企业密码安全实践指南 – 作者:两块

账户口令密码是日常使用最频繁的基础参数，是整体信息安全防护最后的一步，“交出密码”就等于在信息安全对抗中“缴械投降”。要满足信息安全整体防控，提升全员密码安全意识水平，保障密码安全使用至关重要。

密码是如何被窃取的？

恶意攻击者会试图使用最常用的密码破解进入你的账户，或者使用你的社交网站(软件)公开资料来猜测密码（常见各种字典库、社工库资料）。如果成功，他们将使用相同的密码尝试破解你的其他网站帐户。

恶意攻击者还可以试图通过伪造链接到可疑网站的“网络钓鱼”电子邮件，或者通过社交软件使用具有说服力的技术，诱使人们泄露密码。

即使你保护好了自己的密码，但如果一个记录了你详细信息的公司数据库遭到数据泄露，它们仍有可能被窃取，而且你无计可施。恶意攻击者将使用这些被盗的用户信息(如用户名和密码)来尝试访问和撞库其他系统。

实践建议

1.1 给管理员建议

保持8个字符的最小长度要求（并且更长不一定更好）。

取消强制字符复杂度组成要求。

取消用户帐户的强制性定期密码重置要求。

禁止使用通用常用密码，以将最易受字典库攻击的密码排除在被攻击之外。

指导你的小组组员，不要将其工作密码用于与工作无关的事宜。

尽可能强制进行多因素身份鉴别的注册使用。

1.2 给个人的建议

企业员工具有保证办公密码口令安全的责任。

修改初始密码！请记住任何系统使用时的第一步都要首先修改初始密码。

为办公应用创建唯一密码，而不是与私人的账户相同。

为系统设置一个易于记忆且相对复杂的密码，不要使用常用短语。

保持终端电脑操作系统、浏览器和软件及时更新。

谨慎打开电子邮件附件及邮件内链接、谨慎输入账户密码。

打破认知的误区

2.1 密码越长越好

我们通常可见的密码口令设置建议是，密码长度保持在8位（含8位）以上，甚至可以更长。虽然，账户的密码长度越长，被攻击时爆破使用的时间越久（且对于密码的攻击早已不仅仅显现在暴力破解），但过多的长度要求（大于14个字符）增加了采用其他不安全做法的可能性，例如难以记忆而写下密码（常见于明文密码写到便利贴或笔记簿）、使用重复的密码、随机单词拼音组合或将明文密码存在PC文档中。

为了鼓励个人将重要的系统考虑使用唯一的密码，因此建议保持合理的8个字符的最小长度，不必要过于长，推荐8-14位之间，这其实也符合我们禁止常见密码的指导。

2.2 密码越复杂越好

密码具有很复杂的特性，并不能确定你使用的这个密码就一定是安全的密码，设置密码要兼具安全性和易于记忆，过于复杂的密码更容易导致忘记或丢失，而频繁重置密码也将使自己难于设置新密码。

2.3 密码更换周期越短越好

调查研究证明，人类的知识认知资源池是有限的，频繁的更换密码，致使会消耗掉自己认知区域的密码池资源，会更趋向于设置重复使用过的密码、相似的密码（比如连续的月份或年份）。

2.4 密码安全仅需要关注设置安全密码

以获取电脑密码或系统登录权限为目标的内网攻击中，直接暴力破解电脑密码，早已不再是唯一的方法。通过电子邮件钓鱼、社会工程学、网页木马、恶意软件程序、终端操作系统及软件的0day漏洞等方式都可以达到窃取密码口令、获取系统权限的目的。因此，保障口令安全不仅需要设置安全的密码，还需要防范其他方式的网络攻击，谨慎对待电子邮件钓鱼、安全浏览网站，保持电脑操作系统、杀毒软件、其他应用软件为最新版本（打补丁能解决九成以上的安全问题），定期进行恶意程序扫描。

个人用户指南

3.1 切勿在普通网站使用办公帐户和密码

你肯定有很多对你来说重要的网站账户（比如电子银行、淘宝、支付宝、微信等），在每一个站点使用相对独立的密码，安全性更高。我们不建议你将办公账户密码应用于私人账户，比如使用办公邮箱注册并作为其他站点的账号、在个人论坛上使用OA系统相同的密码等，可能使你更容易受到攻击。

