所謂密碼重用就是在多個**或賬戶上重複使用相同的密碼。當這樣的密碼被暴露,再加上姓名,登入名,電子信箱位址等其它可識別資訊,就會為使用者帶來資訊保安上的危害。
密碼重用是如何成為威脅的?
密碼重用成為一種安全威脅是因為如果惡意行為者獲取了一些可以識別使用者身份的資訊,他就可以對乙個重複使用的密碼加以利用。這通常發生在以下情形之一:
避免密碼重用
避免密碼重用往往是具有挑戰性的,因為許多需要密碼保護的**和帳戶,要求密碼具有複雜性,比如,要求使用者每過一段時間更新密碼。使用者則為了方便記憶,只好在多個賬戶中使用重複的密碼。有兩種方法既可以避免密碼重用,又能確保使用者的密碼滿足密碼複雜性的要求:
第一種方法是使用密碼管理器來記住每乙個密碼。密碼管理器是可以使用於計算機,智慧型**,或在雲中的應用程式。它可以安全地跟蹤密碼,以及密碼被使用的地方。大多數密碼管理器還可以按使用者的需求為每個賬戶生成複雜的隨機密碼。只要訪問密碼管理器本身的密碼足夠安全,複雜,這種技術是很有效的。但是,如果密碼管理器應用程式受到攻擊(這是確實可能發生的!),所有被管理的密碼都可能被洩露。如果使用者選擇使用乙個常駐在本地計算機或智慧型手機上的密碼管理器,一旦計算機被惡意軟體攻擊,或使用者丟失了智慧型手機,所有由密碼管理器管理的密碼都可能被暴露。所以,選擇密碼管理器時,要確保它來自乙個知名的,值得信賴的公司,以避免受到損害。
第二種方法是為密碼選擇乙個可重複的模式。比如,選擇乙個關於**或帳戶一些特性的句子,然後使用每個單詞的第乙個字母作為密碼。例如,根據句子:「this is my march password for d1net.」,密碼就成了「timmp4d.」。乙個強大的密碼應該是複雜的,需要包括大寫和小寫字母,數字和符號。上面例子中的這個密碼就儲存了句子中的首字母大寫,把「for」翻譯為數字「4」,幷包括了句尾的標點「.」來新增乙個符號到密碼中。這項技術也有其弱點:如果來自同乙個使用者的多個密碼被暴露,這個可重複的模式則可能被人猜出並被利用。
不論如何選擇密碼,保持密碼的獨一無二是極為重要的。有些公司,如facebook,已經在開發相關技術來識別使用者的密碼重用。這其中包括監控被暴露的使用者名稱,電子郵件和密碼清單,並試圖用這些清單去匹配現有facebook使用者的使用者名稱和電子郵件位址。一旦發現匹配,facebook則會要求使用者重置密碼,以避免密碼重用的危害。
作者簡介:
Redis禁用命令 危險命令及規避方法
flushall flushdb 命令會清空資料,而且從不失敗,對於線上集群非常危險。keys 命令,當資料規模較大時使用,會嚴重影響redis效能,也非常危險。如果從根本上規避這些風險呢?redis提供了非常簡單且有效的方法,直接在配置檔案中設定禁用這些命令。設定非常簡單,如下 如下 rename...
Redis禁用命令 危險命令及規避方法
flushall flushdb 命令會清空資料,而且從不失敗,對於線上集群非常危險。keys 命令,當資料規模較大時使用,會嚴xpbnzieo重影響redis效能,也非常危險。如果從根本上規避這些風險呢?redis提供了非常簡單且有效的方法,直接在配置檔案中設定禁用這些命令。設定非常簡單,如下 複...
亞穩態的危害及預防
上圖時序反應了時鐘雙觸發器的同步電路最終輸出乙個穩定的訊號。其實避免亞穩態的發生主要就是避免非同步訊號的時鐘,使用雙觸發器同步電路的精華就是將非同步訊號同步化操作。下面分情況討論怎麼避免亞穩態 1 非同步復位電路 非同步復位訊號相當於本地時鐘域是非同步訊號,同樣為了非同步訊號同步化,使用雙觸發器同步...