每分都会有故事,每秒都会有回忆...

在网站注册时,怎样设置密码最安全?

网站认证安全一般是指网站确认用户身份的历程中涉及的安全问题。在认证历程中,最常用的方式是静态口令方式。静态口令方式以其实现简单、不需要额外的硬件支持等优势而得到大规模采纳。但是,众所周知,静态口令方式的安全性不高。为了提高网站认证的安全性,一次性令牌(手机验证码)、USB Key等方式也慢慢引入网站认证中,例如,网上银行的认证中常常要求用户插入USB Key,快捷支付中一般要求用户输入手机收到的一次性验证码。

保证认证安全的重要任务是保证凭据的安全性,并尽可能提高凭据的易用性。以下是针对认证安全的一些技巧、攻击和建议。

(1)凭据的安全存储

2011年的密码外泄门事件曾轰动一时,导致密码泄露的根本原因是服务器端采纳了差错的凭据存储策略,即以明文形式存储凭据。采纳这种存储策略,攻击者一旦获得了数据库中的数据,就完全掌握了用户的凭据信息。

令人惊讶的是,,早已有成熟的技巧解决这一安全威胁,却居然有那么多的服务商的密码被外泄。为了防止凭据存储数据库被攻击者窃取后导致口令透露,服务器在存储用户的口令时,一般在口令中加入salt落后行杂凑处理。这样,即使攻击者窃取了全部数据库,也无法获知用户的口令。

(2)统一身份认证服务

大多数网络使用都要求用户注册登录,用户往往因为需要记住大量的用户名和口令而烦恼。一种解决办法是,为每个网络使用都设置相同的用户名和口令,但是密码外泄门事件充沛辩明了这一做法存在的隐患;另一种解决办法是采纳统一身份认证(或称为单点登录)。

目前,百度、新浪微博、QQ、人人等掌握大量用户的服务商都供给了身份认证服务,例如,在登录公众点评时,可以应用人人账户登录。简单地说,用户只需在一个网络使用中(如sina)注册并登录,就可以造访其他网络使用(如公众点评)。这种方式大大减轻了用户的记忆累赘,一定程度上降低了口令透露的风险。

(3)两步认证机制

Microsoft、Google、支付宝等推出了采纳两步认证机制在口令验证通过后,要求用户输入一个一次性口令,这个一次性口令来自移动终端(如手机)上安装的Authenticator使用。采纳传统的口令和用户移动终端的动态令牌双重保护,可以更好地保护身份认证的安全性。

但是,如果用户开启了两步认证机制,而无法应用Authenticator(如手机丧失)时,账户恢复将给用户造成一定的麻烦。Google账户恢复流程可能需要3-5个工作日;在没有设置备用邮箱的情况下,Microsoft账户恢复甚至需要30天的光阴。即使Microsoft为此采纳了设置备用邮箱的措施,但攻击者也可能根据已获得的口令来猜测备用邮箱的口令。

(4)网络钓鱼

网络钓鱼是指伪装成其他使用以获得如用户名和口令等个人敏感信息的历程。通常,网络钓鱼通过email或其他即时通讯工具进行,常常引诱用户到URL与界面外观与真正网站几无区别的假冒网站输入个人敏感数据。网络钓鱼难以通过技巧手法进行侦测,主要依靠用户自身辨别。因此,建议不要随意的点击电子邮件或即时通讯工具中的链接,以免造成不必要的损失。

(5)口令设置建议

为了降低口令被攻破的风险,以下给出几条口令设置的建议:

1)分类管理口令。针对不同安全要求的账户,设置不同等级的口令,如对网上银行口令,应用大小写字母+数字+特殊字符的口令,而对普通的账户应用简单的口令即可。

2)降低口令与个人信息的关联性。尽量将口令设置为与个人公开信息无关的字符串,如不采纳生日作为口令等,否则容易遭到社会工程学的攻击。

3)设置较强的口令。口令长度建议在8位以上,并同时应用大小写字母、数字和特殊字符,如Abc12#$%678。



上一个下一个
上一个下一个笑话
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)