今天是學習防禦密碼破解技術的第二天，要來學習放在密碼的存儲和保護技術，並探討一些實際應用中的安全措施，有效防止駭客從資料洩漏中，輕易獲取密碼。

密碼保護的常見技術

1. 加強密碼政策與密碼管理
   密碼的強度取決於其長度、複雜性和獨特性，因此設定強密碼政策是抵抗破解攻擊的第一步。需要帳號密碼登入的網頁為了降低風險，會要求使用者創建包含大小寫字母、數字和特殊符號的長密碼，並定期更改密碼。而密碼重複使用在不同平台或網站中，也容易出現資安問題，因此應該要避免相同的密碼出現在多個平台中。企業可以實施強制策略來提高整體密碼安全性，並配合密碼管理工具，幫助使用者妥善保存和設定複雜密碼。
   

2. 雙因素驗證（2FA）與多因素驗證（MFA）
   雙因素驗證和多因素驗證是對密碼進一步的保護，要求使用者除了輸入密碼外，還需要提供其他身份驗證方式，如手機驗證碼、指紋、或臉部辨識。即使密碼被盜，攻擊者也無法單靠密碼登入帳號，因為缺少第二或第三層驗證。這種驗證方式能夠大幅增加破解帳號的難度，有效防止暴力破解。
   

3. 密碼雜湊的最佳實踐：PBKDF2、bcrypt、scrypt
   在密碼雜湊技術中，選擇合適的算法至關重要。在昨天內容中所提到的 PBKDF2、bcrypt 和 scrypt 這些算法，它們不但內建加鹽和延遲計算的特性，還能動態調整計算次數，確保在未來的硬體性能增強時依然保持安全性。這些算法的選擇不僅影響系統性能，也直接關係到密碼存儲的安全性，開發者可以根據應用場景選擇適合的算法並調整相關參數。

4. 密碼儲存的風險與應對措施
   在系統設計中，避免將密碼明文儲存在伺服器是至關重要的安全考量。所有密碼應以安全的哈希算法處理並儲存。即使資料庫被入侵，駭客也無法直接獲取使用者的明文密碼。除了加鹽和延遲技術，對資料庫本身也需進行多層次的防護，如加密存取、權限管理和異常行為監控等，這些措施能進一步防範資料被竊取或篡改。

圖片來源:
https://arevtech.com/new-guidelines-end-frequent-password-changes/
https://simular.co/blog/post/76-2fa-mfa