即使中做小生意的中小企业，也面临比如窃贼、自然灾害和不良竞争者等问题。随着国家对中小型企业的更多优惠措施出台，信息化也获得了进一步的发展，中小企业面临的黑客入侵等信息安全问题也越来越突出。

《财富》杂志有过一篇关于美国小微型企业防范互联网安全的专题报道，称77%的小型企业并不了解他们所面临的互联网安全危险，在这其中有83%并没有正式的互联网安全应对计划。中国的信息化程度仍然要落后美国，业务对信息科技特别是互联网应用的依赖程度也不如美国公司那么严重，但这并不是中国小型微型企业可以在网络信息安全上忽视的借口。昆明亭长朗然科技有限公司的总经理董志军说：亭长朗然公司也是一家典型的中小企业，我们的部分业务流程仍然依赖传统的手工方式进行，但是部分工作流程显然已经深度信息化，可以确定的是我们的业务已经无法离开互联网，信息安全对我们来说是个基础。

其实，即使一家和IT无关的小公司，也得和工商、税务、银行、运营商等打交道，电子政务和网上交易让几乎每家公司都少不了互联网的使用，当然更不用说那些依靠互联网来获得客户订单以及提供相关服务的中小企业，可以说网络信息安全已经成为老板们必须考虑的问题。

虽说中小企业“船小好调头”，但严重的信息安全事故无疑也会在一定程度上伤害到公司、客户、供应商及合作伙伴，更会损及商业信誉，在国家不断加大创新支持、商业信誉建设和强化守法经营的今天尤为如此。为了保护好中小企业商业信息安全，亭长朗然公司特向各位企业家们分享如下四点“军规”：

1.设置强健的密码并且定期修改。黑客们早已经开发出一些远程自动扫描探测和自动尝试登录信息系统的攻击工具，简单而脆弱的密码在黑客面前不堪一击，强健的密码需要至少有8位长度，混合使用大小写字母、数字和标点符号等特殊字符。这样，黑客便很难也需要很长时间才能暴力破解我们的密码。此外，黑客们也会使用一些钓鱼手段来哄骗我们的密码，比如建立虚假的页面和发送木马程序等等来企图获取我们的密码，我们得定期修改密码，并在怀疑密码失窃时立即更改密码。

2.定期备份重要的商业数据。除非遭遇严重的教训，否则很多企业主并不能注意到数据备份的必要性，一次灾难性的事故可能让数年的心血付之东流，也可能造成相关证据的丢失，给后期的工作带来无穷的麻烦。备份实际上并不需要麻烦和巨大的投入，使用自动化的，或者基于云的在线数据备份都是经济实用的方案。

3.定期更新安全软件。防病毒和个人防火墙软件已经成为多数电脑的标准配置，如果它们得不到及时的安全更新，它们的安全弱点便暴露给了黑客，仍然很容易被黑客等不良入侵者利用。设置防病毒和操作系统的自动更新，并且定期检查安全状态特别是安全软件更新的状态。

4.教育您的员工注意数据安全。前面我们提到网络钓鱼，实际上，员工们经常会不小心点击垃圾邮件中的恶意链接、使用脆弱的密码、访问不安全的网站或者将公司敏感数据存放在危险的地方等等，这些都会给我们的业务安全带来一定程度的安全风险。花些时间教育我们的员工如何采取正常的信息安全最佳实践，提升安全防范意识，不仅可以帮助保护公司的商业安全，对于员工们也是一件不错的知识和技能培训福利。

一、二、三、四！齐步走，我们发现中国的中小企业逐渐从家族管理“人治”变为“法治”，开始建立大量的标准化工作流程，并且经常召开会议用于工作沟通和员工激励等等，在知识和技能培训方面，也需要强化。昆明亭长朗然科技有限公司深知中小企业在员工培训方面的资源紧缺现状，特制作了针对中小企业的在线互联网信息安全意识培训课件，欢迎联系我们，获得免费的体验，以及采购使用。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

