密碼技術本身有著致命的缺陷,這話本身並沒錯。但對目前的大多數企業來說,它們卻是最好的選擇。其實,每個人都可以更有效的管理自己的密碼。
密碼的安全一直以來都是一個難題,除非將來可以使用類似生物檢查的技術來取代它——而這是目前工業技術正在努力的方向。在那一天到來之前,我們最好還是著手培養一個安 全文化,從而更有效的管理我們的密碼。
1. 一定不要把密碼寫在紙上
如果有人對這一條感覺不可思議的話,那麼只要我們還在談論密碼管理,我們就不得不把這一條作為首要點提出來。
如果你已經告知職員們為什麼不能這麼做,但是職員依舊寫下他們的密碼,那麼要麼是你的系統太復雜,要麼就是你對他們的要求太多了。公司必須在安全性和易用性之間保持一 個平衡,因為如果不理解後者,就會很容易破壞前者。
所以必須確認雇員們是否已經接受了正確的密碼安全教育,如果你需要修訂你的密碼政策,請參考下述措施。
2. 必須設置密碼
你剛才看到第一條的時候,是不是覺得它太顯而易見了?但是如果你看到很多系統只是采用了默認的自帶密碼,比如“password”或者“changeme”或者其他類似的單詞,而並未 對密碼進行修改或設置,你就不會對這一條覺得驚訝了。
3. 盡可能的減少密碼
注意在密碼數量與可管理性之間維持一個平衡。確認哪個網絡\系統\軟件需要最高的優先權。如果職員們必須記住10個密碼,分別對應著從最絕密到最垃圾的數據,他們可能根本 無法全部記住它們。
誰又能保證他寫下來又丟失了的那個密碼不是最絕密的那個呢?
4. 職員必須定期更改密碼
這一條限制了原先同事們之間互相了解的老密碼的危害性。同時它也關閉了那些不慎落入不法之徒手中老密碼的“機會之窗”。
至於多久讓雇員們更改一次密碼,這取決於你如何在安全性和易用性之間保持平衡。如果雇員們被要求每周修改一次密碼,他們很容易前後弄混,最後不得不用筆把密碼寫下來。 實際上修改密碼的時間間隔——比如90天和30天的對比——證明越長期限的密碼有效期,越能讓人們記住復雜的密碼,越能讓人們更小心的照管密碼。
5. 新密碼必須脫胎換骨
更改密碼時,切忌直接從老密碼變換而來,尤其是那種只改變一個字母的做法。類似RandomW0RD1, RandomW0RD2, RandomW0RD3這樣的密碼更改,要被人猜出來簡直是太容易了。
6.不使用常見單詞
密碼中不應當使用常見單詞,從而可以避免被“辭典攻擊”破解(所謂辭典攻擊,就是使用軟件自動從辭典中讀取所有單詞,並逐一測試該單詞是否是正確的密碼)。姓名、住址 或其他很容易聯想到的單詞也應當被禁止使用。很多雇員喜歡使用自己的姓名、合作者的姓名或者寵物的名字來做密碼,這種情況需要引起足夠的重視。
7.密碼要夠長——但不要過長
一個密碼起碼應當有8位,包含大小寫字母和數字。如果密碼的長度過長,職員們可能會懶得去記,從而使用一些重復性的字母,或者常見的字符串:比如“ABCDEFG123456789”這 種。
其實,給出一個最低長度和一個合理的上限,反而有助於雇員們發揮創意。一個建議是使用短句要比使用單詞效果好。比如'mYd0g1sCALLEDf1d0'就比"fido"難猜得多了。再重復一 遍,要建立更安全的密碼,就不要忽略這一步。
8. 自動強制更改密碼
應該自動的強制性要求職員更改和選擇安全密碼。不要指望職員們會記住他們上一次更改密碼是什麼時候,他們過去幾年用了哪些密碼,以及什麼樣的詞匯不能用於密碼之中。這 不是一個信任與否的問題。這是一個歷史問題,它告訴我們政策從不依附於選擇。
9. 教育職員
確保密碼政策被寫入雇傭合同,並確保所有的職員了解為何這是必要的。樂觀的說,如果其他措施確實有效,可能最認真的人才能達到要求,不要互相透露密碼,不要把密碼寫下 來。這些條款也將阻止服務之間的密碼重復——特別是企業的內部與外部之間。一個公司的登陸可能比一份報紙的訂閱登陸更機密,而後者可以與朋友或家人共享。
10. 放眼未來
最後,注意那些可能取代密碼的長期解決方案——比如生物檢查技術和雙因素認證。密碼是有缺陷的,而上述推薦的技巧只是設法讓密碼變得更安全——起碼現在看起來更安全。