12月 22

[转]密码管理规范

原文

下面是贝壳自己总结的密码管理规范,大家可以参考一下。

  • 概念解说

• 网络密码和本地密码。网络密码通常很难暴力攻击,尝试速度受到网络限制,而且尝试一定次数后还可能被管理员发现。而本地密码则相对比较容易攻击,我假定本地密码攻击可以达到每秒测试2^30个密码。
• 密码长度推定使用如下计算方式。使用年数乘以攻击频率,得出攻击者在密钥使用期限内能尝试的最大次数。为了安全起见,尝试范围不应当超过总体密码空间的一定比例。以此推算出密码空间大小,进而推算出信息位数,然后还原为密码位数。
• 数字密码,字母密码,数字字母混合密码,大小写数字混合密码。数字密码的信息量是3.3bit/位,字母为4.7bit/位,混合为5.17bit/位,全混合5.96bit/位。

  • 密码原则

• 一次一密。除了零级密码,不要为多个系统设定一样的密码。有些系统并不像我们想像的安全,一旦这个系统出问题,被还原原始密码,就会牵连到其他系统。
• 定期更换。没有什么密码能用一辈子。
• 写下来。因为一次一密,所以我们会有大量的散碎密码。不写下来是不保险的,写下来是不安全的。折衷一下,还是写下来,保存好吧。推荐用高级密码加密低级密码的方法,例如keepass。
• 生成型密码。用一个特定字符串+网站名,做sha-1然后取最后8位。这样的密码满足一次一密,不容易破解,不需要写下来,唯一的问题是你要现算…
Continue reading

12月 22

[转]你的密码安全吗?小心那些隐藏的陷阱

你忘记过密码吗?你的密码安全吗?你还在重复使用一个密码吗?经过二十年的努力,我们成功的走入一个误区:那就是把密码设的越来越难以记忆,却被计算机很轻松地就破解出来。面对这种窘境,本文在详细讲述了影响密码安全的因素之外,还告诉你一个优秀的密码是如何产生的。……【阅读全文】