该如何选择好的密码？

hjacker

该如何选择好的密码？
   留意密码可能被攻击的方式常常是有助于创建强壮的、有效的密码的,因此我们就从创建密码的一些防止事项开始。

避免使用字典词句，专有名词或外国语的词句
正如刚刚已经提到的,密码破解工具一般是在处理大量由字母和数字组合体直到他匹配到一个密码，这往往是很有效，因此用户应该避免使用传统的词句作密码。出于同样原因，他们也应该避免使用正常的词语的末尾带上数字和传统词语的倒写,例如：\"nimda\"。虽然这可以证明这很难被别人计算出来的，它们不会被密码破解工具暴力破解。

避免使用个人信息
关于密码的一件比较麻烦的事就是密码需要让用户很容易记住。自然地，这将导致许多用户在他们的密码中使用个人信息。然而，如同在那 \"社会工程学基本原理\"上的讨论一样，易于黑客获取预定目标的个人信息是令人担忧的。同样地，一般强烈地推荐使用者在他们的密码中不要含有如此的信息。也就是说密码里不应该包含任何有关于用户的名字，呢称或家庭成员或宠物的名字。而且，密码也不应该含有任何容易被认出的数字，像电话号码、地址或者其他的一些可以从你的邮件上猜测出的信息，如邮政编码。

长度，广度和深度
一个强壮的, 有效的密码需要一个必要的复杂程度。 这三个因数能够帮助用户达到这个复杂程度: 长度,宽度和深度。 长度的意味着一个越长的密码越难被破解。简单的说，就是越长越好。 从机率（可能）性来看，也是越长的密码越难被破解。通常推荐密码是在六和九个字符之间。但是只要操作系统允许而且用户能够记得住密码的话，更大的长度也是可以接受的。 然而不管什么样，比较短密码应该被避免使用。

广度是描述使用不同的字符类型的方法。 别仅仅考虑字母，也可以用数字和像 '%' 一样的特殊字符, 在大多数的操作系统中, 大写和小写字母也被认为是不同的字符。 例如：在windows操作系统下不总是大小写敏感的。 (这就意味着它不能认出\"A\"和 \"a\" 之间的区别) 一些操作系统允许在密码中使用控制字符、转意字符和空格。 因此总的来说，每个密码里都应该包含以下的字符:

大写的字母
小写的字母
数字
特殊字符
转意字符

深度是指选择一个有一定意义的密码，我说的是不易被猜测的但是容易记的，因此别从密码的角度考虑，而可以从他的意思的角度来考虑，\"一个好的密码是易于记忆且难于猜测的\"。你可以用你的名字的简写，或是一句英文句子的第一个字母的组合等等。

比较有效的一个方法就是选择一句有特定意义的短语（能够很容易的记住的），取他们每个词的第一个字母，然后适当的做一些转换，例如：把第三个字母用\"3\"代替。还有更多的方法，大家可以依照自己的习惯去开拓。

额外的保护
所有出色的密码破解程序都包含了外国文字，倒写的单词等等。而且最简单的盗窃密码的方法就是请求密码，所以说这个是不能忽视的。

在有些地方，一个好的密码对于抵御入侵是足够的保护了，但在另一些地方，这只是开始。密码术和一次性密码对系统增加了额外的保护。密码术意味着对密码的加密，以便对防护密码不被那些嗅探者或窥视者的窃取。一次性密码，顾名思义，密码只使用一次。这就需要运行一个密码列表，或有一个特殊的密码算法，或者加密卡等来实现，但他是一个非常有效的密码加密的方法。

而且还要确认用户将要进行的行为来最佳化他们的密码效力。用户应该避免多个帐号使用一个密码。如果这样做的话，将暴露一个盲点，意思就是说，如果一个入侵者取得了你的一个帐号，那他将畅通无阻的使用你其他的帐号。因此用户永远不要把他们的密码透露给任何人，除非确认他们是可信任的，例如：系统管理员。即使如此，密码也只能人为的告知，别通过电话或 E-MAIL。

用户应该非常小心，如果要记下或保存密码的话。因为骇客们通过侧面来盗取密码的故事并不是城市神话，而是确有其实的。用户应该注意别轻易的把密码写在贴在显示器上的便签纸上，或者藏在键盘底下。相反，他们应该选择他们能够记住的，足够强壮的，有效的密码。

但也有那种必须要我们写下密码的境况，虽然并不推荐这种做法，但是如果必须这样做的话，那就应该做得有规划，而不能仓促。一个极端的例子：对于一个多用户系统的管理员，将有太多的密码制约着他，对与这些人来说，那只能建议他，在纸上写下一些利于提高他们的记忆的短语或相关的分类等并随身携带，或者复印一个并保存在家里安全的地方。千万别写在便签纸上等。就一些隐晦的暗示就可以了，别直接写下密码或加密后的密文。

修改或保存密码或个人标识
为了保证密码的有效性，密码应该经常的更改。安全的更改密码其实是很简单的。windows 的密码可以通过控制面版来更改，而在UNIX 下，一般是\"ASSWD\"命令。更改密码的一条好的准则是尽可能的符合切实用户。比如说，如果是一个ISP 帐号，别通过其他第三方机器 telnet 上来更改密码。如果是在办公室的机器，用户应该在自己的电脑上更改，而不能在同事的机器上做。而且当你输入新密码或旧密码时，别让任何人看到。如果是所有的可能的情况下，密码更改可以通过像 SSH 这样的安全连接来完成！

需要多久更改一次密码实际上取决于这个帐号。在线金融帐号应该一两个月改一次。组织网络的密码应该3-4个月更改一次。有的文章也建议\"至少在每一个财年和每一个财季之间强制更改密码一次\"。头脑明锐而且别懒惰！更改一个密码相比起令人气愤而且花费昂贵的同窃取做斗争的过程要来的快捷和轻易。

我先去改密码

lucy

good, I think i'd better change my password.

还是数字字母特殊字符混合的好，9位足够对付绝大多数人了。

ijzl

好言相劝，一定牢记。

203.64.140.249:3128

很不错！谢谢！

就怕到头来自己也搞不清楚自己的密码了。

我的密码很长，不好用

hjacker

其实密码不用很长的，可以在一个常用的单词或词组（8个字母左右）的某个位置加入一两个特殊字符，这样的密码不仅方便记忆，也不容易破解。

[此贴子已经被作者于2003-6-12 16:43:33编辑过]

gxboy

Good！！！！

mountlg

用一个自己都记不住的，写在本上，照着上面这位兄弟的说法，肯定没错