【大話IT】就是這么任性！你的密碼夠安全嗎？？

pipihappy8888

獲獎(jiǎng)名單已公布：http://www.72891.cn/thread-4165042-1-1.html

最近有一句話在安全界廣為流傳：“網(wǎng)絡(luò)空間只有兩種人，一種人知道自己被黑了，另一種人不知道�！� 移動(dòng)互聯(lián)網(wǎng)時(shí)代，每一個(gè)人至少擁有幾十個(gè)賬戶密碼。一串串字符被賦予實(shí)名，看管我們最珍貴的東西，保護(hù)數(shù)據(jù)與信息，看護(hù)夢想與回憶，看管秘密與恐懼……密碼成了最常用的安全認(rèn)證方法�？蓡栴}是，密碼是有可能被盜的！怎么去找到哪些偷不走的鑰匙呢？

最近馬云和庫克剛剛?cè)脒x了美國《時(shí)代》雜志年度人物的候選人名單，雙方在正式對外公布了在移動(dòng)支付領(lǐng)域的合作成果。蘋果手機(jī)用戶已經(jīng)可以在錢包內(nèi)使用指紋支付功能，這是此前支付寶向蘋果申請接口開放后，利用蘋果手機(jī)內(nèi)的TouchID硬件實(shí)現(xiàn)的一種新支付方式。

看到這些神奇的支付手段后，小編開始想象未來了！人類真的需要密碼嗎？到了明年，你賣萌對著手機(jī)喊了一句“親愛的最帥了”，錢就可以到賬；逛淘寶，寶貝看上10秒鐘，付款就成功了，是不是很酷？再想像下2054年，你的行蹤隨時(shí)被掌握，不管你去哪里，地鐵還是樓宇。因?yàn)槊總�(gè)人的虹膜信息都存儲(chǔ)在電腦里，無數(shù)的虹膜掃描儀在盯著你。就是這么任性！

話題討論：

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？

2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？

3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？

4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？

6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？

活動(dòng)時(shí)間：2014年12月10日-12月30日

活動(dòng)獎(jiǎng)勵(lì)：根據(jù)大家的回復(fù)情況贈(zèng)送禮品

功勞獎(jiǎng)：回復(fù)質(zhì)量高的會(huì)員將獲得技術(shù)圖書一本

苦勞獎(jiǎng)：回復(fù)次數(shù)活躍的會(huì)員將獲得社區(qū)徽章1枚

以下有些網(wǎng)友回答得非常不錯(cuò)，請大家點(diǎn)擊鏈接查看：http://net.it168.com/a2014/1219/1691/000001691991.shtml

action08

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？
這個(gè)復(fù)雜的密碼，只有面對暴力破解才有效果。而現(xiàn)實(shí)很少有采用的

——你電腦手機(jī)全是盜版系統(tǒng)，流氓軟件，你怎么玩都在隱患之中。就算沒有安全風(fēng)險(xiǎn)，也有法律風(fēng)險(xiǎn)


2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？
萬能鑰匙，方便。
現(xiàn)在很多涉及資金的帳戶，都需要手機(jī)動(dòng)態(tài)密碼。稍微黑客，無所謂了。


3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？
屆時(shí)肯定會(huì)有高級(jí)黑，
相比破解password密碼，人臉，掌紋貌似更容易復(fù)制吧？？？相信其安全機(jī)制一定很呵呵


4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？
關(guān)于移動(dòng)安全，功能機(jī)除了打電話，還可以動(dòng)態(tài)嗎驗(yàn)證。


5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？
靠譜的密碼，只有自己知道就行了。

6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？
這個(gè)真難，目前還是期望安全服務(wù)業(yè)會(huì)受到企業(yè)的**，特別是有些投入不能少。個(gè)人就無稍微了。

睿智2012

我是被入侵而不知道的

su8610

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？
我覺得我的密碼還是安全的，當(dāng)然復(fù)雜的密碼會(huì)給破譯添加更多難度，但是同時(shí)也得考慮一個(gè)是這么復(fù)雜的密碼自己是否能記得住，這時(shí)候怎么處理？我再找個(gè)東西來記住所有密碼？那這個(gè)東西怎么實(shí)現(xiàn)加密，如果解密方式被破解呢？我有同事自己在記密碼的時(shí)候就是搞了一套自己的加密方式，添加一下自己的信息修改一下字母順序之類的方式。

2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？
同1 ， 如果使用一把鑰匙開一扇門肯定會(huì)比較安全，至少不會(huì)說一個(gè)被破就全部都危險(xiǎn)，但是缺很麻煩記憶。萬能鑰匙卻相反，方便記，但也有被全盤破解的危險(xiǎn)。

