个人密码安全策略

我们来关注一些不是那么被重视的方面，要知道，窃取一个帐号往往不需要高超的黑客技术。

 

让我们先看看几个案例。

 

案例1：你在网上google某个资料，找到某个论坛可以下载你要的东西，但是这个论坛需要注册，才能够下载。于是，你注册了这个论坛，在注册 是填写了你的电子邮件地址，并且论坛密码和邮箱密码是一样的。不料，这个小屁论坛的所有者不是什么正经人，或者经营这个网站的公司里有无聊的员工，他们翻 出你的资料，进入了你的邮箱，看看里面有没有什么有价值的东西或者好玩的东西。嗯，说不定那里面真的有你的艳照哩。

 

案例2：其他同案例1，但是那个网站的经营者没有这么无良，他们不会翻看注册者的资料。只是这个网站的安全性很差，让人给黑了，接下来的过程和案例1一样。

除了邮箱之外，填写qq号码、msn一样面临这样的风险。可能你的qq号码因为这样的原因丢了，而你还在非常可怜的杀着毒，想着为什么会丢呢。

 

案例3：你是否收到过好友发来的邮件，说他新加盟了一个交友网站，那里有好多白领MM等着你去注册。一看就不是你朋友写的，但确实是你朋友的邮箱发来的。其实是他注册这个网站的时候，网站要求他填写MSN和MSN的密码，这样就可以邀请MSN上的好友来注册了，然后他就真的给了。以后这个朋友不断的发类似的邮件给你，其实他往往也是收到这样的邮件以后才去那里注册的。

对于这个案例，还有一种情况，就是你的注册密码和MSN密码相同，网站自己就猜到了。

 

案例4：你们公司有邮箱吗？你是否想看看同事的邮件，了解一下他这个月是否加薪了？那么直接去他的邮箱看看吧，因为如果没有强制的安全策略，有相当一部分人是不修改初始密码的。

 

案例5：公司里坐在你旁边的小孩，可能会有兴趣窃取你的密码。遗憾的是，连很多开发人员都认为，使用GET，参数跟在URL后面，而使用POST就安全的隐藏了。实际上你看不见，不代表别人看不见，90%的网站登录的时候，密码都是在网上裸奔的。在局域网里面做ARP欺骗，很容易得到一大堆密码，如果能控制路由器，交换机什么的，就更加隐蔽，所以不要以为装了个ARP防火墙就安全了。

 

我们的对策如下。

 

第一，必需要知道，不能在所有的网站使用相同的密码。 给每个网站用不同的密码也是不可能的，因此我建议使用密码分级。将网站分为若干组，每组使用一个相同的密码。具体建议如下（当然你也可以根据情况调整）：

1、银行取款密码不要和任何其他密码相同。网上银行密码不要和取款密码相同，也不和其他网站密码相同。（为什么有这一条，因为我老婆以前就不是这样的）

2、使用一个电子邮件账户作为你的首选电子邮件，独享一个密码。你注册的时候都要填写这个邮箱，在其他网站忘记密码都可以用这个邮箱找回，因此这个邮箱安全性极高，密码必须是独立的。

3、你认为可以信任的、安全的网站共同使用一个密码。例如QQ、MSN、网易、Facebook等。

4、你认为不可信任，或不确定是否安全的网站共同使用一个密码。（如果你觉得必要，可以把这里再拆分成两个等级）

5、工作邮箱，使用一个独立的密码。

6、你的计算机，使用一个独立的密码。（因为这个密码可能要公开或者告诉别人，以便让别人使用你的计算机执行一些操作）

7、所有游戏帐号使用单独的密码。这是因为针对游戏的盗号实在太多了。

 

1和2是最重要的密码，一定要记牢。

 

首选电子邮件，强烈建议使用Gmail，现在只有Gmail完全的支持https。其他很多网站最多是登录的时候是https，然后就跳转回http去了，甚至登录的时候都不是https。你可以在gmail中做设置，始终使用https，当你用http访问的时候，自动redirect到https。

另外，在gmail中可以设置用pop收取其他邮箱的邮件，方便你的迁移。

 

第二，保存好安全的密码不要轻易提供给不信任的网站。

刚才提到的那个交友网站的案例，我记得skype或是google的某个服务也干过这种事（具体是什么记不清出了），这个时候就需要你的判断了。他们是否会利用你提供的信息干你不希望的事情？skype会这样做吗？google会这样做吗？那些小网站会这样做吗？你是否愿意提供？

 

第三 ，不要使用初始密码。

这个就不多说了。

 

第四，关于定期修改密码 。

理论上说，这是一个好习惯。假如只有一个密码，是非常容易的。对于有很多密码的情况，定期修改密码也会带来灾难。好在前面我们通过密码分级，将密码的数量进行了限制。重点保证银行、网银、首选电子邮件的密码安全，当感到不安全的时候就可以更换。