■

高强度只是个神话

所谓密码强度是指一个密码被破译的难易程度，密码强度可以分为低强度或高强度。低强度密码包括系统默认密码、常见的密码以及其他一些短密码，这些密码一般由某些具有固定特征的词组成，比如人的姓名、字典里的单词等，这些内容容易被轻易猜出或快速破解。高强度密码一般长度足够长，排列随机，猜出或破解需要花费更多时间。当然，高强度和低强度是相对的，不同的身份认证系统对于密码强度有不同的要求。密码的猜译和破解与系统允许客户尝试不同密码的次数、是否熟悉密码主人等因素相关；然而，即使强度再高的密码也有可能被猜译和破解。

为了增强猜译和破解难度，用户在设置密码时，一般都喜欢遵循字符复杂化原则。按有关标准要求，一个高强度、复杂化的密码所包含字符应该不少于12个，管理员级别的密码字符数尽量要达到15个字符。很多人或许会对这样的字符长度感到头疼，不过这已经是最近几年来美国国家标准与技术研究所推荐的长度中最短的了，所有长度不达要求的密码都会被认为是不安全的。

密码的高强度、复杂化要求，不仅体现在字符长度上，还应体现在字符排列的随机性上。一般来说，当用户被迫需要设置一些更加复杂化的密码时，他们会在相同的地方使用类型相同的字符。例如，当用户在设置某个普通的字符长度为8的复杂密码时，很人会选择字母加数字的组合，并且首个字母会用大写形式，其余字母使用小写形式。要是他们同时使用了阿拉伯数字，一般会是一个或几个“6”或者“8”，同时放置在密码的最后。要是用户在密码设置中一并使用了特殊符号，多半会是一个平时使用频率极低的字符放置在中间某个地方，以便用特殊字符替换一个形状相似的字母，比如用“!”字符替换“i”字母，用“@”字符替换“o”字母等等。

对上述密码设置习惯，恶意用户早已了然于心，他们往往会对专业的密码爆破软件进行针对性优化，按需设置一些规则进行密码破解。一些专业的安全人士，借助外力工具反复分析转储捕获密码，能够看出一些高强度、复杂化密码的设置规律。如果希望设置的密码真正发挥高强度的防范作用，密码内容一定要具有随机性和独立性。

高强度设置原则

当遇到安全问题时，大家的第一反应就是立即重新设置密码，那么如何设置一个高强度、复杂化的密码呢？哪种类型的密码内容才能确保强度足够高，不容易被非法破解呢？很简单！只要全面考虑到下面的一些设置原则，就能保证密码的强度设置得足够高，从而在一定程度上抵挡恶意用户的暴力破解。

第一，密码既要满足长度要求，又能便于记忆。从安全角度来看，密码长度一定要有保证，高强度的密码长度要尽可能达到12位，当然也不能设置得太长，太长则不方便记忆。从方便记忆角度开看，应该尽可能使用有意义的内容作为密码，其中可以插入谐音或其他特殊字符，比如“xin xiang shi cheng”可以设置为“*xiang4cheng”。当便于记忆的密码内容在长度上不符合高强度要求时，可以使用间隔符号对密码长度进行拉伸。例如，“woaini”密码可以设置成“W_o_A_i_N_i_”（每隔一个插入“_”符号，同时将特定位置的字母大写），又比如“gaoqiangdu”可 以 变 成“gao#qiang%du&”，也能通过数学运算符号来设置高强度密码，例如“2*2+6=10？Yes!”。

第二，密码既要定期修改，又不能具有通用性。强度再高的密码也容易被人偷窥到，定期修改密码内容，可以避免偷窥带来的安全风险。一般来说，如果用户有经常更换强密码的习惯，被破解的可能性可见是极低的。当然，也不要在任何场合下，让一个密码“走天下”，这样在遇到安全事故时，可能会带来连锁反应。现在用到密码的场合很多，用户不能图一时方便，而将所有密码内容都设置成一样的，不然的话恶意用户在一处得手，那么在其他地方就会一路绿灯，这是因为恶意用户会首先用已窃取到的密码，去破译其他位置处的密码内容。显然，让密码内容具有通用性，会给用户带来不小的安全威胁，严重的时候，能给用户带来无法挽回的经济损失。还有要注意的是，密码千万不要和别人的相同，也不要与他人共享密码。

第三，密码既要讲究组合，又不能具有规律性。从形式上看，密码内容至少应该包含数字符号、非数字符号（例如 !>&<@？$>_等）、小 写字母、大写字母等类型中的三种组合。同时，在实际组合时，可以巧妙使用谐音来替代特殊字符，以增强密码的可记忆性。高强度密码的共同特点是组合复杂，位数较长，因为使用的符号种类越多，密码位数越长，就越难被暴力破解。通常，一种具有大小写字母、数字和符号的组合、位数越长、使用的符号种类越多的密码，被破解的可能性只有1%至3%。

要提醒大家的是，有些操作系统不支持“#@!”等字符作为密码内容，因为它们可能在有些键盘中无法找到。在这种情况下，增加其它的数字或字母可以达到同样的安全效果。另外，尽量使用不规则的组合，因为对于一些规则性的组合，专业加挂字典的破解工具可以在转瞬之间进行破译，而使用一些不规则的词语、符号、数字来进行相对复杂的组合时，能有效降低密码被成功破解的机率。

