怎樣管理您的秘碼

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

怎樣管理您的秘碼

密碼技術(shù)本身有著致命的缺陷，這話本身并沒錯(cuò)。但對(duì)目前的大多數(shù)企業(yè)來(lái)說(shuō)，它們卻是最好的選擇。其實(shí)，每個(gè)人都可以更有效的管理自己的密碼。

密碼的安全一直以來(lái)都是一個(gè)難題，除非將來(lái)可以使用類似生物檢查的技術(shù)來(lái)取代它——而這是目前工業(yè)技術(shù)正在努力的方向。在那一天到來(lái)之前，我們最好還是著手培養(yǎng)一個(gè)安 全文化，從而更有效的管理我們的密碼。

1. 一定不要把密碼寫在紙上
如果有人對(duì)這一條感覺不可思議的話，那么只要我們還在談?wù)撁艽a管理，我們就不得不把這一條作為首要點(diǎn)提出來(lái)。

如果你已經(jīng)告知職員們?yōu)槭裁床荒苓@么做，但是職員依舊寫下他們的密碼，那么要么是你的系統(tǒng)太復(fù)雜，要么就是你對(duì)他們的要求太多了。公司必須在安全性和易用性之間保持一 個(gè)平衡，因?yàn)槿绻焕斫夂笳?，就?huì)很容易破壞前者。

所以必須確認(rèn)雇員們是否已經(jīng)接受了正確的密碼安全教育，如果你需要修訂你的密碼政策，請(qǐng)參考下述措施。

2. 必須設(shè)置密碼
你剛才看到第一條的時(shí)候，是不是覺得它太顯而易見了？但是如果你看到很多系統(tǒng)只是采用了默認(rèn)的自帶密碼，比如“password”或者“changeme”或者其他類似的單詞，而并未 對(duì)密碼進(jìn)行修改或設(shè)置，你就不會(huì)對(duì)這一條覺得驚訝了。

3. 盡可能的減少密碼
注意在密碼數(shù)量與可管理性之間維持一個(gè)平衡。確認(rèn)哪個(gè)網(wǎng)絡(luò)系統(tǒng)軟件需要最高的優(yōu)先權(quán)。如果職員們必須記住10個(gè)密碼，分別對(duì)應(yīng)著從最絕密到最垃圾的數(shù)據(jù)，他們可能根本 無(wú)法全部記住它們。

誰(shuí)又能保證他寫下來(lái)又丟失了的那個(gè)密碼不是最絕密的那個(gè)呢？

4. 職員必須定期更改密碼
這一條限制了原先同事們之間互相了解的老密碼的危害性。同時(shí)它也關(guān)閉了那些不慎落入不法之徒手中老密碼的“機(jī)會(huì)之窗”。

至于多久讓雇員們更改一次密碼，這取決于你如何在安全性和易用性之間保持平衡。如果雇員們被要求每周修改一次密碼，他們很容易前后弄混，最后不得不用筆把密碼寫下來(lái)。 實(shí)際上修改密碼的時(shí)間間隔——比如90天和30天的對(duì)比——證明越長(zhǎng)期限的密碼有效期，越能讓人們記住復(fù)雜的密碼，越能讓人們更小心的照管密碼。

5. 新密碼必須脫胎換骨
更改密碼時(shí)，切忌直接從老密碼變換而來(lái)，尤其是那種只改變一個(gè)字母的做法。類似RandomW0RD1, RandomW0RD2, RandomW0RD3這樣的密碼更改，要被人猜出來(lái)簡(jiǎn)直是太容易了。

6.不使用常見單詞
密碼中不應(yīng)當(dāng)使用常見單詞，從而可以避免被“辭典攻擊”破解（所謂辭典攻擊，就是使用軟件自動(dòng)從辭典中讀取所有單詞，并逐一測(cè)試該單詞是否是正確的密碼）。姓名、住址 或其他很容易聯(lián)想到的單詞也應(yīng)當(dāng)被禁止使用。很多雇員喜歡使用自己的姓名、合作者的姓名或者寵物的名字來(lái)做密碼，這種情況需要引起足夠的重視。

7.密碼要夠長(zhǎng)——但不要過(guò)長(zhǎng)
一個(gè)密碼起碼應(yīng)當(dāng)有8位，包含大小寫字母和數(shù)字。如果密碼的長(zhǎng)度過(guò)長(zhǎng)，職員們可能會(huì)懶得去記，從而使用一些重復(fù)性的字母，或者常見的字符串：比如“ABCDEFG123456789”這 種。

其實(shí)，給出一個(gè)最低長(zhǎng)度和一個(gè)合理的上限，反而有助于雇員們發(fā)揮創(chuàng)意。一個(gè)建議是使用短句要比使用單詞效果好。比如'mYd0g1sCALLEDf1d0'就比"fido"難猜得多了。再重復(fù)一 遍，要建立更安全的密碼，就不要忽略這一步。

8. 自動(dòng)強(qiáng)制更改密碼
應(yīng)該自動(dòng)的強(qiáng)制性要求職員更改和選擇安全密碼。不要指望職員們會(huì)記住他們上一次更改密碼是什么時(shí)候，他們過(guò)去幾年用了哪些密碼，以及什么樣的詞匯不能用于密碼之中。這 不是一個(gè)信任與否的問(wèn)題。這是一個(gè)歷史問(wèn)題，它告訴我們政策從不依附于選擇。

9. 教育職員
確保密碼政策被寫入雇傭合同，并確保所有的職員了解為何這是必要的。樂(lè)觀的說(shuō)，如果其他措施確實(shí)有效，可能最認(rèn)真的人才能達(dá)到要求，不要互相透露密碼，不要把密碼寫下 來(lái)。這些條款也將阻止服務(wù)之間的密碼重復(fù)——特別是企業(yè)的內(nèi)部與外部之間。一個(gè)公司的登陸可能比一份報(bào)紙的訂閱登陸更機(jī)密，而后者可以與朋友或家人共享。

10. 放眼未來(lái)
最后，注意那些可能取代密碼的長(zhǎng)期解決方案——比如生物檢查技術(shù)和雙因素認(rèn)證。密碼是有缺陷的，而上述推薦的技巧只是設(shè)法讓密碼變得更安全——起碼現(xiàn)在看起來(lái)更安全。 (ZDNET)