讓自己成為合格“密碼控”

我們生活在一個密碼的時代，每天的工作、生活都會離不開密碼。網(wǎng)上購物在線支付時需要密碼，股票在線交易時需要密碼，登錄系統(tǒng)、打開屏保需要密碼，訪問電子郵件、進行在線聊天也要密碼，甚至，系統(tǒng)中的一些重要文檔還開啟了打開權(quán)限密碼和修改權(quán)限密碼。在形形色色的密碼面前，我們該如何才能讓自己成為一名合格的“密碼控”呢?

密碼為何被破

不少用戶在設置密碼時，只追求方便記憶，而沒有做到難以破譯的要求。惡意用戶一旦成功破解訪問密碼，輕則造成個人隱私信息、重要文檔或敏感圖片對外泄露，重則能給單位帶來嚴重的經(jīng)濟損失；而且，對于單位用戶來說，惡意用戶還能將木馬、后門程序植入到局域網(wǎng)重要主機系統(tǒng)，將它們變成黑客的肉雞，從而能對整個網(wǎng)絡進行控制，最終給單位帶來無法估量的損失。為了阻止惡意用戶輕易破解密碼，我們一定要學會正確設置密碼。

首先要嚴格禁用一些暴力破解工具能輕易破解的簡單密碼。很多人都自以為是，認為自己設置的密碼，既方便記憶，又能保護安全；事實上，在那些專業(yè)密碼破解工具面前，這些密碼幾乎不堪一擊，根本達不到任何安全防范目的。一般來說，下面一些密碼內(nèi)容，很容易被專業(yè)密碼破解工具快速破解：

一是與用戶名關(guān)聯(lián)的密碼。主要包括用戶名與密碼相同，用戶名中的幾個字符為密碼，用戶名加前后綴或顛倒后為密碼這幾種情況。對于密碼和用戶名相同的情形，幾乎所有的惡意攻擊者，都會首先嘗試以用戶名作為破解密碼的突破口，這種類型的密碼簡直形同虛設。如果密碼設置為用戶名中的某幾個字符的話，那么密碼內(nèi)容的長度是有限的，而暴力破解工具對位數(shù)很少的密碼，破解起來效率是最高的。要是將用戶名僅作加前后綴或顛倒處理就成為密碼的話，那么惡意攻擊者會嘗試以用戶名為基礎，以用戶比較常用的變換方法來猜測破解密碼，這種破解密碼的時間也是很短暫的。

二是存在連續(xù)相同字符的密碼。這主要包括密碼內(nèi)容有連續(xù)相同的數(shù)字，或者有連續(xù)相同的字母。這些類型的密碼往往被黑客列為最先破解的密碼，如果密碼被設置為333333、444444或aaaaaa、bbbbbb之類的內(nèi)容時，黑客利用破解字典就能在瞬間將其破解成功。

三是將自己的個人信息作為密碼。例如，將自己的姓名或出生日期作為密碼，或者將自己家人或親近人的身份信息作為密碼。要是用姓名作為密碼，那么支持百家姓列寫功能的破解工具，可以很輕松地將這類密碼破解掉；而且，以姓名作為密碼的還存在另外一種威脅，黑客或別有用心的人一旦知道自己或家人的真實姓名，那么他們不需要破解工具，直接用自己的姓名來試密碼。如果密碼內(nèi)容為自己或親友的生日，考慮到月份只有12個數(shù)字可以使用，日期也最多只有31個數(shù)字可以使用，它們組合在一起有74400種結(jié)果，普通計算機最多只要10秒鐘就能將這么多結(jié)果逐一測試一遍。

四是僅以英文單詞作為密碼。如果密碼內(nèi)容只有英文單詞，而沒有其他字符參與組合的話，那么使用加掛包含20萬多個英文單詞及相應組合字典庫的破解工具，最多兩分鐘就能將這類密碼內(nèi)容破譯出來。

五是字符位數(shù)不多的密碼。密碼長度如果低于6位，那么其內(nèi)容不論是數(shù)字還是字符，甚至是數(shù)字或字母的組合，它們的組合結(jié)果也只有不到一億種，黑客工具充其量只會消耗幾個小時就能完成密碼破譯任務。

如何設置密碼

既然弄清楚了上面幾種密碼比較容易破解后，那么日后我們在設置密碼時，一定要考慮全上面的多項因素，確保密碼設置得足夠強壯，以便在某種程度上抵擋破解工具的暴力轟炸：

首先保證密碼長度超過8位。雖然密碼位數(shù)越短越容易記憶，但是對于安全要求比較高的用戶來說，千萬不能將好記憶放在第一位，而應該保證字符位數(shù)在8位以上，當然也不能設置得太長，太長則不方便記憶，盡量在8-12個字符以內(nèi)。

