選取安全密碼

Overview

發佈日期: 2003 年 5 月 22 日 |更新日期: 2006 年 4 月 13 日



本頁內容

簡介
開始之前
為您的組織開發密碼原則
相關資訊

簡介

雖然目前有許多驗證使用者的替代方法出現,但大部分的使用者仍以在鍵盤上鍵入使用者名稱和密碼的方法,登入電腦和遠端電腦。有許多加入更多安全技術 (例如生物統計學、智慧卡和一次性密碼) 的產品,可供一般作業系統使用,但事際上,大部分的組織依舊依賴密碼功能維護安全性,而未來幾年仍是如此。使用者因應工作需求,時常有不同的電腦帳戶,例如手機帳戶、銀行帳戶、保險公司帳戶等等。為了要方便記憶,使用者時常在不同的系統中用相同或相似的密碼;並且在選擇密碼時,大部分的使用者會選擇一個非常簡單又好記的密碼,例如生日、母親或親戚的名字。相對的,又短又簡單的密碼則容易被攻擊者破解。一般攻擊者用來破解受害者密碼的方法如下:

  • 猜測 — 攻擊者不斷重複地登入使用者帳戶,輸入使用者小孩生日、出生城市或支持的球隊名稱等等,加以猜測密碼。

  • 線上字典攻擊 — 攻擊者使用包含字彙的文字檔的自動程式。這個程式會不斷重複登入目標系統,並且每次從文字檔中使用不同的字彙登入。

  • 離線字典攻擊 — 相似於線上字典攻擊,攻擊者會複製使用者帳戶及密碼的雜湊和加密複本檔案,然後使用自動程式來破解每個帳戶的密碼。只要攻擊者一取得密碼檔案的複本,這類的攻擊行動就會很快地完成。

  • 離線暴力攻擊 — 這是字典攻擊的變異方法,主要功能為破解可能不包含上述攻擊中文字檔的密碼。雖然暴力攻擊也可以在線上執行,但由於網路頻寬和延遲的因素,所以攻擊者通常都是執行目標系統密碼檔案的複本加以破解。在暴力攻擊中,攻擊者所使用自動程式,會產生所有可能密碼的雜湊或加密值,並與密碼檔案中的數值相比較。

每個攻擊行動都可以藉由強性密碼大幅地減緩,甚至成功地阻擋。因此,電腦使用者應該儘可能在他們的電腦帳戶上使用強性密碼。使用以 Microsoft® Windows NT® Windows 版本的電腦,皆支援強性密碼,這些版本包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server™ 2003。Windows 中,一個強性密碼即為內含以下五組「字元類別表格」中,至少三組字元的密碼。

字元類別

群組

範例

小寫字母

a、b、c 等

大寫字母

A、B、C 等

數目字

0, 1, 2, 3, 4, 5, 6, 7, 8, 9

非英數字元 (符號)

( ) ` ~ ! @ # $ % ^ &amp; * - + = | \ { } [ ] : ; " ' < > , . ? /

Unicode 字元

€、Γ、ƒ 和 λ


注意:空白字元並不包含在這五組字元中,也不算在密碼的複雜性需求當中。

一些特定較機密的帳號,如系統管理員、資深的執行者或用來執行關鍵網路服務,所使用的密碼應該由四個甚至五個字元群組組成。另一方面,人們使用的密碼必須容易記憶,因為倘若遺失了執行人員或是關鍵系統管理員帳戶密碼,可能會造成很大的影響。這份文件說明在 Windows 系列的作業系統中儲存密碼的方法,並指導「系統管理員」如何增強密碼安全性。

藉由思考有關片語詞組 (而非密碼) 的問題,可以解決這些相互衝突的需求。有支援強性密碼 Windows 版本,皆支援在帳號密碼中使用空白與標點符號。舉例來說,「I re@lly want to buy 11 Dogs!」是個有效的密碼片語詞組。這句擁有多達 20 個字元,是一句很長的片語詞組,內容由五個群組中的四個群組字元組成。而且容易記憶!大部分的密碼破解工具都假設密碼不會超過 14 個字元,那是因為 DOS 網路開機磁片、Microsoft 遠端安裝服務 (Remote Installation Services,RIS)、Pre eXecutable Environment (PXE) 開機磁片與早期LAN Manager 用戶端,都如此設定。一個不具複雜性,但很長的密碼 (大於 14 個字元,最長達 128 個字元),也可以是保護機密密碼免於破解危險的最佳方法。

