在網站註冊時,怎樣設置密碼最安全?
網站認證安全一般是指網站確認用戶身份的過程中涉及的安全問題。在認證過程中,最常用的方式是靜態口令方式。靜態口令方式以其實現簡單、不需要額外的硬體支持等優勢而得到大規模採用。但是,眾所周知,靜態口令方式的安全性不高。為了提高網站認證的安全性,一次性令牌(手機驗證碼)、USB Key等方式也慢慢引入網站認證中,例如,網上銀行的認證中常常要求用戶插入USB Key,快捷支付中一般要求用戶輸入手機收到的一次性驗證碼。
保證認證安全的首要任務是保證憑據的安全性,並儘可能提高憑據的易用性。以下是針對認證安全的一些技術、攻擊和建議。
(1)憑據的安全存儲
2011年的密碼外泄門事件曾轟動一時,導緻密碼泄露的根本原因是伺服器端採用了錯誤的憑據存儲策略,即以明文形式存儲憑據。採用這種存儲策略,攻擊者一旦獲得了資料庫中的數據,就完全掌握了用戶的憑據信息。
令人驚訝的是,早已有成熟的技術解決這一安全威脅,卻居然有那麼多的服務商的密碼被外泄。為了防止憑據存儲資料庫被攻擊者竊取後導致口令泄漏,伺服器在存儲用戶的口令時,一般在口令中加入salt後進行雜湊處理。這樣,即使攻擊者竊取了整個資料庫,也無法獲知用戶的口令。
(2)統一身份認證服務
大多數網路應用都要求用戶註冊並登錄,用戶往往因為需要記住大量的用戶名和口令而煩惱。一種解決辦法是,為每個網路應用都設置相同的用戶名和口令,但是密碼外泄門事件充分說明了這一做法存在的隱患;另一種解決辦法是採用統一身份認證(或稱為單點登錄)。
目前,百度、新浪微博、QQ、人人等掌握大量用戶的服務商都提供了身份認證服務,例如,在登錄大眾點評時,可以使用人人賬戶登錄。簡單地說,用戶只需在一個網路應用中(如sina)註冊並登錄,就可以訪問其他網路應用(如大眾點評)。這種方式大大減輕了用戶的記憶負擔,一定程度上降低了口令泄漏的風險。
(3)兩步認證機制
Microsoft、Google、支付寶等推出了採用兩步認證機制在口令驗證通過後,要求用戶輸入一個一次性口令,這個一次性口令來自移動終端(如手機)上安裝的Authenticator應用。採用傳統的口令和用戶移動終端的動態令牌雙重保護,可以更好地保護身份認證的安全性。
但是,如果用戶開啟了兩步認證機制,而無法使用Authenticator(如手機丟失)時,賬戶恢復將給用戶造成一定的麻煩。Google賬戶恢複流程可能需要3-5個工作日;在沒有設置備用郵箱的情況下,Microsoft賬戶恢復甚至需要30天的時間。即使Microsoft為此採用了設置備用郵箱的措施,但攻擊者也可能根據已獲得的口令來猜測備用郵箱的口令。
(4)網路釣魚
網路釣魚是指偽裝成其他應用以獲得如用戶名和口令等個人敏感信息的過程。通常,網路釣魚通過email或其他即時通訊工具進行,常常誘導用戶到URL與界面外觀與真正網站幾無差別的假冒網站輸入個人敏感數據。網路釣魚難以通過技術手段進行偵測,主要依靠用戶自身辨別。因此,建議不要隨意的點擊電子郵件或即時通訊工具中的鏈接,以免造成不必要的損失。
(5)口令設置建議
為了降低口令被攻破的風險,以下給出幾條口令設置的建議:
1)分類管理口令。針對不同安全要求的賬戶,設置不同等級的口令,如對網上銀行口令,使用大小寫字母+數字+特殊字元的口令,而對普通的賬戶使用簡單的口令即可。
2)降低口令與個人信息的關聯性。盡量將口令設置為與個人公開信息無關的字元串,如不採用生日作為口令等,否則容易遭到社會工程學的攻擊。
3)設置較強的口令。口令長度建議在8位以上,並同時使用大小寫字母、數字和特殊字元,如Abc12#$%678。
TAG:知識百科 |