个人电脑和移动设备越来越普及，密码安全便成为了计算机网络信息安全的一项重要议题。您的电脑桌面、电子邮箱、即时消息、社交网站、如在线银行等互联网服务都会存储您的姓名、地址等个人信息以及工作信息。只需要正确的密码，就可以访问它们。

对于保护您的帐户信息来讲，密码非常重要。对于证明您的身份，密码安全也很重要。强健的密码是那些能够让黑客退步，但是却很轻易被您记住的。

创建强壮的密码

除非使用8位以上的密码，否则您的敏感信息可能得不到足够的安全保护。即使您使用8位以上的密码，如果全都是数字或者是常用的单词，仍然能够在很短的时间内被黑客破解。

强壮的密码应该：

• 至少8位长度；
• 包含大、小写字母；
• 包含至少一个数字；
• 包含至少一个标点符号；

强壮的密码不应该：

• 含有词典中的常见词汇如：badpigs，securemymind，iloveyou等等
• 基于个人信息如电话号码、生日，姓名如：jamesdong，18206751343等等
• 由电脑键盘上连续的按键组成，如：qwerty，1qaz2wsx等等

使用密文而非常规意义上的词汇

基于一句话或一首诗进行拼写的更改，会让您轻易创建强壮的密码。它会很复杂而且容易记忆。如：

“我爱北京天安门，天安门上太阳升。”可以修改成：52BJt@m,T@mstys

密码安全闲谈

密码对今天的人们来讲，不是什么陌生的东西了。密码就像进入房屋的钥匙，在线上时，您需要保护好您的账户，就需要保护好密码，并配合使用其它的身份验证措施。

密码面临着的安全威胁很多，猜测与破解是其中之一，使用常规的字词或字符串来构建密码是一种不当的行为。这是因为黑客很容易发起类似的词典或暴力破解攻击，常用的弱密码通常都在黑客等不法分子的密码库之中，常见的有123456789，password等等，它们往往会在分分钟内被黑客拿下。

避免重复使用您的密码，定期更改它们。您可能了解到大量的个人信息泄露事件，其中就包括人们已经使用过的密码。黑客会使用这些账号和密码去尝试登录其它的系统，即业界称的“撞库”攻击。强健的密码往往只会使用一次，并且每半年就会更改的。

密码要尽量长，而且避免包含个人信息，要暴力破解长密码，耗时耗力过多，对破解者来讲不划算。那些社会工程学人员往往会利用收集到的个人信息来组合成可能的密码，并进行登录测试，所以使用个人、单位和亲友的信息来组合成密码是危险的行为。

要保护好密码的私密，当然就得避免公开，分享给其他人、将其写下来或张贴在计算设备旁边都不是件好事儿。同时小心密码的盗窃者，包括偷窥者以及密码窃取软件，输入密码时留意周边的环境，不在不安全的计算系统或网站中输入密码应该成为习惯，当然也需擦亮眼睛防止进入骗取密码的钓鱼网站。此外，也得注意密码重置的问题和选项，以防不法分子利用。

通常来讲，保护密码本身并不是目的。昆明亭长朗然科技有限公司信息安全专员董志军说：对网络犯罪分子来讲，不见得非要密码才行获得相关的访问权限和信息，比如通过窃取浏览器中的网站Cookie，不法分子便可以获得用户访问网站的权限。

新型的多因子身份验证技术往往包括短信验证码、生物特征鉴别、以及硬件令牌等措施，在必要和可行的时候，应该启用它们，以便多一重保障。当然，即使有这些，也得防范那些使用社会工程学的诈骗分子，他们可能会冒充他人，也可能会制作虚假的钓鱼信息，来套取密码及多重身份验证码等。这就需要我们用户变得聪明起来，提升安全意识觉悟，不要陷入犯罪分子精心纺织的圈套，轻易地提供了密码。

保护密码的安全说到底是保障身份不受盗用，这需要多方面的安全措施，最重要的当然还是用户们的安全防范意识。

昆明亭长朗然科技有限公司致力于提升国民的网络安全认知，为整个人类社会贡献积极的力量。我们的方法是不断设计、开发及制作信息安全意识教育内容资源，包括安全培训动画视频、互动式电子课程、教学小游戏、考题及线上测试平台等等。

