密码安全策略:找到人与密码之间的平衡

每天人们上班与互联网相连后,都要输入各类ID、密码才能进入工作系统、邮箱系统、管理系统……上班的闲暇时间,人们还会去社区、博客、社交网站溜达,同样需要输入各类密码。密码与人们的工作、生活、学习结合的愈加紧密,甚至可以说是息息相关。

现在许多企业及企业员工保护自己机密数据、工作信息的方法基本也都是通过密码的方式。但随之而来的则是开始频繁出现某人社区密码被盗,导致工作信息失窃一类的事件。究其根本就是企业及企业员工在密码设置上依然存在误区,使得工作密码与休闲密码发生关联,给予了恶意攻击者入侵的机会。

有些人为了便于记忆密码,或者会把密码设置的很简单,诸如“123456”、“112233”,而且很多银行卡的初始密码就是“111111”、 “666666”、“888888”等;或者会把密码写到便签纸里,然后贴在公司电脑的显示屏上;或者根本就是一个密码走天下,不论公司系统还是开心网,用的都是同一个密码。

许多企业的密码设置也很有规律,稍微进行排列组合就能猜解出来。比如,有公司用的交换机密码竟然是“公司名字头几个字母+公司电话”。而有些企业内部的系统管理员在管理公司服务器系统时,甚至会使用系统默认的账号密码。

以上种种密码设置的误区,将本应保护机密信息最紧要的一道防线,拱手送与了恶意攻击者。密码是保护企业机密数据的重要手段之一,从安全角度而言,最不容易被破解的密码一定要足够复杂、随机不具备任何规律性。但从人的角度出发,密码却需要易于记忆与管理。所以,最好的密码就是能够使密码与人之间达到平衡。

目前,有一类密码很好的体现了密码与人的平衡,而且具有很高的安全性。这类属于分段式的密码里,一部分密码是保存在USB Key里的,一部分是需要人自己记住的4-6位固定密码,还有一部分则是在每次使用时触发的随机密码,这个随机密码每次都会在用户使用时发送到用户的手机里,三个部分组合在一起,才能打开系统、设备等被保护的对象。这很像是以前某些机密系统需要密码、指纹、虹膜、声音、DNA等验证后才能进入一样,多重密码系统一方面让人不会轻易忘记,也大大提高了系统安全性。