教你管理好自己密碼的10個技巧

密碼技術本身有著致命的缺陷，這話本身並沒錯。但對目前的大多數企業來說，它們卻是最好的選擇。其實，每個人都可以更有效的管理自己的密碼。

　　密碼的安全一直以來都是一個難題，除非將來可以使用類似生物檢查的技術來取代它——而這是目前工業技術正在努力的方向。在那一天到來之前，我們最好還是著手培養一個安 全文化，從而更有效的管理我們的密碼。

　　1. 一定不要把密碼寫在紙上

　　如果有人對這一條感覺不可思議的話，那麼只要我們還在談論密碼管理，我們就不得不把這一條作為首要點提出來。

　　如果你已經告知職員們為什麼不能這麼做，但是職員依舊寫下他們的密碼，那麼要麼是你的系統太復雜，要麼就是你對他們的要求太多了。公司必須在安全性和易用性之間保持一 個平衡，因為如果不理解後者，就會很容易破壞前者。

　　所以必須確認雇員們是否已經接受了正確的密碼安全教育，如果你需要修訂你的密碼政策，請參考下述措施。

　　2. 必須設置密碼

　　你剛才看到第一條的時候，是不是覺得它太顯而易見了？但是如果你看到很多系統只是采用了默認的自帶密碼，比如“password”或者“changeme”或者其他類似的單詞，而並未 對密碼進行修改或設置，你就不會對這一條覺得驚訝了。

　　3. 盡可能的減少密碼

　　注意在密碼數量與可管理性之間維持一個平衡。確認哪個網絡\系統\軟件需要最高的優先權。如果職員們必須記住10個密碼，分別對應著從最絕密到最垃圾的數據，他們可能根本 無法全部記住它們。

　　誰又能保證他寫下來又丟失了的那個密碼不是最絕密的那個呢？

　　4. 職員必須定期更改密碼

　　這一條限制了原先同事們之間互相了解的老密碼的危害性。同時它也關閉了那些不慎落入不法之徒手中老密碼的“機會之窗”。

　　至於多久讓雇員們更改一次密碼，這取決於你如何在安全性和易用性之間保持平衡。如果雇員們被要求每周修改一次密碼，他們很容易前後弄混，最後不得不用筆把密碼寫下來。 實際上修改密碼的時間間隔——比如90天和30天的對比——證明越長期限的密碼有效期，越能讓人們記住復雜的密碼，越能讓人們更小心的照管密碼。
5. 新密碼必須脫胎換骨

　　更改密碼時，切忌直接從老密碼變換而來，尤其是那種只改變一個字母的做法。類似RandomW0RD1, RandomW0RD2, RandomW0RD3這樣的密碼更改，要被人猜出來簡直是太容易了。

　　6.不使用常見單詞

　　密碼中不應當使用常見單詞，從而可以避免被“辭典攻擊”破解(所謂辭典攻擊，就是使用軟件自動從辭典中讀取所有單詞，並逐一測試該單詞是否是正確的密碼)。姓名、住址 或其他很容易聯想到的單詞也應當被禁止使用。很多雇員喜歡使用自己的姓名、合作者的姓名或者寵物的名字來做密碼，這種情況需要引起足夠的重視。

　　7.密碼要夠長——但不要過長

　　一個密碼起碼應當有8位，包含大小寫字母和數字。如果密碼的長度過長，職員們可能會懶得去記，從而使用一些重復性的字母，或者常見的字符串：比如“ABCDEFG123456789”這 種。

　　其實，給出一個最低長度和一個合理的上限，反而有助於雇員們發揮創意。一個建議是使用短句要比使用單詞效果好。比如'mYd0g1sCALLEDf1d0'就比"fido"難猜得多了。再重復一 遍，要建立更安全的密碼，就不要忽略這一步。

　　8. 自動強制更改密碼

　　應該自動的強制性要求職員更改和選擇安全密碼。不要指望職員們會記住他們上一次更改密碼是什麼時候，他們過去幾年用了哪些密碼，以及什麼樣的詞匯不能用於密碼之中。這 不是一個信任與否的問題。這是一個歷史問題，它告訴我們政策從不依附於選擇。
　　9. 教育職員

　　確保密碼政策被寫入雇傭合同，並確保所有的職員了解為何這是必要的。樂觀的說，如果其他措施確實有效，可能最認真的人才能達到要求，不要互相透露密碼，不要把密碼寫下 來。這些條款也將阻止服務之間的密碼重復——特別是企業的內部與外部之間。一個公司的登陸可能比一份報紙的訂閱登陸更機密，而後者可以與朋友或家人共享。

　　10. 放眼未來

　　最後，注意那些可能取代密碼的長期解決方案——比如生物檢查技術和雙因素認證。密碼是有缺陷的，而上述推薦的技巧只是設法讓密碼變得更安全——起碼現在看起來更安全。