注意:請不要使用這份文件中的範例密碼。雖然上述密碼「I re@lly want to buy 11 Dogs!」又長又複雜,但攻擊者可能會新增這份文件中的範例密碼到他們的攻擊工具中。

如果系統管理員必須沿用傳統系統、RIS 或其他類似的需求,抑或只是單純不想使用太過冗長的密碼,那麼使用較短並具有複雜字元的密碼,也是不錯的保護方式。然而請記住,密碼越長,就越難被破解。同時增加密碼長度複雜度,則是最難破解的密碼。建立組織內的密碼原則,加以保護使用者避免攻擊者的模擬,進而保護組織內機密資料免於遺失、曝光或是毀損。

這份文件說明儲存密碼於 Windows 系列作業系統的方法,並指導「系統管理員」如何增強密碼安全性,且說明使用者如何新增一個又複雜又容易記憶的密碼。

本文件包含下列各個主題的資訊與指南:

  • 密碼破解的額外細節。

  • Windows 如何儲存密碼 (其中包含 LAN Manager (LM) 雜湊與 NTLM 雜湊的資訊)。

  • Unicode 字元的說明和輸入 ALT 鍵組合來使用 Unicode 字元。

  • 傳統系統 (例如 Windows98) 的需求。

  • 在組織內建立一套密碼原則。

  • 向一般使用者說明密碼複雜性:內文可供您自訂修改,並發送給組織內的工作人員。

  • 額外資源:包含相關資訊的連結網站,可以協助您在組織內建立強性密碼原則。


開始之前

進行建立密碼原則的討論前,確實瞭解 Windows 作業系統系列如何建立和儲存密碼雜湊是很重要的。如果可以完全瞭解跟密碼複雜性相關的觀念,對您會很大的助益,例如亂度、Unicode 字元,以及 ALT 字元。

Windows 的密碼儲存

依預設,Windows NT 4.0、Windows 2000、Windows XP,以及 Windows Server 2003 從不用純文字儲存使用者密碼。相反的,是使用兩種不同的密碼表示法,也就是一般所謂的「雜湊」來儲存。第一種 LAN Manager (LM) 雜湊跟第二種 NTLM 雜湊比起來較不安全。儲存兩種表示法的原因是,舊版應用程式和作業系統的相容性的問題,例如 Windows 98。

LAN Manager (LM) 雜湊

LM 雜湊就技術上來說並非雜湊。它的計算方式如下:

  1. 將密碼中的所有小寫字元轉換為大寫

  2. 利用 NULL 字元作為 14 個字元長度的密碼

  3. 將一組密碼分割為各自有 7 個字元的兩個區塊

  4. 利用各個區塊當作 DES 金鑰來加密特定字串

  5. 將這兩部份連接成 128 位元的字串並加以儲存

結果,這種用來產生 LM 雜湊的演算法非常容易被破解。首先,即使超過 8 個字元的密碼也可能在兩個獨立區塊中被攻擊。第二,會忽略所有的小寫字元集。這表示大部份的密碼破解工具會藉由破解 LM 雜湊來啟動,然後只要改變破解密碼的第一個字元,就能產生區分大小寫的密碼。請注意,無論要在遠端或在本機登入執行 Windows 2000 的電腦,您會需要使用區分大小寫的密碼。

NTLM 雜湊

NTLM 雜湊就是 Unicode 雜湊,因為它支援整個 Unicode 字元集。NTLM 雜湊的計算方式,是經由採用純文字密碼產生自身的訊息摘要 (Message Digest 4,MD4) 雜湊。MD4 雜湊不是實際儲存在 Active Directory 資料庫或本機的安全性帳戶管理員 (Security Accounts Manager,SAM) 資料庫。NTLM 雜湊比 LM 雜湊更能抵抗暴力攻擊。暴力攻擊 NTLM 雜湊時所花的數量級,要比具有相同密碼的 NTLM 雜湊要長。

