提升安全意識 保護密碼安全

ASL

1 密碼泄露的影響

可能有人覺得自己又不是名人，又沒什么錢，密碼泄露沒什么危害，但總有你想不到的信息會因此暴露，并產生一系列麻煩。

密碼泄露產生的影響有以下幾個方面。

賬號曝光只是最直接、最淺層次的損害，如果是論壇、SNS賬號，可能導致身份被假冒用于發布虛假文章；如果是游戲網站，則游戲裝備可能被盜取。而郵箱賬號被公開，對某些網絡營銷者、病毒集團來說，無異于天上掉餡餅，對被泄露者來說，則意味著將收到更多的垃圾郵件、廣告郵件，甚至是木馬釣魚郵件。

眾所周知，同一廠商的郵箱一般與多個網絡服務賬號相通，比如新浪郵箱與新浪微博、新浪博客，Gmail與谷歌文檔、Google+等，賬號和密碼都是相同的，如果郵箱和密碼被公開，網民的私信、照片、社交網絡也隨之被曝光，各種“門”可能會不邀而至。

還有不少網民用一個郵箱注冊了多家網絡服務，甚至通用一個密碼，比如用網易郵箱注冊團購、淘寶、支付寶等電子商務網站，或者用郵箱接收銀行信用卡賬單、個人理財、股票交易信息等。由于這些均與銀行賬戶直接關聯，賬號曝光導致的危害性更高。

危害可能還會波及你的親友。如果惡意攻擊者盜用你的郵箱或者SNS賬號，給你的親朋好友發送假冒欺詐信息，比如臨時借錢或者網購東西，他們由于對你的信任，極有可能上當受騙。

上述的影響大都涉及到基于賬號盜取的隱私暴利。

黑客一般能按以下步驟進行利用：

1）從賬號信息中找到關聯的郵箱，破解郵箱的密碼。

2）搜刮郵箱里面的重要信件和資料，如網游賬號信息、公司資料、個人照片等。

3）通過社會工程學搜索，確認哪些郵箱與重要的人物、公司有關聯，可以用來做商業犯罪或者發布病毒等。

4）沒太大用處的郵箱可以用來廣發垃圾郵件和病毒，也可以用來注冊大量垃圾賬號，廣泛用于論壇刷帖等等。

5）黑客把所有密碼編成字典，以后盜號可以更快了。

6）隱私信息都可以用于社會工程學攻擊，用于制作釣魚郵件。

以上步驟除了能榨取用戶賬戶內的有限財富外，用戶本身的隱私和數據也具有很大的利用價值。

2 密碼設置安全原則

基本原則

首要第一條便是密碼不要設定為帶有生日、電話號碼、QQ或郵箱等與個人信息有明顯聯系的數據，否則你的密碼即使不能入選“年度最糟糕密碼排行榜”，也會被犯罪分子輕易聯想到；第二，盡量為不同網站設置不同密碼；第三，妥善保存密碼并定期修改。不要將密碼信息保存在電腦、手機中，這些設備一旦丟失，里面的密碼也將失守；第四，不要將密碼信息輕易透露給他人，特別是通過即時通訊工具、郵箱等。

低關聯性

有些人設置的密碼確實復雜，但是有可能存在的一種情況就是使用同一個密碼，這種情況不在少數，即使是有些是搞安全的也會存在這樣的情況，這樣存在一種風險，就是一旦有一個密碼被盜了，其他所有的全部完了。有的密碼雖然不一樣，但是規律卻很明顯，這樣也是跟用同一個密碼區別不大。

注冊郵箱

保護好自己的郵箱。很多時候注冊都需要填寫郵箱進行驗證。如果在多個地方注冊使用同一個郵箱，一旦我們的郵箱被破解，那么我們其他網站密碼被破解的可能性就會變大。所以，這里的建議是注冊多個郵箱，或者單個網站對單個郵箱，對于不常去的且不重要的，可以單獨注冊一個這樣的郵箱。特別重要的，可以注冊一個重要的郵箱，也可以根據自己的情況去申請幾個郵箱，作為某一類或某一種情況的專用。

密碼強度

將自己現有的網絡賬戶進行分類整理，密碼根據賬戶的重要程度去進行設置?？梢苑譃槿齻€等級：弱、中、強。

弱：一般表示非常容易記的，不用去背的。例如123456這樣的密碼。中：一般為字母+數字，其中有的密碼是由名字和生日進行組合而成的，或者某些單詞+數字，這種與上一種要復雜一些，位數要多一些。高：大小寫字母+數字+特殊符號。比較復雜，不容易記憶。

當然除了字符以外，密碼的長度也是其中的一個標準。安全的建議是8位以上復雜密碼和中等密碼，這樣在破解的過程中耗費的時間要長很多。

你也可以通過微軟官方的密碼檢查器來檢查自己的密碼強度（http：//t.cn/8FN0fyj）。

3 密碼的保護

設置復雜的密碼只是為了防止被別人破解，但是獲取密碼的方式不止一種破解方式，如果想要做到安全，需要了解相關的安全知識。

獲取密碼的方式可以通過網絡釣魚、鍵盤記錄方式、嗅探、暴力破解，社會工程學、讀取內存實現。竊取文件（讀取配置文件），密碼的保護的話也是從這些方面入手防御。

對于釣魚和鍵盤記錄，我們要提高警惕，不要隨意打開一些網址（要注意看好網址）以及別人發來的文件等（除了exe外，還要小心doc、xls、pdf這類常用文件），需要確認后打開查看。

嗅探的話，做好arp方面的防御；暴力破解，就是加強自己的密碼強度，設置復雜的密碼。

社會工程學，不要輕易告訴別人你的密碼，并且說要密碼的郵件或者網站，都不要相信，別人說因為某某原因需要提供密碼的時候也不要給。

對于配置文件方面，要加強程序的安全、服務器的安全性，防止配置文件被別人查看。做好文件系統的權限設置。

希望使更多人了解，使用較弱的密碼會帶來什么樣的風險，希望有更多人可以采取簡單的措施來保護自己，包括使用更強的密碼，以及在不同網站使用不同密碼。

雖說沒有人期望你是一個安全專家，但希望你能保持警惕。