让自己成为合格“密码控”

我们生活在一个密码的时代，每天的工作、生活都会离不开密码。网上购物在线支付时需要密码，股票在线交易时需要密码，登录系统、打开屏保需要密码，访问电子邮件、进行在线聊天也要密码，甚至，系统中的一些重要文档还开启了打开权限密码和修改权限密码。在形形的密码面前，我们该如何才能让自己成为一名合格的“密码控”呢?

密码为何被破

不少用户在设置密码时，只追求方便记忆，而没有做到难以破译的要求。恶意用户一旦成功破解访问密码，轻则造成个人隐私信息、重要文档或敏感图片对外泄露，重则能给单位带来严重的经济损失；而且，对于单位用户来说，恶意用户还能将木马、后门程序植入到局域网重要主机系统，将它们变成黑客的肉鸡，从而能对整个网络进行控制，最终给单位带来无法估量的损失。为了阻止恶意用户轻易破解密码，我们一定要学会正确设置密码。

首先要严格禁用一些暴力破解工具能轻易破解的简单密码。很多人都自以为是，认为自己设置的密码，既方便记忆，又能保护安全；事实上，在那些专业密码破解工具面前，这些密码几乎不堪一击，根本达不到任何安全防范目的。一般来说，下面一些密码内容，很容易被专业密码破解工具快速破解：

一是与用户名关联的密码。主要包括用户名与密码相同，用户名中的几个字符为密码，用户名加前后缀或颠倒后为密码这几种情况。对于密码和用户名相同的情形，几乎所有的恶意攻击者，都会首先尝试以用户名作为破解密码的突破口，这种类型的密码简直形同虚设。如果密码设置为用户名中的某几个字符的话，那么密码内容的长度是有限的，而暴力破解工具对位数很少的密码，破解起来效率是最高的。要是将用户名仅作加前后缀或颠倒处理就成为密码的话，那么恶意攻击者会尝试以用户名为基础，以用户比较常用的变换方法来猜测破解密码，这种破解密码的时间也是很短暂的。

二是存在连续相同字符的密码。这主要包括密码内容有连续相同的数字，或者有连续相同的字母。这些类型的密码往往被黑客列为最先破解的密码，如果密码被设置为333333、444444或aaaaaa、bbbbbb之类的内容时，黑客利用破解字典就能在瞬间将其破解成功。

三是将自己的个人信息作为密码。例如，将自己的姓名或出生日期作为密码，或者将自己家人或亲近人的身份信息作为密码。要是用姓名作为密码，那么支持百家姓列写功能的破解工具，可以很轻松地将这类密码破解掉；而且，以姓名作为密码的还存在另外一种威胁，黑客或别有用心的人一旦知道自己或家人的真实姓名，那么他们不需要破解工具，直接用自己的姓名来试密码。如果密码内容为自己或亲友的生日，考虑到月份只有12个数字可以使用，日期也最多只有31个数字可以使用，它们组合在一起有74400种结果，普通计算机最多只要10秒钟就能将这么多结果逐一测试一遍。

四是仅以英文单词作为密码。如果密码内容只有英文单词，而没有其他字符参与组合的话，那么使用加挂包含20万多个英文单词及相应组合字典库的破解工具，最多两分钟就能将这类密码内容破译出来。

五是字符位数不多的密码。密码长度如果低于6位，那么其内容不论是数字还是字符，甚至是数字或字母的组合，它们的组合结果也只有不到一亿种，黑客工具充其量只会消耗几个小时就能完成密码破译任务。

如何设置密码

既然弄清楚了上面几种密码比较容易破解后，那么日后我们在设置密码时，一定要考虑全上面的多项因素，确保密码设置得足够强壮，以便在某种程度上抵挡破解工具的暴力轰炸：

首先保证密码长度超过8位。虽然密码位数越短越容易记忆，但是对于安全要求比较高的用户来说，千万不能将好记忆放在第一位，而应该保证字符位数在8位以上，当然也不能设置得太长，太长则不方便记忆，尽量在8-12个字符以内。

其次要用组合方式设置密码内容。必须使用字母、符号、数字等字符相结合的方式，来设计密码内容，例如，可以使用的字符类型包括26个小写字母、26个大写字母、10个阿拉伯数字、Unicode、非字母数字字符等；当然，在进行组合式设计密码时，也要考虑到记忆的方便性，比方说可以用谐音来组合密码，例如，*xiang4cheng(心想事成)，这种组合设计出来的密码就比较容易记忆了。

第三要注意密码设计的不规则性。对于一些规则性的密码内容，例如，使用常见的单词，或自己的个人信息等，一些加挂字典的破解工具能很轻松地将它们破译出来；为此，我们必须打破常规，使用一些不规则的数字、词语、符号来进行相对复杂的组合，以此降低破解的成功率。

