什么是密码安全

密码安全是网络安全中非常重要的一个要素，是抵御网络攻击者，保护个人和组织信息安全的第一道防线。密码安全更重要的是如何保护密码，是身份认证和密码更加安全的策略、流程和技术的统称。

为什么需要密码安全

密码安全非常重要，一般用户在登录系统或者某个应用程序的时候，最先需要输入用户名和密码来实现身份认证。如果密码没有被保护好，被攻击者盗取，且在系统没有其他认证方式，或者没有足够的防护情况下，那么系统将完全暴露在攻击者面前，机密信息和敏感数据也会被盗取，导致信息泄露。

• 个人密码被盗：攻击者可以直接从用户那里窃取金钱，或者窃取其身份。身份盗用可能导致进一步的财务损失。
• 企业密码被盗：攻击者可以登录Telnet服务器、FTP服务器和数据库服务器等。登录成功后可以窃取或者篡改服务器上的敏感数据和重要文件，影响企业系统的安全性；或者对服务器进行攻击破坏，这可能导致网站、应用程序或者其他服务不可用，给企业造成经济损失。

攻击者盗用密码登录服务器

哪些是易受攻击的密码

若密码为弱密码、重复使用、明文密码时，更容易受到攻击。

• 弱密码：密码过于简单，使用电话号码、出生日期、亲人或宠物的名字作为密码；或者密码长度太短，仅有数字组成等，容易被猜测或在短时间内就可以被暴力破解的密码。
• 密码重复使用：在不同网站使用相同密码，盗取用户单个帐户的密码，便可以获得该用户的所有帐户访问权限。
• 明文密码：在密码存储和传输过程中，未进行加密直接使用明文密码，可以轻轻松松获取用户的账号密码。

如何实现密码保护和密码安全

密码安全和密码保护是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段。

人的层面：增加密码安全性

• 提升密码长度和复杂度。

• 密码应由数字、大小写字母和特殊符号混合组成，且密码越长，破解密码的时间就会成指数增加，一旦密码超过了某个长度，基本上就不能用暴力破解了。

• 在不同的地方使用不同的密码。
  重复使用电子邮件、银行和社交媒体帐户的密码更可能导致身份被盗用。可以将网站的缩写作为密码的后缀，例如登陆QQ的密码是Hl9tysY.qq，登陆微博的密码是Hl9tysY.wb，这样每个网站都有独立的密码且不容易忘记。

• 避免使用字典单词、数字组合、相邻键盘组合、重复的字符串。
  例如 password 、12345678、asdfg 、aaaa或123abc。

• 避免使用名字或者非机密的个人信息（电话号码、出生日期等）作为密码，或者是亲人、孩子、宠物的名字。因为当我们单击一些网站中的“忘记密码”链接时，系统有时会要求回答一系列问题。而答案通常可以在我们的社交媒体资料中找到，从而使帐户更易被破解。

• 定期修改密码。

系统层面：做好密码安全设计

系统设计时考虑以下几个方面：

• 锁定策略：输错密码几次就锁定一段时间。
• 验证码技术：要求用户完成简单的任务才能登录到系统，用户可以轻松完成，但暴力工具无法完成。例如图形验证码、短信等。
• 密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码。
• 双因子认证：结合两种不同的认证因素对用户进行认证的方法。例如密码、身份证、安全令牌、指纹、面部识别、地理信息等。
• 基于数字证书的身份认证：数字证书可以说是网络上的安全护照或身份证，提供的网络上的身份证明，防止通信数据在传输过程被篡改造成安全风险，提升系统的安全性。
• 选择安全的密码存储或者传输方式：在密码存储和传输过程中，禁止使用明文密码，不要使用纯文本格式方式存储密码。尽量使用安全的加密算法对密码进行加密和解密。