其次要用組合方式設置密碼內(nèi)容。必須使用字母、符號、數(shù)字等字符相結(jié)合的方式，來設計密碼內(nèi)容，例如，可以使用的字符類型包括26個小寫字母、26個大寫字母、10個阿拉伯數(shù)字、Unicode、非字母數(shù)字字符等；當然，在進行組合式設計密碼時，也要考慮到記憶的方便性，比方說可以用諧音來組合密碼，例如，*xiang4cheng(心想事成)，這種組合設計出來的密碼就比較容易記憶了。

第三要注意密碼設計的不規(guī)則性。對于一些規(guī)則性的密碼內(nèi)容，例如，使用常見的單詞，或自己的個人信息等，一些加掛字典的破解工具能很輕松地將它們破譯出來；為此，我們必須打破常規(guī)，使用一些不規(guī)則的數(shù)字、詞語、符號來進行相對復雜的組合，以此降低破解的成功率。

第四要在不同場合使用不同密碼。網(wǎng)絡環(huán)境中需要輸入密碼的場合很多，用戶在設置這些密碼時，千萬不能圖方便而將所有場合的密碼內(nèi)容設成一樣的，否則黑客一旦在一處得手，那么在其他場合就會一路綠燈，這是因為黑客會首先用已破譯的密碼嘗試著解開其他場合需要輸入的密碼，要是密碼內(nèi)容全部相同的話，黑客就會給自己帶來很大的麻煩，嚴重的時候，能給自己帶來不可估量的損失。此外，還需要注意的是，密碼不能和別人的設置得相同，也不能和其他人共用一個密碼。

第五善于借助外力生成高安全密碼。密碼在網(wǎng)絡環(huán)境中扮演著十分重要的角色，密碼的設置對用戶提出的要求，不僅僅是數(shù)量問題，而且還有質(zhì)量問題，要讓黑客無法輕易猜測到，也不能輕易破解掉。要是每次設置密碼總覺得十分麻煩，而且也無法判斷它的強壯性時，可以考慮借助外力來隨機生成高安全性的密碼。例如，可以訪問http：//www.jiucool.com／mine／generate-rand-password網(wǎng)頁(如圖1所示)，設置好密碼的長度、密碼類型等參數(shù)，再按下“點擊生成隨機密碼”按鈕，就能輕松獲得十分健壯的密碼內(nèi)容了，日后我們再也用不者絞盡腦汁地編寫密碼內(nèi)容了。當然，網(wǎng)絡中也有一些專業(yè)的密碼生成工具，利用它們也能輕松生成比較復雜的密碼內(nèi)容。

測試是否安全

不管密碼內(nèi)容是自己設置的，還是借助外力隨機生成的，相信多數(shù)人對密碼內(nèi)容的安全性總感覺到心里沒底，無法確認它們是否足夠健壯，黑客破譯它們究竟有多大難度。為了知己知彼，我們必須學會測試密碼內(nèi)容的健壯性。

檢測破譯難度

許多專業(yè)的密碼破譯工具幾乎都采用暴力破解方法，來嘗試破譯密碼，也就是說，它們通過內(nèi)置的密碼字典或者專業(yè)字典生成工具生成的密碼字典，借助加掛方式，對密碼內(nèi)容進行計算破譯。所以，密碼內(nèi)容設置得是否健壯，直接決定著黑客破譯密碼的難度。根據(jù)一份權(quán)威測試數(shù)據(jù)，我們了解到密碼為8位以下的純數(shù)字內(nèi)容時，暴力破譯工具最多耗費1秒鐘的時間，就能將密碼內(nèi)容破譯出來，如果是8位以下的純字母內(nèi)容時，最多只要5小時完成破譯任務，8位以下的字母大小寫組合密碼需要61天才能被破譯，8位以下的字母數(shù)字組合密碼需要252天才能被破譯，8位以下的數(shù)字、字母以及特殊字符組合密碼需要3年的時間才能被破譯，如果這種組合式密碼的長度達到10位，那么暴力破解工具必須要耗費17000年的時間，才能將密碼內(nèi)容破譯出來。很顯然，密碼內(nèi)容的組合方式越復雜，密碼的位數(shù)越長，那么密碼暴力破解工具破譯難度就會越大，成功破譯需要耗費的時間就會越長。