第四要在不同场合使用不同密码。网络环境中需要输入密码的场合很多，用户在设置这些密码时，千万不能图方便而将所有场合的密码内容设成一样的，否则黑客一旦在一处得手，那么在其他场合就会一路绿灯，这是因为黑客会首先用已破译的密码尝试着解开其他场合需要输入的密码，要是密码内容全部相同的话，黑客就会给自己带来很大的麻烦，严重的时候，能给自己带来不可估量的损失。此外，还需要注意的是，密码不能和别人的设置得相同，也不能和其他人共用一个密码。

第五善于借助外力生成高安全密码。密码在网络环境中扮演着十分重要的角色，密码的设置对用户提出的要求，不仅仅是数量问题，而且还有质量问题，要让黑客无法轻易猜测到，也不能轻易破解掉。要是每次设置密码总觉得十分麻烦，而且也无法判断它的强壮性时，可以考虑借助外力来随机生成高安全性的密码。例如，可以访问http：//www.省略／mine／generate-rand-password网页(如图1所示)，设置好密码的长度、密码类型等参数，再按下“点击生成随机密码”按钮，就能轻松获得十分健壮的密码内容了，日后我们再也用不者绞尽脑汁地编写密码内容了。当然，网络中也有一些专业的密码生成工具，利用它们也能轻松生成比较复杂的密码内容。

测试是否安全

不管密码内容是自己设置的，还是借助外力随机生成的，相信多数人对密码内容的安全性总感觉到心里没底，无法确认它们是否足够健壮，黑客破译它们究竟有多大难度。为了知己知彼，我们必须学会测试密码内容的健壮性。

检测破译难度

许多专业的密码破译工具几乎都采用暴力破解方法，来尝试破译密码，也就是说，它们通过内置的密码字典或者专业字典生成工具生成的密码字典，借助加挂方式，对密码内

容进行计算破译。所以，密码内容设置得是否健壮，直接决定着黑客破译密码的难度。根据一份权威测试数据，我们了解到密码为8位以下的纯数字内容时，暴力破译工具最多耗费1秒钟的时间，就能将密码内容破译出来，如果是8位以下的纯字母内容时，最多只要5小时完成破译任务，8位以下的字母大小写组合密码需要61天才能被破译，8位以下的字母数字组合密码需要252天才能被破译，8位以下的数字、字母以及特殊字符组合密码需要3年的时间才能被破译，如果这种组合式密码的长度达到10位，那么暴力破解工具必须要耗费17000年的时间，才能将密码内容破译出来。很显然，密码内容的组合方式越复杂，密码的位数越长，那么密码暴力破解工具破译难度就会越大，成功破译需要耗费的时间就会越长。

如果想测试自己密码的破译难度时，可以访问http：//www.省略／m-m／m-m.htm页面，在其中的密码文本框中输入自己设置的密码内容(如图2所示)，按回车键后，网页就会返回自己设置的密码内容，究竟需要多长时间能被暴力破解工具成功破译。当然，借助该网页在线测试破译难度的功能，我们可以分别对纯字母、纯数字、字母数字组合、字母大小写组合、数字字母特殊字符组合等几种类型的密码进行在线测试，看看相同长度的密码内容，究竟哪种类型的密码破译起来最耗费时间。经过反复实践测试，我们会发现密码长度在8位以上，密码类型为数字字母特殊字符组合的，破译起来难度最大，因此将密码设置成这样的内容，可以保证密码的健壮性是最高级别的。

检测安全程度

除了测试密码的破译难度外，还有许多网站可以测试密码的安全程度，它们能够直接返回一个具体的分值，来直观反映密码内容的安全等级。例如，当我们想测试自己密码的安全程度时，可以打开http：//www.passwordmeter.省略站点页面，按下其中的“DownloadLastpass”按钮，选择好适合本地计算机的操作系统和浏览器，将目标工具安装程序成功下载下来。在安装该程序的时候，选择好浏览器和安装语言，之后按照向导提示，输入电子邮件账号、登录密码、密码提示问题，选择好所有的默认选项，当安装向导弹出是否允许目标程序在本地系统中查找不安全信息的提示时，一定要进行肯定回答，这样LastPassI具就会自动扫描本地系统，将存储在本地硬盘中的所有不安全密码扫描出来，同时将这些不安全的密码集中导入到LastPassI具。接着，LastPassI具会询问用户是否要将这些不安全的密码从本地硬盘中删除干净，此时必须选择“是的，移除所有已导入到LastPassI具的项目”，最后按“完成”按钮结束程序的安装操作。下面，切换到LastPass程序界面，单击工具栏中的“登录”按钮，输入之前设置的登录密码，登录成功后LastPass会自动提示用户存储相关密码；而且，该工具还能通过账号设置、添加安全提示、填写表单等形式，灵活地为用户提供密码服务。日后，不管用户是升级操作系统还是更换浏览器，只要将登录LastPass账号的密码记牢即可，登录成功后可以随意调用事先已经存储的各种复杂密码了。

