出於書本 Chapter 7. Passwords

因應對策

一開始書上舉了最簡單的例子便是「建議使用者為不同的系統建立不同的密碼」，但缺點便是要想辦法記下這群密碼，直覺可能是暫時的抄在某個地方，但就不是一件好事情。

密碼的強度是很重要的，但是也不太可能期待使用者都記住霹靂無敵複雜的密碼，或者每一兩週就去更新密碼。反過來說，也不可能為系統設定強度很低的密碼，或是乾脆不要設定。也就是 必須要在**安全性與便利性**之間取得平衡

密碼保存

將密碼鎖在安全的地方，或是記錄在加密的檔案或是資料庫裡。其中一個可以使用 PGP (Pretty Good Privacy) 加密軟體進行加密。

不要再把密碼抄在 N 次貼上了

管理策略

可以向使用者展示如何建立較為安全的密碼，強度較強的密碼會遵循以下原則

• 至少大小寫字母與數字混用
• 不要用有意義的單字或單字做為密碼
• 至少半年或是一年變更密碼
• 每個系統都使用不同的密碼，而且長度不相同
• 不要用與英文字母長相相似的數字代替字母，比如 password ⇒ pa55word 等
• 更換密碼時，至少在輪替過四組或五組之後在重複使用。
• 使用有密碼的螢幕保護程式
• 千萬不要與人分享密碼
• 避免將密碼放置在不安全的地方，比如沒有加密的表單上。

還有教育使用者如何避免被社交工程攻擊。

其他對策

• 使用安全性稽核方式來監控以及追蹤攻擊
• 使用工具來檢查是否有密碼被永久存放在記憶體或是硬碟裡，或是安裝防毒與反間諜程式保護系統
• 保持系統都有被 Patch
• 定期關閉或是刪除太久沒有被使用的使用者帳號
• 開啟連續嘗試密碼Ｘ次後就鎖住使用者帳號
  • 如果有設定自動重置密碼的功能，重置的週期不要設定太短，30 分鐘蠻剛好的
• 更強的認證 (authentication) 方式，像是 challenge/response、token 或是數位簽章

保護作業系統

以 Linux 與 UNIX 系統來說，可透過以下幾種方式來預防密碼攻擊

• 確保系統使用 shadowed password [1]
• 避免弱密碼在系統中被建立，可以使用作業系統裡內建的 password filtering 或是其他密碼稽核程式。
• 確認沒有重複的 root UID 在 etc/passwrd 檔案裡

終於把這章文字的部分給讀完了，明天想裝個密碼破解軟體試試。

[1] shadowed password，簡單的說是指真正的密碼被存放在另外一份檔案，原本的 /etc/passwd 沒有包含密碼資訊 (參考這裡)