个人密码的管理

四

发表回复网络安全2010年04月14日415 次阅读

个人密码的管理今天在CNBETA看到一篇文章，是微软日前公布的一项调查结果显示，定期更换密码并不能将黑客拒之门外，反而是浪费时间和金钱。

当前，许多企业IT部门强制员工定期更改密码，以作为安全策略之一。这不但让员工感到反感，更让网络管理员感到头痛。

但微软日前公布的一项调查结果显示，这样做根本起不到实际作用。微软指出，黑客获得用户登录密码后，会立刻发动攻击，而不会等上几周时间，让用户更改后再发动攻击。这就好比，一个小偷捡到一把钥匙后，不去立刻开门，而是等着房主把锁头更换掉。

微软称，定期更换密码就是在浪费时间，也就是在浪费金钱。如果美国有2亿成年网民，薪水按最低工资的2倍计算，每天一分钟，一年的总产值相当于160亿美元。

很明显，这段话是针对企业用户的。

在很多关于提高网络安全的文章中都有一条，叫做推荐定期更换密码，称这样能够提高安全性。的确是定期更换密码是能够起到提高安全性的作用，但这种方式是一种管理策略，排除“人”的因素以外，就是针对外界对密码的暴力破解。

而对于个人电脑的安全来说，这一项显示是不适合的，因为个人的信息安全主要是体现在对于木马病毒的防范上。

以QQ的密码为例：

只要我们个人不是随便将QQ密码透露给他人，QQ也没有被其他人登陆过的话，是没必要经常去更换密码的。因为在更换密码的过程中可能会造成更大的安全隐患。
除绑定手机以外，QQ更换密码需要输入密码保护中的提示问题的答案，QQ的密码保护资料才是保障QQ安全的根本，如果中了木马，可能导致QQ密码保护资料被窃。
经常更换密码容易忘记新的密码，因为现在不管是QQ、MSN，还是网页上的登陆页面为了方便使用都提供保存登陆信息的功能，这样就有可能造成我们长时间不需要手动输入用户名及密码就可以使用，时间一长就很容易忘掉自己的密码。

所以个人的一些密码在没有发生密码被窃取的情况下没有经常更换的必要。

对于个人密码管理的建议

老耿认为个人的密码千万不要所有的服务都使用同样的密码，特别是重要的密码，如支付宝、网银的密码，千万不要与我们平时注册论坛使用的密码相同。

密码不要使用太简单的组合，比如自己的生日、名字的拼音等，但一般的个人密码也没必要搞得太复杂，除非你都能记得住。

密码中的禁忌，密码最重要的就是不要被别人猜出来，所以设置密码的时候一定不要使用很常见的密码组合。微软的Hotmail出现过一次帐户信息泄漏事件，安全研究人员统计了10月1日泄漏出来的超过1万名Hotmail用户邮箱的密码，发现最常见密码是123456，筛选1万个帐号，使用123456作为密码的帐号有64个，下面是排行前10位的常用密码：