因此，作为一种遏制策略，请设置唯一办公账户密码，请勿在多个站点之间重复使用密码。

3.2 不要轻易泄露你的邮箱或账号信息

不要轻易告知他人，企业邮箱账号或有关内部办公系统有关的信息，这会减少账号密码攻击的难度。设置密保问题时，请使用仅且只有你个人才知道的密码答案，而不是使用你的部门名称、你的公司名称这样简单的公开答案。设置密码时，很有可能使用到跟你本人相关的单词信息（例如，你和家人的生日，儿女的乳名以及你喜欢使用的词语），切记要确保你的密码难以被猜中。

3.3 合理设置密码复杂度要求

大多数系统强制执行某种级别的密码复杂性要求（密码需要大小写字母、数字、可识别特殊字符三个类别的字符），而大多数人使用类似的模式（即大写字母位于第1位，符号位于最后位或者中间，数字位于后几位）、公司模式（以公司名称缩写+年份）或者个人模式（姓名缩写+出生日期），攻击者知道这些，因此他们使用常见的替代词来进行字典攻击，看似复杂的密码其实属于弱密码。

3.4 不要使用常用密码短语

设置密码时，请不要使用通用的密码、词语拼音或短语，它们更容易被破解。例如12345678、password、iloveyou、Jtyh@2019、1234!@#、jtyh@888，都是弱密码。

密码可以使用拼音词语或英语单词，但要使它成为你生活中独一无二的词语，既具有记忆性，又具有独特性, 你的公司名称、姓名缩写和生日可不行。

不要使用键盘序列密码。使用键盘上连续的按键设置成的密码，可能复杂但不足够安全。比如“1234qwer”、“1qaz@wsx”、“asdfjkl;”、“567890-=”。

3.5 小心可疑的电子邮件和网站

密码是什么都没有关系，因为如果你被网络钓鱼，那么恶意攻击者就能窃取它。因此，要时常注意可疑的电子邮件和网址链接，这些电子邮件和网址链接可能会诱使你点击，导致安装恶意软件或窃取你的密码凭据。注意以下事项：

• 谨慎打开点击电子邮件或文档中的网址链接
• 可以复制网址链接或在浏览器地址栏里直接输入网址可以避免一些钓鱼链接
• 常用网站（比如OA和邮箱），建立浏览器收藏标签，每次从标签页打开
• 在登录网站填写密码时，应注意查看网址是否正确

3.6 保持系统软件最新

保持你的操作系统、浏览器、杀毒软件和其他软件及时更新，以增强抵御常见恶意软件、网络钓鱼和其他常见攻击的能力。对于个人电脑，安装杀毒软件和及时补丁更新，能够抵御9成以上的攻击，包括可窃取密码的恶意软件或后门程序。

3.7 尽可能使用多因素认证

密码可能会被忘记或被泄漏，因此最好的选择是根本不使用密码，或者多一种认证手段，因此在生活中，如果条件允许，你尽可能使用比如手机短信验证码、指纹或人脸识别等（终端电脑推荐指纹识别）。

3.8 定期确认自己账号密码安全性

长期使用密码后，有可能出现密码泄露情况，如果使用办公帐户或邮箱注册其他类网站应用，也可能由于其他类网站用户数据泄露而导致自己的密码不再安全。

密码安全指导不建议经常进行密码更换，但鉴于密码在使用过程中会扩散或泄露，我们建议密码更换周期在6个月左右为最宜（如果保证密码足够复杂且未曾泄露，可以不修改密码）。

你设置新的密码是否安全，是否属于历史密码泄露数据库中的密码，你可以登录网站haveibeenpwned（https://haveibeenpwned.com/Passwords）网站进行检测（*其他社工库、tg机器人）。

3.9 提高警惕

利用社工方式获取企业内部员工账户密码，是对企业最有效的攻击方式，“不要因为别人请客一顿饭就出让你的密码”，所以应提高个人安全意识，日常应警惕索要密码行为，不与他人共享密码，注意账户密码重置邮件及其他网络钓鱼，如有发现类似事件，可以及时上报至IT运营管理部门。

“不要因为别人请客一顿饭就出让你的密码”