我们积极理解客户的业务目标和安全需求，并且在此基础上，开始创作和交付安全意识培训内容。欢迎联系我们洽谈业务合作事宜。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

通过对密码进行破解，网络犯罪分子可以获得对他人账户的访问权限，进而冒充或盗用他人的身份，进而窃取敏感甚至机密信息，或为自己谋取钱财利益。当然，这种行为是非授权的、不法的。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：有许多技术可用于破解密码，接下来，我们将简单快速地分享一些最常用的方法。

• 字典攻击法。此方法使用单词表即字典中的词汇，与用户密码进行比较。如果用户使用某些英文词汇，则很容易被此法破解。
• 蛮力攻击法。此方法类似于字典攻击。蛮力攻击使用结合字母、数字和符号的算法来提供攻击密码。例如，蛮力攻击可以将值“password”的密码尝试为p@$$word。对于一些简单的甚至英文词汇的变形，蛮力攻击亦可在一定的时间内成功破解。
• 彩虹表匹配法。此方法使用预先生成的哈希值。假设应用传输的密码是md5散列而非明文，或者数据库将密码存储为md5散列，不法攻击者可以创建另一个具有md5哈希值的常用密码数据库。然后，将拥有的密码哈希与数据库中存储的哈希进行比较。如果找到匹配项，则取得了原有的明文密码。如果黑客入侵了包含用户密码md5数据库的后台系统，则可以利用此法，“解密”出明文密码。
• 猜测法。顾名思义，此方法使用猜测之术。通常使用qwerty、iloveyou、football、admin、654321等密码，或者已知的初始密码或默认密码。如果用户未更改它们，或者在选择密码时不小心而使用了过于常用的密码，则很容易遭到破解。
• 爬网搜集法。大多数职场人员使用包含单位信息的密码。那些信息可以通过单位网站、社交媒体获得。不法分子可以利用从这些来源收集信息构建单词列表，然后用于执行字典攻击和蛮力攻击。比如可以搜集如下信息以构建词汇列表：
  18206751343 <创办人电话>
  67122372 <公司电话>
  james dong <创始人姓名>
  securemymind <公司名称或缩写>
  securityfrontline <公司产品、服务的缩写>
  golf <创始人的爱好>

了解了攻击者的手法，接下来，我们探讨一些防范密码破解的对策。组织可以使用以下方法来减少破解密码的机会：

• 避免使用简短易猜的密码。
• 避免使用具有可预测模式的密码，例如18206751343。
• 存储在数据库中的密码必须始终加密。对于md5加密，最好先SALT加盐，即在提供的密码中添加一些随机变量字符，然后再存储md5密码散列。
• 在用户注册系统中加入密码强度指示器，以强制采用高密码强度密码策略。
• 使用密码替代、辅助和附加身份认证方案，可以加入动态口令、生物识别、多重验证等等要素，以保护账户访问权限不被盗用。

总之，密码破解是一种恢复存储或传输的密码的技术。常见的密码技术包括字典攻击法、蛮力破解法、彩虹表匹配法、爬虫破解法等等。随着计算能力的提升，自动化的密码破解工具简化了密码破解过程。要防范密码破解，需要提升密码的强度，密码强度取决于密码的长度、复杂性和不可预测性。

为了帮助各类型的组织机构通过提升包括密码安全在内的全员安全技能及认知，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。有些来自互联网的威胁，如病毒和蠕虫、脚本黑客及公开泄露的密码库，对于所有联网用户都是共同需要面对的。有些威胁，比如恶意的竞争者、商业间谍和国家支持的黑客，对于不同行业、不同规模、不同地位的组织机构，则有其独特的需要面对的安全风险。我们通过互动内容和切合实际的培训场景来优化交互式安全课程，以同时满足共通的和特定的需求。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

电话：0871-67122372
微信、手机：18206751343
邮件：info＠securemymind.com
QQ: 1767022898