3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？
這個(gè)比如說手機(jī)解鎖，電腦解鎖，還有門禁都可以啊，我就試過人臉解鎖，在自己的nexus4上面有這樣的功能，但是很搞笑的是有同事都能解開，所以只能說目前的技術(shù)還是不太成熟，如果能做得更完美，辨別更加細(xì)致高效的話，我覺得會(huì)取代傳統(tǒng)的驗(yàn)證方式的。

4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？
這個(gè)是最擔(dān)憂的，如果云相冊的密碼被破解，自己很多隱私就會(huì)曝光。我覺得首先一個(gè)還是不要把太隱私的東西放到云相冊里面去，其次最好能有不同相冊不同的加密，如果可以的話，登陸有郵件或者短信通知都能預(yù)防一些

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？
網(wǎng)上有一些密碼測試工具，可以自己設(shè)置規(guī)矩，比如說要12位，要大小寫字母，要數(shù)字，要符號(hào)等等。

6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？
這個(gè)不是很了解，但是我覺得部署好防火墻，使用vlan劃分好網(wǎng)絡(luò)應(yīng)該能有一定程度的保護(hù)。

hellioncu

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？
有大小寫字母、數(shù)字、符號(hào)，被暴力破解的可能性很小。其他的安全性就看網(wǎng)站的了

2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？
最好是不同網(wǎng)站采用不同的賬號(hào)、不同的密碼，為了好記，可以根據(jù)網(wǎng)站在同一賬號(hào)、密碼基礎(chǔ)上加一定的有規(guī)律的變換。這樣可以防止某網(wǎng)站泄露導(dǎo)致其他網(wǎng)站賬號(hào)密碼的安全性

3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？
這些都需要一定的硬件支持，只能作為傳統(tǒng)密碼的補(bǔ)充，在一定時(shí)期內(nèi)，傳統(tǒng)密碼還是會(huì)存在的。

4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？
在第二點(diǎn)采用不同賬號(hào)密碼的基礎(chǔ)上，不使用公共的wifi、識(shí)別假網(wǎng)站等。

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？
想一句好記的話，然后取首字母、諧音等，最后得到密碼，最好包含大小寫字母、數(shù)字、符號(hào)。

6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？

全員培訓(xùn)，提高安全意識(shí)。網(wǎng)絡(luò)監(jiān)控，避免惡意郵件、網(wǎng)址。防止木馬。流量監(jiān)控。

hexilanlan

被黑而不知道。

dengbao2001

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？

相對還可以把。如果比較重要的網(wǎng)站，密碼都非常復(fù)雜，但是自己可以記憶的。一些普通的網(wǎng)站，密碼就不用太復(fù)雜，有一定的規(guī)則

2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？

因人而異，為了安全，肯定一把鑰匙開一扇門比較好，但是可能比較難以記憶，尤其對于年齡大的人，或者記憶力不好的人


3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？

每周單獨(dú)的識(shí)別方式都有自己固有的缺點(diǎn)，我個(gè)人覺得應(yīng)該將多種方式結(jié)合在一起，雖然復(fù)雜點(diǎn)，如果真的有安全需要，還是值得的。

4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？

最擔(dān)心的是云供應(yīng)商的網(wǎng)站被人一鍋端了。所以，比較重要的東西還是不保存在云比較好，或者保存了，加密碼保護(hù)起來

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？

作為一個(gè)專業(yè)人員，不少資料都說8位以上，數(shù)字大小寫字母特殊符號(hào)混合起來最安全，問題是這樣，可能比較難以記憶。通常這樣的密碼可能好記也難忘：11*11=12onE,我覺得這樣的，記憶也不困難，而且很難猜到



6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？

APT攻擊也是現(xiàn)在大家都面臨一個(gè)難題，我覺得要多重技術(shù)結(jié)合在一起才能好好的預(yù)防，另外，用戶的培訓(xùn)和教育是一定少不了的

fengzhanhai

好話題，坐等專家

大邪神

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？
安全是相對的，看對誰呢！若針對人，能猜測的密碼都不安全，所以越復(fù)雜越好，針對暴力破解，沒有密碼是安全的。針對泄露密碼，只要密碼不一樣就行了。萬能而好用的密碼是不存在的。

2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？
我用的是：萬能鑰匙 + 網(wǎng)站規(guī)則。萬能鑰匙怕泄露；單把鑰匙怕忘。

3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？
這些都有不管人自身的意愿而直接解鎖的情況，可以作為驗(yàn)證，但不能單獨(dú)作為密碼使用。如銀行，單指紋恐怕不行。

4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？
現(xiàn)在的泄密主要有兩種，第一種，網(wǎng)站漏洞導(dǎo)致拖庫，第二種，用拖庫得來的用戶密碼嘗試登陸其他的網(wǎng)站。整體來講，還是社會(huì)工程學(xué)。

