Rexdf

The devil is in the Details.

密码安全策略

| Comments

本文起因是因为看到了知乎的这篇,一时有感而发。记得大约一两年前谷歌的各种服务是各种的不稳定,当时应该比较公认gmail是高大上的,偶尔也会有些雅虎邮箱。然而我的gmail邮箱却不知道申请了多少次,因为申请完了我就忘了账号名了,有的则是忘记密码了。后来也听说啥hr看到QQ邮箱就直接不看简历了,那段时间一直使用的163邮箱作为核心邮箱,然而密码过度复杂,而且经常修改,终于某一段时间后咋么也找不回密码了。而那些使用gmail的同学,发一份文件过去,然后打电话给对方,他说他gmail无法打开,被屏蔽了。然后直接火了,打电话让对方开启飞信或者QQ来传送文件。这些经历应该很多人和我有类似的经历。总的来说gmail我是没什么好感的,因为广告、用户界面、操作习惯没有一样是我喜欢的。外加后来我架设了独立的域名信箱,基本上各种服务就都绑定过来了。总的来说google强大之处是可以看到的,但是像gmail和outlook从来就不想使用。因为时常看到的关于安全审计人员们分析邮箱记录,典型的就是看的outlook邮件记录。所以后来我追求各种独立的服务,而对于流氓网站要求注册的行为,则统统使用一次性密码。也就是说不打算第二次登陆进去的,下次再次真的需要再次注册,因为我不是一个会在一个什么论坛花时间来讨论的人。 以上杂扯了这么多下面言归正传: 1.一般流氓站点 使用可以通过验证的弱密码abc123,,13456,password等异常弱的密码,只要能通过注册认证即可。但是必须记住,这样的密码不要用来长久使用,这通常用来积分下载,也就是说你发现网站有些意思而且你一周下来超过3天都登陆进去聊过,那么还是换个密码的好。 2.社交网站 facebook、twitter、qq大小号、人人、新浪微博等,对于这些网站一般都在自身设置密码保护上比较好了,安全性和公司的大小基本成正比。但是社会工程学应该会集中火力在这些站点,因为社会工程就是绕开技术层面漏洞攻击转而对人的漏洞攻击。而人是社会性的动物,因为社交网站是最好的社会工程学站研究站点。 3.社会邮箱 需要几个重点邮箱,策略一般是密码保护邮箱使用知名的邮箱,然后这个邮箱名字复杂,但是不要贴出来,而且最好定期在安全的网络环境登陆。然后经常公布的邮箱就使用qq邮箱吧,这样毕竟方便。 4.公司学校 这包括网盘、邮箱、内网认证、平台登录等。相对来说公司的安全性会高一些,因为涉及到的财务问题会严重些。 5.网银等 这样的页面不要在别人电脑登陆,也不要在不安全网络连接下登陆。密码避开生日姓名。 然后推荐一款密码生成工具,Lastpass。 我使用Lastpass的策略是,流氓站点全部使用Lastpass生成加记忆密码;社交网站不记忆;社会邮箱使用不常用的浏览器登陆(因为debug网页需要,我装了O+S+F+C+I);网银相关只使用IE登陆;Firefox默认浏览器,平时基本使用Firefox和chrome浏览网页(因为fb,tw方便),IE插件全部禁止清理掉;定期清理浏览器历史包括Cookie;尽量不要安装非官方市场下载的插件;不信任软件虚拟机运行;定期重装(2~3个月),因为大部分软件在虚拟机,主机工作量不大。

Comments