不管是个人用户,还是企业,网络安全都是一个不能忽视的话题,但是关于网络安全的信息都有很强的时效性,今天采取的安全措施有用,明天可能就不起作用了。
在互联网上,充斥着许多关于网络安全、保护隐私的“野知识”,这些知识可能是从远古时代的书籍上被上传到网络上,也可能是来源于个人经验吸取的一些错误教训。
一些普通大众沉迷于这些方法,他们认为这些方法有效,可以保护自己的账号不被窃取盗用,有一些保护网络安全的知识,甚至已经成为了某一些公司的制度。
误区一:定期修改密码
1960年,著名计算机科学家费尔南多·科尔巴托将“密码”部署到相容分时系统后,正如他本人所承认的那样,密码安全成了网民的噩梦,但我们也不得不承认,这是一项伟大的进步。
从那时起,关于如何使用、保管以及更改网络密码的各种建议,或者关于密码相关的公司制度一直在传播。
技术水平的限制,决定了我们该如何管理自己的密码。比如互联网早期,密码系统限制了字符的数量和类型,密码不能包含各种各样的符号,用户为了记忆方便,使用短密码的现象非常普遍,这才出现了很多平台要求用户“定期修改密码”的现象。
现代操作系统和安全系统,已经让设置短密码和定期修改密码过时了。不过个人用户设置电脑的登录密码,可能会使用短密码。一些银行、电子商务网站的服务系统,也会使用短密码,这些安全系统可能因为糟糕的软件设计,或者出于对跨站脚本攻击、SQL注入的恐惧,不得不对密码的设置进行限制。
这种限制无疑会降低密码的复杂性,削弱其安全性。
如果密码系统没有限制,我们应该设置一个足够长、复杂且对自己来说容易记住的密码,而不是设置一个短密码,定期去更改它,这样只会让密码更难记住。
误区二:不使用双因子验证
一般来说,有三种不同类型的证明,可以证明一个人的身份:
- 只有自己知道,别人都不知道的信息,比如密码
- 自己的私人物品,比如手机号码、身份证
- 个人生物信息,比如指纹、人脸、虹膜
双因子验证指的是,同时需要两个因素满足,请求才能被通过的方法。最常见的双因子验证比如网上银行的U盾,用户只有插上U盾,同时输入密码才能登录网上银行。
再比如在不常用的手机上登录微信时,输入手机验证码的同时,还可能需要好友辅助验证,或者用旧手机的微信扫码。
国内许多网站在输入密码的时候,也会要求用户提供短信验证码,这些都是双因子验证的例子。
很多人认为双因子验证不安全,比如易受中间人攻击、会被钓鱼等等,碍于成本、用户体验等因素,不使用或不强制用户使用双因子验证,这种做法是十分错误的。
实际上不采用双因子验证所带来的隐含成本远远比采用双因子验证所需要的成本高得多。对于黑客对常见云服务进行暴力破解,双因子验证可以使90%的尝试失败,另外10%只会导致潜在的可恢复的拒绝服务。
除了以上这两种,你还见过哪些看似安全的做法,其实没什么用呢?
转载请注明:IT运维空间 » 安全防护 » 你还在“定期修改密码”?这些看似很安全的做法,其实都没什么用
发表评论