站内搜索:
现在的时代,信息比什么都更有价值。虽然现在的石油已经涨到近乎疯狂的地步,但是与信息比较起来,还是小巫见大巫。
信息时代的人们比以前的人们多了不少麻烦,尤其是面对诸多密码需要自己铭记,更是烦心不已。比如,既要记银行卡的密码,还得记电脑系统的密码;既要记QQ、MSN、SKY等聊天软件密码,也得记邮箱、博客、网站或者论坛密码,不一而足,需要记的密码真是数不胜数。 可以说,密码安全才是真正的信息安全,密码安全才是真的安全。
然而就在本月初,在夏洛特举行的ITEC安全事务委员会议上,作为与会方的代表之一,Dan Colby提出了一个惊人观点:“不要使用密码。”
Dan Colby是Pinstripe公司的CEO,这家公司位于夏洛特,主要负责应用开发和咨询业务。在IT领域,Pinstripe公司已为很多中小企业提供服务,包括安全服务。
如果不使用密码,那么使用什么呢?密码短语(passphrase)!
相对“密码”(password)而言,密码短语(passphrase)口令有着更为严密的安全性。在功能上,passphrase同密码一样,只是长度较密码长。通常passphrase使用4到5个单词取代原来数字、字母结合的方式。它一般具有以下几个安全的特点:第一,便于记忆。因为短语比没有内在联系的8个字符的密码要容易记忆(例如:Toto Not In Kansas比xu2mn5r要容易记住得多)。第二,它们的长度决定了千变万化的排序组合,破译起来就比常规密码困难得多,尤其在攻击者使用词典攻击时,就更加复杂了。
Dan Colby表示,密码短语(passphrase)已成为终端设备用户保护密码的首选。因为密码短语(passphrase)很容易被识记,如果要识记诸如“!PS12Na#”密码,那么密码短语会有更多优势,并且密码短语(passphrase)越长安全性将越高。
安全专家也同意Dan Colby对密码短语价值的认同。认为更长的密码或者密码短语,能够为电脑提供强大的安全保护。安全需要随机凌乱的字符组成的密码,以加大黑客攻破密码的难度,比如文中提到的“!PS12NA#"密码。
现在的情况是,需要最高管理员(Administrator)对密码机制进行性能配置,使其能够接受较长的密码,并支持超长密码的输入输出。另外,最好每一组密码中要有大小写字母。(插图:登陆请求输入密码短语)
独立安全专家称,所配置的密码字符最好介于15至128个之间,并且最少的15个字符可以让密码自动转换成密码短语。但是,微软对活动目录(或扩展的Exchange)限制可支持的密码长度是127个字符。这就有可能设置密码的最小数量,如16个字符,可以支持更长的passphrase口令。
提请您需要注意的是,无论您是出于什么情况,如果您经常需要修改密码,
那么使用密码短语将会让您事半功倍。 比如,这个月我需要记的密码是“!PS12Na#”,而下个月要被改成“892#¥%&@”,就相当于密码短语从“我喜欢的音乐是蓝天”改成了“我喜欢的音乐是海洋”一样,既简单又好记。
而对于那些还在用旧系统或者旧的安全管理软件的用户来说,您照样可以用密码短语来对付简短而又杂乱的密码。
如果您的公司支持远程用户登陆,那么更应该仔细检查系统的每一个角落。如AD支持Unicode字符密码,在用户试着使用OWA时就不应再使用非ASCII字符密码。在进行远程有效访问时,可能无法正确发送Unicode字符,从而造成远程登录失败。
另外,也不必强求非本公司员工通过用较长的密码来使用密码短语。因为您要知道,有很多用户是使用同一个并不怎么重要的密码来注册登陆各种网站的。毕竟没有谁可以为100个网站记住100种不同的密码。
使用passphrase要注意的主要问题并不是关于Exchange(因为所有有效密码都经AD允许),而是关于用户自己。由于从前只需输入一个单词,现在,他们可能就不太愿意输入整条短语。
虽然如此,但是接受密码短语(passphrase)口令还是比较有利于安全防护的。即使像“密码很愚蠢”之类的密码短语,也可以减少用户在忘记密码或者防范密码被盗上所犯的错误。而且,您也可以理解,为什么有些人记不住8个或者10个密码,但是却可以记住有着20多个字的密码短语,比如“我是一名中华人民共和国公民,毕业于中国人民大学”。
看到这里,有心的朋友您还等什么呢?让我们换一种思路来面对密码吧。
 |