如果想測試自己密碼的破譯難度時，可以訪問http：//www.qlqq2.com／m-m／m-m.htm頁面，在其中的密碼文本框中輸入自己設置的密碼內(nèi)容(如圖2所示)，按回車鍵后，網(wǎng)頁就會返回自己設置的密碼內(nèi)容，究竟需要多長時間能被暴力破解工具成功破譯。當然，借助該網(wǎng)頁在線測試破譯難度的功能，我們可以分別對純字母、純數(shù)字、字母數(shù)字組合、字母大小寫組合、數(shù)字字母特殊字符組合等幾種類型的密碼進行在線測試，看看相同長度的密碼內(nèi)容，究竟哪種類型的密碼破譯起來最耗費時間。經(jīng)過反復實踐測試，我們會發(fā)現(xiàn)密碼長度在8位以上，密碼類型為數(shù)字字母特殊字符組合的，破譯起來難度最大，因此將密碼設置成這樣的內(nèi)容，可以保證密碼的健壯性是最高級別的。

檢測安全程度

除了測試密碼的破譯難度外，還有許多網(wǎng)站可以測試密碼的安全程度，它們能夠直接返回一個具體的分值，來直觀反映密碼內(nèi)容的安全等級。例如，當我們想測試自己密碼的安全程度時，可以打開http：//www.passwordmeter.corn網(wǎng)站(如圖3所示)，在“password”文本框中正確輸入自己設置的密碼內(nèi)容，目標網(wǎng)站就能即時地將指定密碼的安全分值顯示在“Score”位置處了，同時在“Complexity”位置處我們還能直觀地看到密碼的安全提示等級，主要包括非常強壯、強壯、好、較好、弱、較弱這幾個等級。而且，該網(wǎng)站的測試功能相當靈敏，當輸入的密碼內(nèi)容在不斷變化時，密碼的安全分值也會處于不斷調(diào)整之中；同時，密碼內(nèi)容究竟包含哪些類型的字符，通過這些字符能提高多少安全分值，也能看得一清二楚。

怎樣管理密碼

在網(wǎng)絡環(huán)境中使用密碼的場合比較多，要是我們分別創(chuàng)建多個各不相同的復雜密碼時，日后密碼使用起來將會十分麻煩，畢竟時間一長，眾多復雜的密碼將會被逐步遺忘，這樣密碼最后也容易將我們自己攔住。為了既能使用復雜密碼，又能方便記憶調(diào)用，我們應該學會對密碼進行妥善管理，保證日后可以高效、安全地使用密碼。

使用憑據(jù)管理器集巾管理密碼

在網(wǎng)絡環(huán)境中，我們需要設置使用若干個復雜的密碼，這些復雜的密碼僅僅依靠頭腦記憶，非常容易產(chǎn)生混淆，那么如何才能在密碼的安全性與復雜度之間找到最理想的平衡點呢?很簡單!面對若干個復雜的密碼，我們可以采用集中管理的方式，來實現(xiàn)既增加密碼的安全性又方便調(diào)用的目的。這不，利用Windows 7系統(tǒng)內(nèi)置的憑據(jù)管理器，就能輕松管理眾多的復雜密碼，日后調(diào)用這些復雜密碼時，我們根本不需要輸入賬號與密碼就能進行登錄操作，從而大大提高密碼使用效率。

在使用憑據(jù)管理器集中管理復雜密碼時，可以依次單擊WindoWS 7系統(tǒng)的“開始”I“控制面板”選項，切換到控制面板窗口，逐一雙擊“憑據(jù)管理器”I“添加Windows憑據(jù)”圖標，進入系統(tǒng)憑據(jù)管理器窗口，如圖4所示；

在“目標地址”文本框中輸入需要登錄訪問的服務器IP地址或名稱，同時將登錄該服務器的用戶名與密碼正確輸入，并點擊“確定”按鈕，如此一來登錄目標服務器的密碼就被有效管理起來了。

按照同樣的操作方法，將其他需要管理的復雜密碼與用戶名依次加入到系統(tǒng)憑據(jù)管理器中。日后，在登錄某臺服務器系統(tǒng)需要輸入密碼時，只要切換進入系統(tǒng)憑據(jù)管理器窗口，單擊對應服務器系統(tǒng)的地址記錄，憑據(jù)管理器就能自動輸入復雜密碼進行登錄操作，整個過程不要用戶手工輸入復雜密碼，這樣既保證了登錄的安全性，又提高了登錄效率，可謂是兩全其美。

