密码安全

**口令：**属于个人隐私。
**弱口令：**猜测到或被破解工具破解的口令均为弱口令。
**误区：**并不是符合口令复杂度要求的口令就是安全的。如口令设置为用户名+规律性的数字admin123，键盘有规律性可循的密码1q2w3e4r5t，被很多人使用的p@ssw0rd。

口令面临的风险：
1、弱密码，易被猜测。
2、泄露，不恰当的存储方式或拖库。
3、验证机制缺失或不足，导致的爆破、撞库

口令安全设置要求：
1、口令复杂度要求：不少于8位，包含大小写字母、数字和特殊字符等相结合。
2、口令修改及注册要求：
①由管理员分配账号密码的业务系统，管理员不分配弱密码，用户首次登录必须要求更改密码，密码设置要符合安全口令的要求，不能为弱密码。
②自行注册账号密码的业务系统，注册时密码必须符合安全口令要求。
3、防暴力破解要求：增加安全的验证码（使用一次即失效）、数字证书、手机验证、动态口令等一种或多种认证方式相结合。
4、传输安全要求：口令在前端进行加密（不要使用MD5和SHA1）或通过HTTPS进行加密，推荐采用HTTPS进行加密。
5、存储安全要求：口令进行加密存储，防止拖库等造成的信息泄露。不要使用MD5和SHA1等简单的加密算法。
6、口令安全意识：
① 不要保留默认密码，容易被猜测。
②不同的系统（特别是服务器）使用不同的密码，防止撞库攻击。
③不要明文保存密码，防止泄露。（密码不要保留在桌面，密码文档进行加密）