安全支招：構築密碼城堡

在本篇文章中，你可以了解到如何加強PC用戶密碼的安全性的方法。另外我還將向大家介紹一款具有對密碼及更多項目強大控制功能的免費工具。

繼前二次介紹的“不要輕意相信你的數據是安全的”及“微軟的程序存在漏洞”這二篇專題後，今天講的第三篇主要針對密碼安全問題，正如一句話形容的那樣，同一密碼使用時間越長，系統的安全性就越低。保護系統安全最簡單和便宜的方法就是要在設定密碼上下點功夫，並經常對其進行更新。

以下的這些小貼士能夠有效的加強密碼的安全性，盡管這其中的一些並不適用於管理員制定了其自身密碼政策的網絡計算機。

加強密碼安全性

Windows 2000和XP都允許用戶把密碼設置成任何字母序列，雖然這樣做有其固定的好處，但在很多情況下也給用戶帶來了不便。而且其也允許用戶不設置密碼，幸好，你可以使用本地安全策略工具來強制所有的Windows XP用戶都采納輸入安全密碼措施。操作方法是：點擊“開始”，選擇“控制面板”，在展開的窗口中點擊“控制工具”——本地安全策略，將會打開本地安全策略窗口（具體步驟可能會根據不同的系統有所變化，如果你使用的是公司網絡，那麼選項可能是“本地安全策略或安全設置”）。在本地安全設置窗口的左側，點擊“帳戶策略”旁邊的“加號”，選擇“密碼策略”，現在你就可以對各密碼策略進行設置了。

控制密碼最小值：如果想讓所有的用戶都設置有效的密碼，操作方法是：雙擊“密碼長度最小值”（如果你沒有看到此選項，請核查是否已經選中了“本地安全設置”窗口左側的“密碼策略”），在彈出的窗口中指定密碼的最小位數，可指定范圍在1至14之間，微軟建議用戶將密碼設定在最少6位數，輸入完畢後，點擊“確定”。

強制密碼復雜性：雙擊“密碼必須符合復雜性要求”，在彈出的設置框中選擇“已啟用”，然後點擊“確定”。該命令操作能夠要求用戶在進行密碼設置時，至少包括以下三種字符：大寫字母、小寫字母、數字和符號（例如使用標點符號）；而且，密碼中不能包含你的用戶名。注意在密碼中最好不要使用e-mail地址（此項並非密碼復雜性要求）。

你要盡量使密碼讓人難以猜測，但也要同時保證其方便記憶。一個好方法是使用一句話的縮寫，例如：PCWis#12me （"PC World is number 1 to me"）。

密碼最長保留期：為了防止密碼使用時間過長，你可以選擇“密碼最長保留期”，在彈出的窗體中設置密碼使用多少天後，系統會要求用戶更改其密碼。默認的42天應該能夠滿足大部分情況，輸入新數值後，點擊“確定”完成設置。

密碼“保鮮”：為了避免某個用戶在設定密碼時，總是交換使用同樣的兩個密碼，雙擊“強制密碼歷史”，在彈出的窗口中設置Windows系統需要記住的密碼個數。例如，如果你輸入的是8，，那麼用戶在創建新密碼時，便不允許使用最近前8次設置的密碼。設置完畢後點擊“確定”按鈕。同樣，你也可以設定新密碼必須使用的最少天數，以避免某人想要在一天中對其密碼進行數次改變，直到改變次數滿足強制密碼歷史中記錄的個數，這樣他們就又可以重新使用原來的密碼了，操作方法是：雙擊“密碼最短存留期”，在跳出的窗口中輸入天數，然後點擊“確定”完成操作。

拒絕可還原的加密技術：你也許被“密碼策略”窗口中的最後一項“為域中所有用戶使用可還原的加密來儲存密碼”所吸引，該設置選項能夠讓Windows系統把用戶的密碼存儲為純文本形式。但是，還原加密只有對那些要求使用Windows密碼的應用程序才能起作用。除非你有這樣的應用程序，你最好還是關閉還原加密儲存密碼（默認設置為停用），這樣你的系統會更加安全。

使用帳戶鎖定功能：在默認狀態下，所有人都可以通過多次密碼嘗試，直到輸入正確的密碼為止，這一方式來登陸你的帳戶。這就是所謂密碼攻擊的暴力入侵方式。避免這種情況發生的一種方法是，限制用戶輸入密碼的次數。操作方法是：選擇“本地安全設置”窗口左側“帳戶策略”下方的“帳戶鎖定策略”，在右側窗體中，雙擊“帳戶鎖定阈值”。在彈出的窗口中輸入在發生多少次無效登陸後，帳戶鎖定，一般來說3至5次便足夠了。當你修改這項設置後，系統會自動將其它兩項帳戶鎖定策略值都設置為30分鐘，這兩項的分別是：具有控制帳戶鎖定後，重新輸入密碼的時間間隔作用的“帳戶鎖定時間”項目：“復位帳戶鎖定計數器”則決定再次從零開始計數嘗試登陸次數前，系統要等待多長時間。如果需要改變這兩項的值，只需雙擊它們，輸入相應的時間即可。設置完成後，點擊“確定”完成操作。

對帳戶期限的“例外”設置：如果你為緊急情況保留了平時很少使用的管理員密碼，你可能不希望這個密碼過期，完成上面的操作步驟後，如果還有特殊需要設置期限的密碼，你可以執行以下操作：在開始菜單中選擇“運行”，然後輸入“lusrmgr.msc”，然後點擊“確定”按鈕，在彈出的窗口中，雙擊“用戶”，然後雙擊不需設定期限的用戶，在“屬性”設置窗口中勾選“密碼永不過期”項，設置完成後，點擊“確定”按鈕。

密碼時間提醒設置：通過對Windows注冊表進行編輯，你可以實現提醒用戶某個密碼即將過期。當然任何對注冊表進行的修改都具有風險性，所以在修改前請確認你已經進行了相應的備份。然後在“開始”菜單中選擇“運行”，輸入“regedit”然後點擊“確定”打開“注冊表編輯器”窗口，在左側的中窗格中，找到並選擇HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.在右側的窗體中，雙擊passwordexpirywarning（如果你沒看到該項目，可以通過在窗格中右擊鼠標，選擇“新建”——“DWORD值”，然後在文本框中輸入該名稱），選中“十進制”項，在“數值數據”中輸入你希望系統在密碼到期前多少天提醒用戶修改密碼。