除了集中管理Windows系統(tǒng)密碼外，憑據(jù)管理器還能集中管理基于證書的密碼、普通密碼，很明顯，善于利用憑據(jù)管理器，能高效管理好各種類型的密碼。

管理網(wǎng)絡密碼

使用IE瀏覽器登錄網(wǎng)站、在線交易、登錄信箱時，都要輸入復雜的密碼，為了能夠管理好這些類型的密碼，我們可以選擇使用第三方工具在線管理網(wǎng)絡密碼。這不，LastPass就是一款這樣的工具，它能對各個常見瀏覽器中的密碼進行在線管理，用戶只要記憶一個密碼，就能輕松調(diào)用通過瀏覽器輸入的各種密碼。

在用Last Pass工具在線管理密碼時，首先打開http：//lastpass.com站點頁面，按下其中的“DownloadLastpass”按鈕，選擇好適合本地計算機的操作系統(tǒng)和瀏覽器，將目標工具安裝程序成功下載下來。在安裝該程序的時候，選擇好瀏覽器和安裝語言，之后按照向?qū)崾荆斎腚娮余]件賬號、登錄密碼、密碼提示問題，選擇好所有的默認選項，當安裝向?qū)棾鍪欠裨试S目標程序在本地系統(tǒng)中查找不安全信息的提示時，一定要進行肯定回答，這樣LastPassI具就會自動掃描本地系統(tǒng)，將存儲在本地硬盤中的所有不安全密碼掃描出來，同時將這些不安全的密碼集中導入到LastPassI具。接著，LastPassI具會詢問用戶是否要將這些不安全的密碼從本地硬盤中刪除干凈，此時必須選擇“是的，移除所有已導入到LastPassI具的項目”，最后按“完成”按鈕結(jié)束程序的安裝操作。下面，切換到LastPass程序界面，單擊工具欄中的“登錄”按鈕，輸入之前設置的登錄密碼，登錄成功后LastPass會自動提示用戶存儲相關(guān)密碼；而且，該工具還能通過賬號設置、添加安全提示、填寫表單等形式，靈活地為用戶提供密碼服務。日后，不管用戶是升級操作系統(tǒng)還是更換瀏覽器，只要將登錄LastPass賬號的密碼記牢即可，登錄成功后可以隨意調(diào)用事先已經(jīng)存儲的各種復雜密碼了。

使用移動盤管理系統(tǒng)登錄密碼

為了避免惡意用戶趁系統(tǒng)主人不在時，偷偷登錄系統(tǒng)訪問隱私數(shù)據(jù)，不少用戶都為自己的系統(tǒng)設置了比較復雜的登錄密碼；不過，如此復雜的登錄密碼時常也會給系統(tǒng)主人帶來麻煩，比方說，系統(tǒng)主人要是隔了很長時間不登錄系統(tǒng)時，他們下次再嘗試登錄系統(tǒng)時，就有可能會忘記復雜的系統(tǒng)登錄密碼。面對這樣的麻煩，我們該怎樣才能順利登錄系統(tǒng)呢?其實，利用WindoWS 7系統(tǒng)自帶的“創(chuàng)建密碼重設盤”功能，生成一個登錄系統(tǒng)的密碼重設盤，日后一旦忘記系統(tǒng)登錄密碼時，只要插上密碼重設盤，重新更改系統(tǒng)登錄密碼就能解決上述麻煩了。在使用移動盤管理系統(tǒng)登錄密碼時，不妨按照下面的操作來進行：

首先在Windows 7系統(tǒng)桌面中依次點選“開始”I“控制面板”命令，在系統(tǒng)控制面板窗口中點擊“用戶賬戶”選項，切換到用戶賬號管理界面，按下左側(cè)任務欄中的“創(chuàng)建密碼重設盤”按鈕，彈出密碼重設盤創(chuàng)建向?qū)υ捒颍?/p>

其次單擊向?qū)Э蛑械摹跋乱徊健卑粹o，打開如圖5所示的設置界面，插入空白移動盤到本地系統(tǒng)中，選中目標移動盤對應的分區(qū)符號，再輸入此刻的登錄賬號名稱與密碼，這樣“創(chuàng)建密碼重設盤”功能就會自動將系統(tǒng)正常狀態(tài)下的用戶登錄信息存儲到指定移動盤中了。日后，只要插入密碼重設盤，我們就能看到“重設密碼”的提示，依照提示設置一個新的登錄密碼，同時用新的密碼就能順利登錄系統(tǒng)了。