使用移动盘管理系统登录密码

为了避免恶意用户趁系统主人不在时，偷偷登录系统访问隐私数据，不少用户都为自己的系统设置

了比较复杂的登录密码；不过，如此复杂的登录密码时常也会给系统主人带来麻烦，比方说，系统主人要是隔了很长时间不登录系统时，他们下次再尝试登录系统时，就有可能会忘记复杂的系统登录密码。面对这样的麻烦，我们该怎样才能顺利登录系统呢?其实，利用WindoWS 7系统自带的“创建密码重设盘”功能，生成一个登录系统的密码重设盘，日后一旦忘记系统登录密码时，只要插上密码重设盘，重新更改系统登录密码就能解决上述麻烦了。在使用移动盘管理系统登录密码时，不妨按照下面的操作来进行：

首先在Windows 7系统桌面中依次点选“开始”I“控制面板”命令，在系统控制面板窗口中点击“用户账户”选项，切换到用户账号管理界面，按下左侧任务栏中的“创建密码重设盘”按钮，弹出密码重设盘创建向导对话框；

其次单击向导框中的“下一步”按钮，打开如图5所示的设置界面，插入空白移动盘到本地系统中，选中目标移动盘对应的分区符号，再输入此刻的登录账号名称与密码，这样“创建密码重设盘”功能就会自动将系统正常状态下的用户登录信息存储到指定移动盘中了。日后，只要插入密码重设盘，我们就能看到“重设密码”的提示，依照提示设置一个新的登录密码，同时用新的密码就能顺利登录系统了。

如何保护密码拒绝自动存储密码

很多时候，密码会被系统自动存储，虽然这有利于提高登录效率，但是这么一来再复杂的密码，也将无法发挥安全防护作用。为此，我们可以按照如下设置操作，来禁止系统自动存储密码：

首先逐一点选“开始”I“运行”命令，打开系统运行文本框，在其中执行“services.msc”命令，弹出系统服务管理界面；双击其中的“ProtectedStorage”服务，切换到对应服务的属性设置框，单击常规标签页面中的“停止”按钮，临时停用目标系统服务，再将该服务的启动类型调整为“手动”，按“确定”按钮保存设置操作；

其次执行“gpedit.msc”命令，切换到系统组策略控制台窗口，将鼠标定位到“计算机配置”I“Windows设置”I“安全设置”I“本地策略”I“安全选项”节点上，在目标节点右侧区域双击“网络访问：不允许存储网络身份验证的密码和凭据”组策略，打开如图6所示的组策略属性对话框，将“已启用”选中，同时按“确定”按钮返回，这样系统日后就不会自动存储密码了。

定期变化密码内容

一直固定不变的密码内容十分危险，毕竟随着时间的推移，密码内容被破译或外泄的机率也会不断增强。因此，为了保护重要主机系统的登录安全，我们应该定期变化密码内容。

例如，在Windows 7系统中，我们可以逐一点选“开始”I“运行”命令，打开系统运行文本框，在其中执行“gpedit.msc”命令，弹出系统组策略控制台窗口；将鼠标定位到“计算机配置”I“Windows设置”I“安全设置”I“账户策略”I“密码策略”节点上，在目标节点右侧区域，我们就能自由定义密码的相关策略了。

要强制系统定期变化密码内容时，只要双击“密码最长使用期限”组策略，切换到对应组策略属性对话框中(如图7所示)，在其中设置好密码变化的间隔时间，例如输入“30”，按“确定”按钮后，系统会每隔30天就提示用户立即更改密码内容。

防止使用空白密码

很多用户为了便于登录系统，往往会将登录密码调整为空白，以后不要输入密码就可以直接进行登录操作了。然而，设置了空白的系统登录密码，容易给系统登录或网络访问带来潜在的安全威胁，所以，在一些注重安全的工作场合，我们应该按照下面的操作，严格禁止使用空白密码：

首先打开本地系统“开始”菜单，选择“运行”选项，切换到系统运行文本框，在其中执行“gpedit.mse”命令，弹出系统组策略控制台窗口；将鼠标定位到“计算机配置”I“windows设置”I“安全设置”I“本地策略”I“安全选项”节点上；

其次在目标节点下双击

“帐户：使用空密码的本地帐户只允许进行控制台登录”组策略，打开如图8所示的组策略属性对话框，将“已启用”选项选中，再按“确定”按钮执行设置保存操作，这样用户日后即使使用了空白的登录密码，他将无法进行各种常规操作。

快速删除访问密码

很多人在初次连接网络时，都会将登录账号与密码保存下来，日后不需重复输入密码，就能进行自动连接了。可是，在公共场合下，存储在计算机中的各种网络连接账号与密码比较被他人发现，从而可能给网络连接带来安全威胁；所以，为了保证网络连接安全，我们可以按照下面的操作，来快速删除各种已经存储了的连接账号与密码了：

首先逐一点选“开始”I“控制面板”选项，弹出系统控制面板窗口，双击其中的“用户账户”图标，点击用户账户管理界面左侧任务栏中的“管理您的凭据”按钮；

其次选中显示在列表中的目标网络连接账号名称，按下“删除”按钮，这样对应网络连接的账号与密码就能自动被删除了；同样地，将其他一些重要的网络连接访问账号与密码也快速删除掉，避免其他人通过专业工具窃取重要密码。