【免費系統】密碼丟了？揭祕你的密碼是如何被偷走的

無論設麼密碼都要好好保存，可是有些用戶發現本身的密碼常常丟的狀況，難道是密碼設置得太簡單嗎， 其實事情每每沒有那麼簡單，黑客偷走你的密碼易如反掌，不過咱們要是他們都是怎麼偷的，知道黑客或者流氓的手段，就好進行鍼對性的防範，使用電腦的良好習慣是最重要的——
　　咱們固然會千方百計來保護密碼的安全，好比增長密碼長度、使用複雜的語法以及特殊字符等等，這確實有助於加強密碼的安全性，這些方法每每要求你每90天更改一次密碼，但奇怪的是看不到什麼明顯的好處。
　　壞傢伙們一般會用四種基本的方法獲得你的密碼：
　　(A) 直接詢問，所謂的「釣魚」和「社會工程學」的攻擊仍然在進行，而且一直有效
　　(B) 試着用字庫來匹配提示框，但願碰到好運氣
　　(C) 獲取加密以後的密碼或哈希碼，反過來進行解密
　　(D) 使用keylogger等惡意軟件在你在電腦中輸入時獲取密碼
　　這四種狀況不會由於你每隔90天更改了一次密碼就從你身邊走開。若是壞人們沒法在幾天內攻破哈希碼(C)，他極可能去尋找更容易的攻擊目標。攻擊(B)也是速戰速決型，壞人們一般只使用前幾百個單詞，若是無效的話立刻就會轉向其餘更容易的獵物。若是(B)或(C)攻擊成功，或者攻擊者經過更簡單的(A)或(D)獲知密碼，那麼他們平均只須要45天就足以把你的銀行賬戶弄得一乾二淨，或者把你的電子郵件地址變成發送垃圾郵件的據點。
　　在過去25年左右的時間裏，密碼過時的概念沒有什麼變化。信息安全技術人員、審計人員、PCI、ISO27002和COBIT等等的要求都保持不變，但威脅已經改變了很多。一般，密碼脆弱的用戶只會用另外一個脆弱的密碼來替代。而強迫一個密碼強度已經很高的用戶更改密碼最終反而會惹惱他而使用簡單的密碼。
　　那麼90天的密碼更改週期到底有什麼意義呢?有一個實際的好處。那就是若是有人有你的密碼而他們想作的一切只是偷偷的閱讀你的電子郵件，那麼你改變密碼能夠阻止他們永遠這樣作下去。按期更改密碼並不能抵禦那些想要竊取你的機密的惡意攻擊者，但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯，這是好的。可是，這點好處是否值得去強迫用戶去不嫌麻煩的每90天更改一次密碼呢，我有些懷疑。
　　信息安全風險管理的主要工做應該是識別威脅和漏洞，而後選擇對策。可是，若是選擇的對策實際上並不太可能下降所識別的威脅的話，那麼它在安全工做中也是於事無補的。
　　固然，各方提供的「最佳實踐標準」和審計部門的專員們會迫使咱們用它。本文由 http://www.mfxp.com/news/2156.html蒐集整理