高级密码策略

前不久一段时间，国内网络上出了一件大事，很多主流网站的密码都被盗了，一时间，大家都争相改密码。

 

很幸运，我的密码没有被盗，不过看到这个消息，其实一开始我很困惑，即使密码被盗了，照理说密码应该是加密过的，盗了应该也没办法用吧，后来发现原来很多网站保存的密码竟然是明文，怪不得大家这么着急改密码了。

 

再回想到之前国外 Sony和Visa都被盗过很多客户的信用卡和密码信息，看来网络安全越来越重要了。

 

网络安全涉及到太多的因素，网络设备、防火墙、软件等等，每个因素都是很重要，也没法每个都理解得很深入，所以今天想先找个简单跟大家谈谈，就是密码策略。

 

大家到任何网站上注册会员，基本上都离不开密码这个东西，很多网站注册的时候，都会提示你的密码是否很强还是很弱，我每天登陆的一个论坛，天天在提示我去更改密码，因为那个密码太简单了，几乎都是数字。

 

那到底怎么样的密码策略才是比较安全的呢？

 

我们来结合著名的 DevSuite 中密码策略来分析一下吧：

 

 

1. 长度：对于密码而言，长度越短，意味着越容易被破解，反过来，越长当然就越难被破解了，所以最高密码能规定最小的长度，比如说起码8位。

 

2. 密码内容规则：

 

    密码的组成如果越单一，就越容易被破解，比如都是数字，可能几个小时就能被黑客破解，所以我们就需要用各种不同类型得字符去生成密码，比如，必须有数字，必须有小写字母，必须有大写字母，必须有特殊字符

 

    一般我们喜欢密码与登陆名一致或者跟邮件名一致，因为好记，不过你好记了，人家也就好破解了，都没技术难度的，只要试一下你的登录名看看就知道了，所以尽量要避免这种情况。

 

上面的几点都是针对密码内容的，不过即使密码再复杂，由于你平常天天要用，也不会用特别长的密码，这样子总是会让人家有机会破解，实在不行，用暴力破解方式24小时不停去试，所以还是需要其它方法来增加密码的安全性。

 

3. 密码锁定与解锁：如果真的要暴力解锁，我们可以设置当输入密码错误多少次以后自动锁定密码，这样子暴力解锁就没用了，永远没办法得到密码。而一旦锁定的密码，要么管理员给你解锁，要么等待很长时间才能解锁。暴力解锁用几次的尝试可是没法破解密码的哦，所以它也不会傻的等着你解锁后再去继续尝试的。

 

4. 密码过期：一个密码使用的时间越长，被破解或者被人家看到猜到的可能性越大，所以每隔一段时间强制更换密码是很有必要的。

 

一个好的密码策略是一个系统安全的基础，随着网络日益发达，黑客越来越厉害，密码策略也必然需要越来越先进，所以不管是从规则上，还是算法上，业内的朋友都需要好好加油，维护网络的安全性。