口令亦称密码，是一个老生常谈的话题了。尽管在账户和权限控制系统中，可能技术控更喜欢诸如生物特称指纹识别、动态口令等多因子身份验证，但是口令仍然在广泛使用，您有没有问过您所使用的口令安全吗？黑客如何能破解人们的口令？人们该如何加强口令防范能力？我们请到一名从事信息安全工作10多年的“老司机”给您介绍一下这方面的情况。

一、人们使用的口令安全吗？

随着国家对信息安全的重视程度不断提高，空口令、“1234”、“123456”之类的弱口令正在从我们身边大幅度减少，但口令设置方面依然存在很多安全隐患：

• 工作系统口令通常包括单位、部门或应用系统的名称、电话号码、所在房间号等信息；
• 个人系统口令通常包括生日、结婚纪念日等重要日期、本人或家人姓名拼音或其缩写等；
• 相当一部分口令明显的利用了键盘顺序，如：qwerty、1q2w3e、1qaz2wsx等；
• 同一个口令可以登录多个系统的现象比较普遍，而且口令长期不变。

二、黑客是如何破解人们的口令的？

黑客破解口令的方式大致有如下几种方式：

1.暴力破解。 暴力破解口令是历史上常见的一种口令攻击方式，黑客利用一个海量口令字典，穷举用户口令。随着人们安全意识的增强，登录认证系统通常限制失败登录次数，目前这种攻击方式已显著减少。

2.网络嗅探。 网络嗅探口令方式通常利用某台主机进行网络监听，抓取网络数据来分析口令。目前口令等敏感信息多进行加密处理，所以这种攻击方式也受到了一定限制。但是对占比很高的Web应用来讲，黑客会嗅探未加密的HTTP通信，以获取网站的Cookie，进而不使用口令也能盗用身份。

3.利用系统漏洞破解。 利用系统漏洞破解口令的方式主要有三种形式：一种是利用系统存在的高危漏洞，直接侵入系统，破解口令文件；一种是利用系统漏洞运行木马程序，记录键盘输入以获取口令；还有一种是利用登录界面找回口令环节的程序设计缺陷，修改用户口令，登入系统。

4.社会工程学破解。黑客社会工程学破解口令是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害等，以获取得用户口令。如冒充邮件管理员发送邮箱升级信息，把你引到钓鱼网站，盗取邮箱口令。现在这种攻击方式也比较普遍，国内某知名网络安全公司就曾遭到这种攻击，大量员工的口令被盗。

5.高级持续威胁破解。 长期搜集攻击目标的各种信息，进而利用其中的口令设置的安全隐患，形成有针对性的口令表，仅仅通过几次手工登录尝试，就能成功登录系统，这就属于近几年较为流行的“高级持续威胁”攻击。这种攻击方式相当隐蔽，很多安全设备无法识别，更需要我们引起足够的重视！新华社就曾报道过某边境城市办公室使用电话号码作为邮箱口令，遭到境外间谍机关破解的案例。

三、人们该如何加强口令防御能力呢？

如下，昆明亭长朗然科技有限公司网络安全意识宣教专员董志军向您提供一些口令安全方面的安全建议，希望能有助于提高您的信息安全防御能力：

1. 定期更改口令，新口令与历史口令不要有明显的规律，不设置通用口令；
2. 口令设置不要与个人及所在单位有明显的关系，注意个人及单位信息的保密；
3. 采用多因素认证方式，可以减少单一口令失效可能造成的身份失窃机率；
4. 定期对信息系统进行安全评估、安全渗透测试，以便及时发现口令安全隐患；
5. 加大信息安全宣传力度，做到“知己知彼”，从攻击者角度考虑和实施口令安全防御方面的强化措施。

四、关于口令安全的补充（广而告知）

为了帮助各类型的组织机构指导员工的口令安全，通过帮助保护人们的账户免于盗用，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的口令安全与身份保护指南，希望对您有所帮助。此外，我们还有更多可以用于针对商业环境中的用户安全意识培养的教程内容和素材资源。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898