产品设计之密码安全
网络密码是网络安全的重要组成部分,如果个人密码遭到了破解,使用了正常的密码在做不正常的操作,将会引起非常严重的后果。
诚然,一些密码被破解问题和个人用户有不可推卸的责任,例如密码是生日或是111111或123456类似比较简单的密码,还有就是本身电脑中了记忆键盘敲击木马或是其他木马,本身的电脑安全就有问题,但是,在给个人用户积极做密码防盗的知识同时,从网站策划的角度来说,网络安全也应该通过技术的手段,去防范以及引导用户加强对密码的安全意识。
简述下目前的几种方法。
1.避免用户输入简单密码
简单的密码很容易被密码穷举类软件暴力破解,在用户设置密码的时候,要提示或引导用户输入比较复杂的密码。例如可以使用以下几种策略:
1)密码长度必须大于6位。
2)密码不能使用纯数字密码。
3)提示密码安全级别。
4)用户名密码不能相同。
2.使用软件盘输入密码
在密码输入框旁边设置软件盘输入,这样可以有效避免通过击键记录破解密码。
3.密码传输加密
提供了密码安全控件,该安全控件实现了在SSL加密传输基础上对用户的关键信息进行再次的复杂加密,并可以有效防止木马程序截取键盘记录。
4.数字证书
通过电脑安装数字证书,确保只有使用数字证书的用户才可以登录系统。
5.动态口令
实现动态口令有三种方式:
卡片式动态口令卡
短信动态口令
硬件设备动态口令
6.USB KEY
使用硬件设备USB KEY确保密码安全。
其中1,2,3是比较简单容易实现的,4,5,6要根据密码的重要程度,以及用户对安全意识的重要性,去决定用什么方式去实现。