第四，密码既要设置简便，又要具有高安全性。密码在网络环境中扮演着十分重要的角色，密码的设置对用户提出的要求，不仅仅是数量问题，而且还有质量问题，要让恶意用户不能轻易猜译到，也不能轻易爆破掉。如果每次手工设置密码总感觉非常麻烦，而且也不能准确判断它的强壮性时，不妨尝试通过外力工具来快速随机设置高安全性的密码。例如，在如图1所示的密码随机生成页面，用户只要根据实际要求指定好密码的长度、类型等参数，之后单击“点击生成随机密码”按钮，就能快速拥有一个十分健壮的密码内容了，日后用户就没有必要绞尽脑汁地设置密码内容了。现在，Internet中有很多专业的密码生成利器，通过它们也能非常方便地设置高安全性的密码内容。

图1 密码随机生成页面

图2 指定浏览器类型和语言参数

高强度管理技巧

高强度的密码在带来安全保障的同时，也会给日常的管理带来麻烦。记忆和管理密码最常用的方法，就是使用纸和笔进行手工记录，不过这种方法修改管理密码很不方便，而且也容易发生丢失。为了高效管理记忆高强度的密码，我们必须要讲究一些技巧。

1.采用手工方式记忆

最常见的记忆密码方式，自然就是用纸和笔进行手工记录。在采用手工方式记忆时，建议大家不要将自己的高强度密码写在其他用户能够看到的地方，例如笔记本、桌面上等等，最好是强记在自己的脑海中。也不要在输入密码的时候让其他用户偷窥到，反复练习几次，输入速度快了，其他用户自然就看不到了。更不能将自己的高强度密码告诉其他用户，这样对自己对他人都是很不负责任的，保护好自己的密码，既是尊重自己，也是尊重他人。

2.借助外力工具管理

为了有效管理好各种各样高强度的密码，我们可以请“LastPass”这款外力工具帮忙，它能在线管理各个需要在常见浏览器中输入的高强度密码，用户只要手工记住一个密码，就能对其他密码进行加密和管理，并完成登录过程，提供一个可记忆、非储存的密码管理方案。

在进行这种密码管理操作时，先进入 http：//lastpass.com站点页面，点击“免费下载”按钮，按需设置好操作系统和浏览器类型，下载获得“LastPass”工具的安装程序。用鼠标双击安装程序，指定好浏览器类型和语言参数（如图2所示），再根据安装向导提示，设置好电子邮件账号、程序管理密码内容、提示信息，保留所有缺省设置，最后“LastPass”工具会对本地系统进行全面、彻底地扫描操作，所有位于本地硬盘中的不安全密码都会被发现并显示出来，将它们全部添加到“LastPass”工具界面中。当向导对话框提醒用户是否要删除位于硬盘的不安全密码时，必须要点击“是的，移除所有已导入到LastPass工具的项目”，再单击“完成”按钮退出安装向导框。

打开“LastPass”工具界面，按下“登录”工具栏按钮，输入事先指定的程序管理密码，成功进入“LastPass”后会自动提示用户保存有关密码。同时，该工具还可以使用填写表单、添加安全提示、账号设置等形式，灵活地管理密码。日后，用户只要进入“LastPass”程序界面，就能自由调用之前已经保存的各种高强度密码了。

3.使用组策略管理

图3 设置密码长度最小值

第一，强制变换密码内容。不停地变化密码内容，可以降低安全威胁程度。在Windows XP系统环境下，要强制系统定期变化密码内容时，先展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。依次展开“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”分支，双击该分支下的“密码最长存留期”选项，弹出选项设置对话框，输入合适的密码变换间隔时间，比方说输入“20”，确认后保存设置操作，Windows 7系统日后会每隔20天就提示用户更改密码内容。

第二，限制密码最小位数。前面本文提到，一个高强度、复杂化的密码所包含字符应该不少于12个，管理员级别的密码字符数尽量要达到15个字符。要进行这种限制操作时，可以打开系统组策略编辑器窗口，在该窗口的左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”分支上，双击该分支下的“密码长度最小值”选项，弹出如图3所示的选项设置框，在其中输入“12”，确认后密码最小位数将不能低于12个字符。

4.通过注册表管理

在IE浏览器中访问电子信箱或提交在线表单时，都要输入用户账号与密码，日后即使选择保存密码选项，发现重复登录时还要输入密码，怎样让IE不要求重复输入账号与密码呢？很简单！只要依次单击“开始”、“运行”命令，打开系统运行对话框，在其中执行“regedit”命令，弹出系统注册表编辑界面。在该界面左侧列表中，依次展开“HKEY_L O C A L_M A C H I N ESOFTWAREMicrosoftInternet ExplorerMAIN”注册表分支，找到该分支下的字符串键值“Delete_Temp_Files_On_Exit”，并用鼠标双击之，在对应键值对话框中输入“no”，确认后并刷新系统注册表，就能让IE浏览器不要求重复输入账号与密码了。