的安裝操作。下面，切換到LastPass程序界面，單擊工具欄中的“登錄”按鈕，輸入之前設置的登錄密碼，登錄成功后LastPass會自動提示用戶存儲相關密碼；而且，該工具還能通過賬號設置、添加安全提示、填寫表單等形式，靈活地為用戶提供密碼服務。日后，不管用戶是升級操作系統還是更換瀏覽器，只要將登錄LastPass賬號的密碼記牢即可，登錄成功后可以隨意調用事先已經存儲的各種復雜密碼了。

使用移動盤管理系統登錄密碼

為了避免惡意用戶趁系統主人不在時，偷偷登錄系統訪問隱私數據，不少用戶都為自己的系統設置了比較復雜的登錄密碼；不過，如此復雜的登錄密碼時常也會給系統主人帶來麻煩，比方說，系統主人要是隔了很長時間不登錄系統時，他們下次再嘗試登錄系統時，就有可能會忘記復雜的系統登錄密碼。面對這樣的麻煩，我們該怎樣才能順利登錄系統呢?其實，利用WindoWS 7系統自帶的“創建密碼重設盤”功能，生成一個登錄系統的密碼重設盤，日后一旦忘記系統登錄密碼時，只要插上密碼重設盤，重新更改系統登錄密碼就能解決上述麻煩了。在使用移動盤管理系統登錄密碼時，不妨按照下面的操作來進行：

首先在Windows 7系統桌面中依次點選“開始”I“控制面板”命令，在系統控制面板窗口中點擊“用戶賬戶”選項，切換到用戶賬號管理界面，按下左側任務欄中的“創建密碼重設盤”按鈕，彈出密碼重設盤創建向導對話框；

其次單擊向導框中的“下一步”按鈕，打開如圖5所示的設置界面，插入空白移動盤到本地系統中，選中目標移動盤對應的分區符號，再輸入此刻的登錄賬號名稱與密碼，這樣“創建密碼重設盤”功能就會自動將系統正常狀態下的用戶登錄信息存儲到指定移動盤中了。日后，只要插入密碼重設盤，我們就能看到“重設密碼”的提示，依照提示設置一個新的登錄密碼，同時用新的密碼就能順利登錄系統了。

如何保護密碼拒絕自動存儲密碼

很多時候，密碼會被系統自動存儲，雖然這有利于提高登錄效率，但是這么一來再復雜的密碼，也將無法發揮安全防護作用。為此，我們可以按照如下設置操作，來禁止系統自動存儲密碼：

首先逐一點選“開始”I“運行”命令，打開系統運行文本框，在其中執行“services.msc”命令，彈出系統服務管理界面；雙擊其中的“ProtectedStorage”服務，切換到對應服務的屬性設置框，單擊常規標簽頁面中的“停止”按鈕，臨時停用目標系統服務，再將該服務的啟動類型調整為“手動”，按“確定”按鈕保存設置操作；

其次執行“gpedit.msc”命令，切換到系統組策略控制臺窗口，將鼠標定位到“計算機配置”I“Windows設置”I“安全設置”I“本地策略”I“安全選項”節點上，在目標節點右側區域雙擊“網絡訪問：不允許存儲網絡身份驗證的密碼和憑據”組策略，打開如圖6所示的組策略屬性對話框，將“已啟用”選中，同時按“確定”按鈕返回，這樣系統日后就不會自動存儲密碼了。

定期變化密碼內容

一直固定不變的密碼內容十分危險，畢竟隨著時間的推移，密碼內容被破譯或外泄的機率也會不斷增強。因此，為了保護重要主機系統的登錄安全，我們應該定期變化密碼內容。

例如，在Windows 7系統中，我們可以逐一點選“開始”I“運行”命令，打開系統運行文本框，在其中執行“gpedit.msc”命令，彈出系統組策略控制臺窗口；將鼠標定位到“計算機配置”I“Windows設置”I“安全設置”I“賬戶策略”I“密碼策略”節點上，在目標節點右側區域，我們就能自由定義密碼的相關策略了。

要強制系統定期變化密碼內容時，只要雙擊“密碼最長使用期限”組策略，切換到對應組策略屬性對話框中(如圖7所示)，在其中設置好密碼變化的間隔時間，例如輸入“30”，按“確定”按鈕后，系統會每隔30天就提示用戶立即更改密碼內容。

防止使用空白密碼

很多用戶為了便于登錄系統，往往會將登錄密碼調整為空白，以后不要輸入密碼就可以直接進行登錄操作了。然而，設置了空白的系統登錄密碼，容易給系統登錄或網絡訪問帶來潛在的安全威脅，所以，在一些注重安全的工作場合，我們應該按照下面的操作，嚴格禁止使用空白密碼：

首先打開本地系統“開始”菜單，選擇“運行”選項，切換到系統運行文本框，在其中執行“gpedit.mse”命令，彈出系統組策略控制臺窗口；將鼠標定位到“計算機配置”I“windows設置”I“安全設置”I“本地策略”I“安全選項”節點上；

其次在目標節點下雙擊

“帳戶：使用空密碼的本地帳戶只允許進行控制臺登錄”組策略，打開如圖8所示的組策略屬性對話框，將“已啟用”選項選中，再按“確定”按鈕執行設置保存操作，這樣用戶日后即使使用了空白的登錄密碼，他將無法進行各種常規操作。

快速刪除訪問密碼

很多人在初次連接網絡時，都會將登錄賬號與密碼保存下來，日后不需重復輸入密碼，就能進行自動連接了。可是，在公共場合下，存儲在計算機中的各種網絡連接賬號與密碼比較被他人發現，從而可能給網絡連接帶來安全威脅；所以，為了保證網絡連接安全，我們可以按照下面的操作，來快速刪除各種已經存儲了的連接賬號與密碼了：

首先逐一點選“開始”I“控制面板”選項，彈出系統控制面板窗口，雙擊其中的“用戶賬戶”圖標，點擊用戶賬戶管理界面左側任務欄中的“管理您的憑據”按鈕；

其次選中顯示在列表中的目標網絡連接賬號名稱，按下“刪除”按鈕，這樣對應網絡連接的賬號與密碼就能自動被刪除了；同樣地，將其他一些重要的網絡連接訪問賬號與密碼也快速刪除掉，避免其他人通過專業工具竊取重要密碼。