亂度

亂度就是測量系統中混雜程度的方式。密碼亂度的程度取決於本身字元的範圍和秩序的隨機程度。選取足以抵抗破解的密碼時,謹慎挑選顯現在密碼中的亂度是非常重要的。大部份暴力攻擊密碼破解工具,利用搜尋鍵盤上的英數字元和符號來啟動,例如 ` ~ ! @ # $ % ^ & * ( ) _ - + = (有時候稱為「上方列符號」,因為這些符號都位於美式鍵盤上方的那一列上)。有了這個認知,您就可以利用不同的符號來製作更能抵抗破解的密碼,例如以下的符號:[ ] { } < >。您可以使用 ALT 鍵的組合鍵來增加符號抵抗破解的能力。請注意,因為 LM 雜湊建立方式的緣故,將放在八個字元密碼的第八位置上的符號當作唯一亂度,在密碼複雜性上並沒有太大的影響。要達到最大的亂度和複雜性,整個密碼必須使用非英數字元。

使用 Alt 鍵組合的 Unicode 字元

大部分使用者應該可以找到容易記住的密碼片語,不過對於特別敏感的帳戶,例如具有網域系統管理員權限的帳戶,則強烈建議最好使用 Alt 鍵的組合鍵將 Unicode 字元包含在密碼中。這些是不會出現在標準美式鍵盤上的字元。您可以按住 ALT 鍵 (或大部份筆記型電腦上的 FN 和 ALT 鍵) 來加以輸入,然後在數字鍵台上鍵入一組三個數字或四個數字的數字。

使用這些字元類型可以在兩種方式上強化密碼:首先,密碼破解工具通常不能測試這些字元類型中的字元。第二,使用這些字元可以增加密碼中可能出現的字元範圍,藉由數量級來強化密碼潛在的複雜性。使用 ALT 鍵的組合鍵時,請記得前置字元為零,因為如果去掉零的話會產生不同的字元。例如,ALT+128 是 Ç,而 ALT+0128 則是 €。本節的其他部份著重討論存取整個 Unicode 字元集的四個數字密碼,另外則略過只能存取延伸性質的 ASCII 字元集的三個數字密碼。

以下表格列出可用來當作 ALT 鍵組合鍵的數值。建議數值在 0128 和 1024 之間。表格下方中的每個資料格顯示的是單一值或範圍值。例如,第一個資料格顯示的是「0128-0159」。這表示您可以使用任何介於 0128 和 0159 之間的數值,例如 ALT+0135 對應的就是 Unicode 字元的 "‡"。

使用建議的 ALT Code 作為 ALT 鍵的組合鍵

0128-0159

0306-0307

0312

0319-0320

0329-0331

0383

0385-0406

0408-0409

0411-0414

0418-0424

0426

0428-0429

0433-0437

0439-0447

0449-0450

0452-0460

0477

0480-0483

0494-0495

0497-0608

0610-0631

0633-0696

0699

0701-0707

0709

0711

0716

0718-0729

0731

0733-0767

0773-0775

0777

0779-0781

0783-0806

0808-0816

0819-0893

0895-0912

0914

0918-0919

0921-0927

0929-0930

0933

0935-0936

0938-0944

0947

0950-0955

0957-0959

0961-0962

0965

0967-1024

  

  


並非所有 Unicode 字元都能增加密碼複雜性,因為這些字元會轉換成 ASCII 字元,反而產生薄弱的密碼。下列表格顯示應該在密碼中使用的字元碼,以及轉換成 ASCII 的字元。

