如何在“两会”时期保护好你的账户密码？

密码有时我们也称之为“口令”，是我们在网络环境中登录各类系统和服务时证明身份的最常用方法。因此，使用强密码对于保护组织和个人的安全和身份至关重要。如果恶意或未经授权的人拥有合法的用户名和密码，世界上再好的安全措施也将变得毫无用处。

在去年11月30日，公安部在京召开“公安心向党 护航新征程”主题新闻发布会上，公安部网络安全保卫局副局长、一级巡视员李彤提到，要高度重视“两高一弱”的问题，即高度重视高危漏洞和高危端口，这是“两高”，“一弱”就是弱口令这样的问题，加强防火墙和安全软件管理，合理分配员工权限，升级多层次的密码保护，加强软件和设备防护，防止黑客入侵系统。

然而，密码口令的生成和使用并且没有一个统一的硬性规定必须适用于不同的业务场景。在我们日常工作生活中，在我国则参照等级保护的基线要求。然而，等级保护对应标准要求，并未给出所有行业的具体的要求细节，这个需要我们结合当下业务场景和技术要求合理保护账号密码。从身份鉴别的角度以三级等级保护要求为参考：

密码（口令）通常与用户名（账户）一起使用。也可以与其他识别方法一起使用，例如单独的PIN和/或由电子令牌或键盘生成的易记信息或字符（称为多因素身份验证）。

弱密码（口令）的风险

冒充单位或员工进行欺诈和其他犯罪的人，包括：

• 访问银行和其他在线账户。
• 以单位的名义在线购买商品。
• 在社交网络平台上冒充企业或员工。
• 以单位或员工的名义发送电子邮件
• 访问网络上保存的数据。
• 入侵网站。

推荐实践：

• 始终使用密码，使用高强度密码。
• 为电子邮件账户使用一个单独的强密码。
• 要创建一个强密码，可以选择三个随机单词。如果我们觉得需要创建一个更强的密码，或者我们为其创建密码的账户需要的不仅仅是字母，则可以使用数字、符号和大小写组合。
• 可以考虑以下建议：

• 选择至少包含八个字符的密码（多多益善，越复杂越安全，因为更长的密码更难被犯罪分子猜出或破解），大小写字母、数字和键盘符号的组合，例如 @# $ % ^ & * ( ) _ +。
• 其他人不知道的歌曲或诗词中的一行（特别适用于中国古诗）。
• 别人母亲的娘家姓（不是你自己母亲的娘家姓）。
• 选择你知道的一句话，然后从每个字拼音中规律的取一个字母。

不推荐实践：

• 使用以下密码：

• 用户名、真实姓名或公司名称。
• 家庭成员或宠物的名字。
• 自己或家人的生日。
• 最喜欢的球队或其他单词，只需一点背景知识即可轻松解决。
• “password”这类词本身。
• 数字序列，例如8个纯数字等。
• 一个普通的字典单词，可以被普通的黑客程序破解。
• 选择数字密码或 PIN 时，请勿使用简单的升序或降序数字（例如 4321或12345）、重复数字（例如 1111）或易于识别的键盘图案（例如 14789 或 2580）。

保护账户密码

• 切勿将密码透露给其他任何人。
• 发现密码可能存在泄露时请立即修改密码。
• 请勿在他人可以看到输入内容时输入密码。
• 为每个网站或应用使用不同的密码。
• 不要重复使用密码（例如密码 2、密码 3）。
• 如果我们必须写下密码才能记住密码，至少要通过一层转写（将密码中的字符替换为可以记住或很容易解决的其他字符）来确保不能被其他人猜出来。
• 使用在线密码保险库或保险箱记录密码。
• 不要通过电子邮件发送密码。

我们应该为每个账户使用不同的密码，当然这自然会引发我们记忆困难的问题，不过在安全与记忆之间需要找到平衡和技巧，每一个人可以找一个适合自己记忆的方法。

密码管理器

可以采用密码管理器进行对密码管理，同时要严格保护密码管理器的主密码，若有可能建议实现双重身份验证 (2FA) 。

账户安全

原文始发于微信公众号（祺印说信安）：如何在“两会”时期保护好你的账户密码？