密码管理方法

每个人有保障自己的口令密码安全的责任，包括不设置空口令、安全设置密码、周期性更改、设置错误锁定等等，在密码安全设置方面的基本原则是“易于记忆而兼顾足够复杂”。

4.1 合理分类管理

可以在日常设置密码时，将办公使用的系统与个人注册网站应用分开，重要系统与普通系统分开。分别设置安全程度不同的密码。

• 将办公系统（OA、邮箱、VPN、财务管理等）独立设置密码
• 个人网购、电子银行、支付宝/微信、私人网盘等设置密码适当高要求
• 各类技术论坛、社区、招聘网站、短视频网站等普通类个人账户密码可以降低要求

4.2 密码管理

网站应用太多，密码太多难于管理，如何解决。可以使用类似Chrome浏览器的记住密码功能（Chrome低版本曾存在记住密码的漏洞），或者1password此类密码管理工具，为不同网站应用设置不同的复杂密码，使用此类工具进行管理，你只需要记住1个工具的打开密码。移动终端上推荐的有KeePass、AppLock、1password或者手机的记住密码功能等。

4.3 设置复杂度

密码设置推荐长度在8-12位之间，即安全又易于记忆，当然不适宜仅使用小写字母、数字，应该包含大小写字母、数字、标点符号（或可打印特殊字符）中两种以上。有一些特殊的技巧可以利用，比如符号变换、象形变换：

• 1337语言

1337语言传言是传说中的黑客语言，就像江湖人士的黑话一样（参考自行判断），通过对大小写字母转换成象形的数字或字符的变形，起到加密和不易被阅读的特点。比如通常可以如下转换列表，也可按照你自己的想法变化：

字符

0

1

2

3

4

5

6

7

8

|

a

b

c

d

F

G

H

W

X

P

S

t

变换

o

I/L

z

e

a

s

g

t/T

B

i/I

@

|3

（

oi

|=

6

|-|

vv

><

|*

$

+

因此，你可以利用你自己的想法去创造变换，比如“advanced search”可以变换成“4dV4NC3d 534RC|-|”。

• 密码生成工具

利用网上的在线或离线的密码生成工具，可选择包含长度、大小写字母以及可打印字符在内的选项进行生成足够复杂的密码，进行保存使用。不过类似密码通常难以记忆。

4.4 密码设置技巧

密码设置可以利用以下方法，结合字形变换，设置一个既复杂安全又易于记忆的密码。

• 喜爱的句子

找到一个生僻但易于记忆的短语或句子（可以摘自你喜欢的歌曲、小说或电影），然后创建它的缩写形式，其中可以包含大小写字母或数字或标点符号等。比如”我的女儿豆豆出生在9点15分”改写成密码“WnDDborn@9:15”，电影台词“听过很多道理,依然过不好这一生”改写成密码“Dhenduo!!!gbh1~”。

• 唐诗宋词八百首

从唐诗宋词中，选择背诵一首七言律诗，使用每一句变换进行设置密码，四句轮换使用也可以解决周期性修改密码的难题（请自己选择词句，网络上搜索到的例子已被各社工库登记，不再安全）。

例如选择唐代李商隐的《锦瑟》中“锦瑟无端五十弦，一弦一柱思华年”，改写成你的密码“Jswd50~#1~1!shn”。“娉娉袅袅十三余，豆蔻梢头二月初”可改写成密码“ppnn13%dkstFeb.1st”。

• 方言/外语

利用你的知识域，设置密码时可以使用一些非主流语言、利用英语与汉语拼音的转换、英语与汉语拼音的混用等等。比如将“2020年结婚”可以改写成“z0z0y3aR@結婚する”或者“Z0Z0Y3ar&jiehunshengzi”。

• 不易被猜测的常识

有些大众都了解的常识理论或知识，但不常被用于密码猜测，因为常识理论使资源池足够广，所以可以被很好的用于密码设置。比如可列举以下案例：

	常识知识	转化成密码
1	党的生日	[email protected]
2	浙江省会是杭州	ZJ3h^^^hangzhou
3	10月1日是国庆节	Holiday=10yue1 或者 Oct.1<guoqing>
4	女神刘亦菲	NvS,L1f.
5	2020是鼠年	2o2o=shuYe4r
6	要奔三了怎么办	30IScoming???
7	我忘记了我的密码	#Wwjlwdmm$

此文以企业中的实践指南，经过理想情况的演绎和修订，在实践中可能并不能全部实现，同时需要各种规章制度的约束和技术管理工具的结合，本指南仅供参考，实践意义自行评估。

来源：freebuf.com 2021-05-25 15:15:21 by: 两块