不作為 ALT 鍵的組合鍵使用的 ALT 碼

ALT 碼

Unicode 字元

衍生字元

0175

¯

_

0190

3/4

_

0222

Þ

_

0254

þ

_

0101

e

E

0200

È

E

0202

Ê

E

0203

Ë

E

0232

è

E

0234

ê

E

0235

Ë

E

0100

d

D

0208

Ð

D

0240

ð

D

0117

u

U

0217

Ù

U

0218

Ú

U

0219

Û

U

0249

ù

U

0250

ú

U

0251

û

U

0192

À

A

0193

Á

A

0194

Â

A

0195

Ã

A

0224

à

A

0225

á

A

0226

â

A

0227

ã

A

0065

A

A

0114

r

R

0174

®

R

0121

y

Y

0221

Ý

Y

0253

ý

Y

0255

ÿ

Y

0120

x

X

0215

×

X

0111

o

O

0210

Ò

O

0211

Ó

O

0212

Ô

O

0213

Õ

O

0216

Ø

O

0242

ò

O

0243

ó

O

0244

ô

O

0245

õ

O

0248

ø

O

0105

i

I

0204

Ì

I

0205

Í

I

0206

Î

I

0207

Ï

I

0236

ì

I

0237

í

I

0238

î

I

0239

ï

I

0169

©

C

0099

c

C

密碼期限和重複使用

使用者也應該經常變更密碼。即使較長而強的密碼比起短而簡單的密碼更難以攻擊,但是還是可能被破解。攻擊者只要有足夠的時間和計算力,終究可以破解任何密碼。一般來說,應該在 42 天之內變更密碼,而且絕對不要重複使用舊的密碼。

為您的組織開發密碼原則

這部分提供下列逐步指令,透過建立「密碼原則」,並用以和組織通訊,來增強安全性。

  • 識別您組織的網路中存在何種電腦作業系統

  • 瞭解那些作業系統的限制

  • 定義密碼在您組織的網路上,需要何種技術需求。

  • 指出您組織內,適合「密碼原則」文件和通訊的正式程度

  • 以書寫形式記載「密碼原則」

  • 系統執行「密碼原則」前,請先與使用者溝通

  • 在您組織的電腦系統執行「密碼原則」

  • 提醒使用者,瞭解觀察「密碼原則」及其他企業安全性原則的重要性

識別現存作業系統

為指定「密碼原則」,又不會對登入您組織中電腦的使用者造成問題,您需要知道他們使用的作業系統。您可能已經知道何種作業系統正在您的網路使用中。如果不知道,就需要找出來。您不需要知道各作業系統的數量,也不需要精細地清查此時網路中所有的系統。為設計適合的「密碼原則」,您只需要知道是否有任何傳統系統存在。執行 Windows 95、Windows 98,或 Windows Millennium Edition 的電腦是最可能在您網路遇到的傳統作業系統。

  • 識別您組織所屬的網路中,何種電腦作業系統正使用中
    您可以要求使用者檢查他們的電腦執行何種版本的作業系統,或到每台電腦親自檢查。不論誰檢查,都要經過此程序:

    1. 按一下 [開始],再按一下 [執行]。

    2. 在 [開啟] 中,鍵入 winver.exe,再按一下 [確定]。版本號碼顯示在 [關於 Windows] 對話方塊內。

瞭解某些作業系統的限制

正如同我們說明過的,執行 Windows NT 4.0、Windows 2000、Windows XP,以及 Windows Server 2003 的電腦都支援長密碼及強性密碼。而執行 Windows 95、Windows 98 和 Windows Millennium Edition 的電腦不支援。如果網路上任何電腦要執行這些 Windows版本,「密碼原則」就必須適合這些電腦。

對於包含執行 Windows 95、Windows 98,或 Windows Millennium Edition 電腦的組織而言,使用者密碼不能超過 14 個字元,並且不能包括由 ALT 按鍵組合產生的字元。

如果您組織內的所有電腦都執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003,則使用者密碼可長達 128 字元,並且可以包括由 ALT 按鍵組合產生的字元。

定義密碼的技術需求

對執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦而言,您可以執行最多五項關於密碼字元的設定。

在此步驟中,我們提供您關於設定的定義及建議。您將決定組織需執行的值。

密碼的技術需求

設定

說明

建議

強制執行密碼歷史記錄

指出重複使用舊密碼之前,使用者必須使用的唯一新密碼數量可以介於 0 到 24 之間,要是設定為 0,就會停用強制執行密碼歷程記錄。

大部分的組織都設定 24 組記憶密碼。

密碼最長使用期限

指出在使用者變更密碼之前必須使用的天數。密碼設定可介於 0 到 999 之間;如果設定到 0,則密碼永遠不會過期。設定太低會給使用者相當多挫折,設定太高或停用將給予潛在攻擊者更多時間,嘗試破解使用者的密碼。

多數組織設定到 42 天。

密碼最短使用期限

指出使用者變更密碼之前必須保留新密碼的天數。此設定是設計來執行 [強制執行密碼歷程記錄] 設定,因此使用者不能迅速重設密碼 24 次,並變更回舊密碼。密碼可以被設定於 0 到 999 之間;如果設定到 0,則使用者可在變更密碼後再立即變更密碼。

