无论设么密码都要好好保存,可是有些用户发现本身的密码常常丢的状况,难道是密码设置得太简单吗, 其实事情每每没有那么简单,黑客偷走你的密码易如反掌,不过咱们要是他们都是怎么偷的,知道黑客或者流氓的手段,就好进行针对性的防范,使用电脑的良好习惯是最重要的——
咱们固然会千方百计来保护密码的安全,好比增长密码长度、使用复杂的语法以及特殊字符等等,这确实有助于加强密码的安全性,这些方法每每要求你每90天更改一次密码,但奇怪的是看不到什么明显的好处。
坏家伙们一般会用四种基本的方法获得你的密码:
(A) 直接询问,所谓的“钓鱼”和“社会工程学”的攻击仍然在进行,而且一直有效
(B) 试着用字库来匹配提示框,但愿碰到好运气
(C) 获取加密以后的密码或哈希码,反过来进行解密
(D) 使用keylogger等恶意软件在你在电脑中输入时获取密码
这四种状况不会由于你每隔90天更改了一次密码就从你身边走开。若是坏人们没法在几天内攻破哈希码(C),他极可能去寻找更容易的攻击目标。攻击(B)也是速战速决型,坏人们一般只使用前几百个单词,若是无效的话立刻就会转向其余更容易的猎物。若是(B)或(C)攻击成功,或者攻击者经过更简单的(A)或(D)获知密码,那么他们平均只须要45天就足以把你的银行账户弄得一干二净,或者把你的电子邮件地址变成发送垃圾邮件的据点。
在过去25年左右的时间里,密码过时的概念没有什么变化。信息安全技术人员、审计人员、PCI、ISO27002和COBIT等等的要求都保持不变,但威胁已经改变了很多。一般,密码脆弱的用户只会用另外一个脆弱的密码来替代。而强迫一个密码强度已经很高的用户更改密码最终反而会惹恼他而使用简单的密码。
那么90天的密码更改周期到底有什么意义呢?有一个实际的好处。那就是若是有人有你的密码而他们想作的一切只是偷偷的阅读你的电子邮件,那么你改变密码能够阻止他们永远这样作下去。按期更改密码并不能抵御那些想要窃取你的机密的恶意攻击者,但它确实能让你摆脱那些偷偷摸摸的潜入者或窥探者。没错,这是好的。可是,这点好处是否值得去强迫用户去不嫌麻烦的每90天更改一次密码呢,我有些怀疑。
信息安全风险管理的主要工做应该是识别威胁和漏洞,而后选择对策。可是,若是选择的对策实际上并不太可能下降所识别的威胁的话,那么它在安全工做中也是于事无补的。
固然,各方提供的“最佳实践标准”和审计部门的专员们会迫使咱们用它。本文由
http://www.mfxp.com/news/2156.html搜集整理