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？
我的是：1、通用密碼 + 網(wǎng)站特征，如CU就是shisandian123@IX。2、密碼分級(jí)，不同級(jí)別的網(wǎng)站通用密碼是不同的，如網(wǎng)銀和支付寶是一個(gè)級(jí)別，但是和CU就不是一個(gè)級(jí)別，但是最多三級(jí)。

6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？
知道后轉(zhuǎn)換身份，單獨(dú)處理，完全消除和別的系統(tǒng)的任何關(guān)聯(lián)。

lsstarboy

1.你的密碼安全嗎？是不是越復(fù)雜的密碼才會(huì)越安全？有哪些潛在的隱患？

我的密碼基本上安全，在用密碼之前，最好在網(wǎng)上反查一下，起碼看一下md5的密文能不能被反查出來。太大眾化的不好，要找到自己密碼的規(guī)律。


2.大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？哪個(gè)好？

兩者都不好，我一般的策略是注冊時(shí)先用一些臨時(shí)的萬能密碼，如果決定在這個(gè)網(wǎng)站長駐，那么就按一定的規(guī)律來做這個(gè)網(wǎng)站的密碼。
所以到最后的規(guī)律是：重要的網(wǎng)站密碼各不相同，不重要的網(wǎng)站是“萬能鑰匙”。


3.未來，像人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊這些識(shí)別技術(shù)有可能取代傳統(tǒng)的密碼形式，想象下這些方式有哪些應(yīng)用場景？

指紋已被濫用，被破解成本會(huì)非常低，因?yàn)槿〉弥讣y相對是比較容易的，現(xiàn)在成本主要是制作指紋；
筆跡和鍵盤敲擊，其實(shí)跟密碼性質(zhì)差不多。
人臉識(shí)別和聲紋應(yīng)該還有一定的潛力，操作簡單，破解相對要難一些，但是聲紋能區(qū)分錄音嗎？


4.在云安全、移動(dòng)安全方面有哪些泄密事件？在使用云相冊、移動(dòng)支付的時(shí)候有哪些擔(dān)憂？如何預(yù)防？

泄密不僅僅是密碼，而是相關(guān)的信息，**號(hào)、銀行帳號(hào)、電話之類的，現(xiàn)在一切向錢看，這些信息隨時(shí)可能泄露，在填這些信息的時(shí)候，一定要慎重。
特別鄙視一下淘寶和新浪，以及QQ，現(xiàn)在沒有不填電話根本沒法使用，赤裸裸的要用戶信息！這些都是身邊的不定時(shí)炸彈。
云相冊和移動(dòng)支付的密碼泄露是很要命的，用證書要相對安全一些。但是主要跟操作習(xí)慣有關(guān)，弄個(gè)U盾成天掛在機(jī)器上，還不如密碼來的安全呢。
我還認(rèn)為，目前密碼泄露，絕對跟殺毒軟件等流氓軟件有關(guān)，給同事朋友修機(jī)器的時(shí)候，xp的內(nèi)存占用能超過1G，win7機(jī)器４Ｇ內(nèi)存都跑不動(dòng)，我就不信沒有個(gè)泄密的東東。

5.有人對用戶的密碼做過統(tǒng)計(jì)，61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用，那如何設(shè)定一個(gè)靠譜的密碼呢？

好多系統(tǒng)現(xiàn)在都要求：至少８位，至少有大寫，至少有數(shù)字，至少有個(gè)特殊符號(hào)，這是一個(gè)非常好的習(xí)慣。


6.電影上的黑客無所不能，火車、飛機(jī)、電廠一一搞定，但現(xiàn)實(shí)中的黑客也絲毫不差。 高級(jí)可持續(xù)性威脅攻擊（APT）通常都是釣魚郵件為入口，如果一個(gè)企業(yè)或某人被具備高端社會(huì)工程技術(shù)的黑客盯上，幾乎是在劫難逃。 APT攻擊通過哪些方式潛伏進(jìn)企業(yè)？如何有效偵測APT攻擊？
話說這些攻擊都跟用戶的使用習(xí)慣有關(guān)，一味追求方便，一味追求多功能，一味追求利益，稍不注意就會(huì)上鉤。
一般都是從普通員工入手，除非管理員不合格，因?yàn)槠胀▎T工的安全意識(shí)最薄弱。
在一個(gè)機(jī)器裝了三個(gè)殺毒軟件（360，QQ，金山），再裝了迅雷、2345、ppav，啥玩意音樂、QQ的一大堆、百度的卸載不掉的東西，你還指望這臺(tái)機(jī)器安全嗎？特別是現(xiàn)在有些管理員在服務(wù)器上也安裝這些東西！
有效防御攻擊，我認(rèn)為基本的三條：（１）盡量手動(dòng)，所有的進(jìn)程、端口都要了解它是干什么的，是由哪個(gè)程序開啟的；（２）重要信息都要驗(yàn)證；（３）不要貪圖便宜。