大部分的組織設定到兩天。

密碼長度下限

指出密碼最短限度雖然執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦支援最多 128 字元的密碼,此設定只能介於 0 到 14 字元。如果設定到 0,則使用者允許擁有空白密碼;這是永遠不會使用的值。

設定到 8 個字元。

密碼必須符合複雜性需求

指出是否強制執行密碼複雜性。
啟用設定時,使用者密碼會有下列需求:

  • 此密碼至少六個字元長。

  • 密碼字元須包含下列五個類別中的三項:英文大寫字元 (A - Z);英文小寫字元 (a - z);基本阿拉伯數字 (0 - 9);非字母字元 (例如:!、$、# 或 %);Unicode 字元。

  • 密碼不可包含三個以上使用者帳戶名稱的字元。如果帳戶名稱少於三個字元,則此項檢查不會執行,否則密碼拒絕率將過高。檢查使用者全名時,部分字元會視為將名稱分成個別語彙基元的分隔符號:逗號、句號、破折號/連字號、底線符號、空格、井字號和標籤。密碼中佔三個字元以上的任何分隔符號都會被搜尋,如果發現分隔符號,密碼將無法變更。例如,「Erin M. Hagens」會被分成三個分隔符號:「Erin」、「M」及「Hagens」。第二個分隔符號因為只有一個字元長而遭到忽略。因此,此使用者密碼中的任何位置,都不能包含「erin」或「hagens」的子字串。所有的檢查不區分大小寫。

啟用此設定。

編訂組織的密碼原則文件

接下來,您要決定組織的密碼原則文件的編訂形式。

最低限度,必須寫下將會在組織網路中的電腦上,強制執行哪些設定。

部分組織會以正式的原則聲明來記錄原則。如果您認為組織適用這個層次的記錄形式,您可能會想要參考本文件稍後<相關資訊>中,關於範例原則的連結。

部分組織對於記載這一類的公司原則可能會有調整需求。如果您確信組織有調整需求,那麼在您實行並傳送給使用者之前,應該交由組織的法律顧問進行原則審核。

傳送密碼原則給使用者

所有重要的原則變更,都必須明確地傳送給在您組織中工作的人員。在變更或實行密碼原則時,向受影響的人員清楚解釋您執行哪些動作及原因,是非常重要的。

供您使用的密碼原則範例

您必須複製下列文字,並發佈給與您一起工作的人員。雖然它已準備好供您使用,但您可以修改潤飾其中的字詞,讓它更符合您的需要及特定密碼原則需求。

您會注意到這個範例文字,既沒有討論也沒有建議使用 ALT 組合鍵;因為對許多使用者來說,使用組合鍵並沒有想像中容易。ALT 組合鍵建議由擁有強大功能或機密性帳戶,且熟悉技術的使用者來使用,例如系統管理員。

致組織成員:

弱性密碼或空白密碼,是攻擊者用來入侵電腦及組織網路的最佳途徑。經年累月一成不變的密碼,或不斷重複使用的密碼,也很容易遭到攻擊者破解。

為了提升網路帳戶的防護,請各位同仁在存取公司電腦系統時,務必使用強性密碼。您需要定期變更密碼,而且必須使用與前一個密碼完全不同的密碼。

強性密碼的最小長度為 8 個字元,並且使用下列五種類別中的三種字元組成:

  1. 小寫字母

  2. 大寫字母

  3. 數字 (例如 1、2、3)

  4. 符號 (例如 @、=、- 等等)

  5. Unicode 字元

您的密碼也不能包含與使用者帳戶名稱,其中三個或以上相連的相同字元。您需要每隔 42 天變更一次密碼,而且不可以重複使用舊密碼。

在您變更密碼之後,會自動進行密碼複雜性驗證,而且會與前一個密碼進行比對。雖然這些程序表面上看來有些繁雜,致使各位想把密碼寫下來貼到桌上、電腦,或任何其他方便拿取的位置。然而,當您做了這樣的動作之後,等於是將電腦及整個組織曝露在巨大的風險中,因為任何人都可使用您的身份認證,開啟電腦然後登入網路。因此,請務必將密碼牢記在心。或者,建立容易記憶的密碼。