如何保護密碼拒絕自動存儲密碼

很多時候，密碼會被系統(tǒng)自動存儲，雖然這有利于提高登錄效率，但是這么一來再復雜的密碼，也將無法發(fā)揮安全防護作用。為此，我們可以按照如下設置操作，來禁止系統(tǒng)自動存儲密碼：

首先逐一點選“開始”I“運行”命令，打開系統(tǒng)運行文本框，在其中執(zhí)行“services.msc”命令，彈出系統(tǒng)服務管理界面；雙擊其中的“ProtectedStorage”服務，切換到對應服務的屬性設置框，單擊常規(guī)標簽頁面中的“停止”按鈕，臨時停用目標系統(tǒng)服務，再將該服務的啟動類型調(diào)整為“手動”，按“確定”按鈕保存設置操作；

其次執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略控制臺窗口，將鼠標定位到“計算機配置”I“Windows設置”I“安全設置”I“本地策略”I“安全選項”節(jié)點上，在目標節(jié)點右側(cè)區(qū)域雙擊“網(wǎng)絡訪問：不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)”組策略，打開如圖6所示的組策略屬性對話框，將“已啟用”選中，同時按“確定”按鈕返回，這樣系統(tǒng)日后就不會自動存儲密碼了。

定期變化密碼內(nèi)容

一直固定不變的密碼內(nèi)容十分危險，畢竟隨著時間的推移，密碼內(nèi)容被破譯或外泄的機率也會不斷增強。因此，為了保護重要主機系統(tǒng)的登錄安全，我們應該定期變化密碼內(nèi)容。

例如，在Windows 7系統(tǒng)中，我們可以逐一點選“開始”I“運行”命令，打開系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略控制臺窗口；將鼠標定位到“計算機配置”I“Windows設置”I“安全設置”I“賬戶策略”I“密碼策略”節(jié)點上，在目標節(jié)點右側(cè)區(qū)域，我們就能自由定義密碼的相關(guān)策略了。

要強制系統(tǒng)定期變化密碼內(nèi)容時，只要雙擊“密碼最長使用期限”組策略，切換到對應組策略屬性對話框中(如圖7所示)，在其中設置好密碼變化的間隔時間，例如輸入“30”，按“確定”按鈕后，系統(tǒng)會每隔30天就提示用戶立即更改密碼內(nèi)容。

防止使用空白密碼

很多用戶為了便于登錄系統(tǒng)，往往會將登錄密碼調(diào)整為空白，以后不要輸入密碼就可以直接進行登錄操作了。然而，設置了空白的系統(tǒng)登錄密碼，容易給系統(tǒng)登錄或網(wǎng)絡訪問帶來潛在的安全威脅，所以，在一些注重安全的工作場合，我們應該按照下面的操作，嚴格禁止使用空白密碼：

首先打開本地系統(tǒng)“開始”菜單，選擇“運行”選項，切換到系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.mse”命令，彈出系統(tǒng)組策略控制臺窗口；將鼠標定位到“計算機配置”I“windows設置”I“安全設置”I“本地策略”I“安全選項”節(jié)點上；

其次在目標節(jié)點下雙擊

“帳戶：使用空密碼的本地帳戶只允許進行控制臺登錄”組策略，打開如圖8所示的組策略屬性對話框，將“已啟用”選項選中，再按“確定”按鈕執(zhí)行設置保存操作，這樣用戶日后即使使用了空白的登錄密碼，他將無法進行各種常規(guī)操作。

快速刪除訪問密碼

很多人在初次連接網(wǎng)絡時，都會將登錄賬號與密碼保存下來，日后不需重復輸入密碼，就能進行自動連接了。可是，在公共場合下，存儲在計算機中的各種網(wǎng)絡連接賬號與密碼比較被他人發(fā)現(xiàn)，從而可能給網(wǎng)絡連接帶來安全威脅；所以，為了保證網(wǎng)絡連接安全，我們可以按照下面的操作，來快速刪除各種已經(jīng)存儲了的連接賬號與密碼了：

首先逐一點選“開始”I“控制面板”選項，彈出系統(tǒng)控制面板窗口，雙擊其中的“用戶賬戶”圖標，點擊用戶賬戶管理界面左側(cè)任務欄中的“管理您的憑據(jù)”按鈕；

其次選中顯示在列表中的目標網(wǎng)絡連接賬號名稱，按下“刪除”按鈕，這樣對應網(wǎng)絡連接的賬號與密碼就能自動被刪除了；同樣地，將其他一些重要的網(wǎng)絡連接訪問賬號與密碼也快速刪除掉，避免其他人通過專業(yè)工具竊取重要密碼。