出於書本 Chapter 7. Passwords
因應對策
一開始書上舉了最簡單的例子便是「建議使用者為不同的系統建立不同的密碼」,但缺點便是要想辦法記下這群密碼,直覺可能是暫時的抄在某個地方,但就不是一件好事情。
密碼的強度是很重要的,但是也不太可能期待使用者都記住霹靂無敵複雜的密碼,或者每一兩週就去更新密碼。反過來說,也不可能為系統設定強度很低的密碼,或是乾脆不要設定。也就是 必須要在**安全性與便利性**之間取得平衡
密碼保存
將密碼鎖在安全的地方,或是記錄在加密的檔案或是資料庫裡。其中一個可以使用 PGP (Pretty Good Privacy) 加密軟體進行加密。
不要再把密碼抄在 N 次貼上了
管理策略
可以向使用者展示如何建立較為安全的密碼,強度較強的密碼會遵循以下原則
- 至少大小寫字母與數字混用
- 不要用有意義的單字或單字做為密碼
- 至少半年或是一年變更密碼
- 每個系統都使用不同的密碼,而且長度不相同
- 不要用與英文字母長相相似的數字代替字母,比如 password ⇒ pa55word 等
- 更換密碼時,至少在輪替過四組或五組之後在重複使用。
- 使用有密碼的螢幕保護程式
- 千萬不要與人分享密碼
- 避免將密碼放置在不安全的地方,比如沒有加密的表單上。
還有教育使用者如何避免被社交工程攻擊。
其他對策
- 使用安全性稽核方式來監控以及追蹤攻擊
- 使用工具來檢查是否有密碼被永久存放在記憶體或是硬碟裡,或是安裝防毒與反間諜程式保護系統
- 保持系統都有被 Patch
- 定期關閉或是刪除太久沒有被使用的使用者帳號
- 開啟連續嘗試密碼X次後就鎖住使用者帳號
- 如果有設定自動重置密碼的功能,重置的週期不要設定太短,30 分鐘蠻剛好的
- 更強的認證 (authentication) 方式,像是 challenge/response、token 或是數位簽章
保護作業系統
以 Linux 與 UNIX 系統來說,可透過以下幾種方式來預防密碼攻擊
- 確保系統使用 shadowed password [1]
- 避免弱密碼在系統中被建立,可以使用作業系統裡內建的 password filtering 或是其他密碼稽核程式。
- 確認沒有重複的 root UID 在
etc/passwrd
檔案裡
終於把這章文字的部分給讀完了,明天想裝個密碼破解軟體試試。
[1] shadowed password,簡單的說是指真正的密碼被存放在另外一份檔案,原本的 /etc/passwd 沒有包含密碼資訊 (參考這裡)