《选择安全密码.docVIP

选择安全密码 更新日期： 2004年03月24日 本页内容 简介 准备工作 开发组织的密码策略 相关信息 简介 尽管现在可以选用许多方法进行用户身份验证，但多数用户仍然通过在键盘上结合输入用户名和密码来登录自己的计算机和远程计算机。某些产品使用了生物统计学、智能卡和一次性密码等更加安全的技术，而这些技术对于所有常用操作系统都可用；但实际情况是许多组织仍旧依赖于密码，并会在未来数年内维持现状。用户常常拥有许多不同的计算机帐户，分别用在工作、手机、银行、保险公司等各个方面。为简化密码的记忆任务，用户经常在每个系统中使用相同或相似的密码，而且多数用户会在允许的情况下选择简单易记的密码，例如自己的生日、母亲的娘家姓名或亲戚的姓名。对于攻击者来说，简短密码相对容易破解。攻击者用以破解受害者密码的部分常用方法包括： ? 猜测 - 攻击者企图通过反复猜测可能的字词（例如用户子女的姓名、用户的出生城市和当地运动队等）来使用用户帐户完成登录。 ? 联机字典攻击 － 攻击者使用包括字词文本文件的自动程序。通过每次尝试时使用文本文件中的不同字词，该程序反复尝试登录目标系统。 ? 脱机字典攻击 － 类似于联机字典攻击，攻击者获得存储哈希处理或加密处理后的用户帐户与密码的文件的副本，然后使用自动程序来破解每个帐户的密码。如果攻击者已经设法获得了密码文件的副本，此类攻击便可迅速完成。 ? 脱机蛮力攻击 - 此类攻击是字典攻击的变体，但此类攻击的宗旨是破解字典攻击所用文本文件中可能没有包括的密码。尽管可以在联机状态下尝试蛮力攻击，但出于网络带宽和网络等待时间，一般是在脱机状态下使用目标系统密码文件的副本来实施此类攻击。在蛮力攻击中，攻击者将使用自动程序生成所有可能的密码的哈希值或加密值，然后将这些值与密码文件中的值进行比较。 通过使用强密码，可以显著降低所有这些攻击方法的速度，或甚至击退这些攻击。因此只要可能，对于自己的计算机帐户，计算机用户都应使用强密码。运行基于 Microsoft? Windows NT? 的 Windows 版本（包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server2003）的计算机都支持强密码。在 Windows 中，如果某个密码中的字符来自下面“字符类别”表格中五组中的至少三组，该密码即为强密码。 字符类别 组 示例 小写字母 a、b、c... 大写字母 A、B、C... 数字 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 非字母数字字符（符号） ( ) ` ~ ! @ # $ % ^ * - + = | \ { } [ ] : ; , . ? / Unicode 字符 €、Γ、? 和 λ 注意：空格字符不属于这五组字符中的任何一组，也不能提高密码复杂性。 高度机密帐户（例如管理员或高级管理者使用的帐户）的密码或者用以运行重要网络服务的密码应由四组甚至全部五组中的字符组成。而另一方面，由人类使用的密码必须易于记忆，丢失高级管理人员或关键管理员帐户的密码将造成严重后果。本文档说明 Windows 系列操作系统中如何存储密码，并为管理员就如何最大程度地提高密码安全性提供了指导。 这些矛盾的要求可以通过采用密码短语（而非单词密码）来克服。支持强密码的每个 Windows 版本都支持在帐户密码中使用空格和标点符号。例如，“I re@lly want to buy 11 Dogs!”即为一个有效密码短语。该密码的字符数超过了二十个，是一个超长的密码短语，且包含的字符来自 5 个可能的组中的 4 个。而且该密码短语也易于记忆！多数密码破解工具假设密码绝不会超过 14 个字符，而这也是 DOS 网络启动磁盘、Microsoft 远程安装服务 (RIS) 预执行环境 (PXE) 启动磁盘和更老的 LAN 管理器客户端 (Win9x) 必须使用的一种限制。即使并不复杂，超长密码（大于 14 个字符，最多 128 个字符）也可能可以十分有效地防止高度机密密码被破解。 注意：请不要将本文档中的示例密码用作您的密码。尽管上面讨论的密码“I re@lly want to buy 11 Dogs!”特别长和复杂，但攻击者可能会将该密码及本文档中的其他样例密码添加到他们的攻击工具中。 如果管理员须遵循旧版系统、RIS 或类似要求，或管理员仅仅是不喜欢处理过于长的密码，使用相对较短但包含复杂字符的密码也能提供不错的保护作用。但请注意，密码长度越大，其破解难度也越高。同时增加复杂程度和长度可以使密码成为最难以破解的密码。建立贵组织的密码策略可帮助保护用户免于被攻击者冒充，从而避免贵组织机密信息的丢失、暴露或破坏。 本文档说明 Windo