下列是關於密碼安全性的詳細背景資訊,以及如何建立好記的強性密碼的具體建議。

使用通關片語

比起「密碼」,「片語」更容易讓人聯想到「通關片語」一詞。如果您的電腦是執行 Windows NT 4.0 或早期版本、Windows 2000、Windows XP 及 Windows Server 2003,這些作業系統支援 15 個以上字元的密碼,包括空格。因此,「You can try to break this until the cows come home!」是一個絕對有效的通關片語,即使攻擊者使用最佳的密碼破解工具,也難以破解。如果您的電腦執行的是上述的作業系統,請嘗試使用包括混合大寫字母、小寫字母、數字及符號,長度愈長愈好的通關片語。

注意,您不可以實際使用本文件中的範例密碼,雖然前面曾說「You can try to break this until the cows come home」這個密碼的長度已足夠,但攻擊者可能會將它,以及文件中的其他範例密碼加入到攻擊工具中。這些僅供作範例,您應該建立自己的唯一密碼。

其他密碼密祕訣

下列提供建立密碼、記憶密碼和密碼片語的祕訣,以及可行、不可行的資訊。

  1. 使用一個以上的文字
    不要只使用親朋好友的名字,例如 Allison,而要加入一些別人不知道的部分,例如 AllisonsBear 或 AlliesBear。

  2. 使用符號取代字元
    許多人傾向將必要的符號及數字放在文字結尾,例如 Allison1234。很不幸地,這種密碼很容易破解。Allison 就列在包含常見名稱的字典中;一旦破解了這個名稱,攻擊者就只需費心四個更容易猜測的字元。因此,請以容易記憶的符號,取代文字中一或多個字母。許多人對於哪些文字類似哪些符號和數字,都有自己的獨特看法。例如,@ 取代 A、! 取代 l、零 (0) 取代 O、$ 取代 S、3 取代 E。使用 @llis0nbe@r、A!!isonB3ar、A//i$onBear 這些替代密碼,您都可以一眼即知,但攻擊者卻難以猜測或破解。看著鍵盤上的符號,然後想著第一個引起您注意的字元,它可能不會是別人第一個注意到的字元,但您卻會有深刻記憶。請從現在起使用這些符號取代部分密碼字元。

  3. 選擇使用您印象深刻的人或事件
    如果想要記住每隔幾個月就必須變更的強性密碼,可以嘗試選擇即將來訪的人仕或公開事件。使用這個方法,每當輸入密碼時,就可以提醒您生活中即將到來的快樂事件,或再次想起您欣賞或愛慕的對象。如果用作密碼的人、事、物是有趣或惹人喜愛的,那麼您一定不會想要忘記密碼。您一定要選擇獨特的密碼。請確認密碼包含兩個以上文字的片語,並在其中插入符號。例如:J0hn$Gr@du@tion。

  4. 使用文字語音
    一般來說,攻擊者使用的密碼字典會搜尋內嵌在您密碼中的文字。如前所述,只要使用內嵌符號分離這些文字,您就可以安心使用這些文字。另一個擊敗攻擊者的方法,是避免使用文字的正確拼法,或使用您可以記憶的趣味語音。例如,「Run for the hills」可以是「R0n4dHiLLs!」或「R0n 4 d Hills!」。如果您的經理的大名碰巧是 Ron,每天早上您都可以愉快地輸入密碼。如果您的名字拼法不易聯想,那麼在與攻擊的對戰中您已取得致勝先機。

  5. 不要懼怕使用長密碼
    如果您可以將長密碼當作完整片語來記憶,就請使用長密碼。因為愈長的密碼愈難破解。雖然使用長密碼,如果這個密碼是輕易可記住的,即使您不是最好的打字員,您的系統也可能會遇到一些小問題。

  6. 使用片語的第一個字母
    如果要建立好記的強性密碼,使用適當的開頭大寫及分句,有助於您記憶密碼。例如:「My daughter Kay goes to the International School.」接著,擷取句中每個字的第一個字母,作為在句中使用大寫字母的依據。在這個範例中,它的結果是「MdKgttIS」。最後,使用一些非英數字元取代密碼中的部分字母。您可以使用 @ 取代 a,或使用 ! 取代 L。經過取代之後,上述範例密碼將會是 MdKgtt!S 這個難以破解的密碼,只要您回想組成密碼的句子,對您來說記憶這樣的密碼並不難。

可行:
  • 組合字母、符號及數字,對您來說容易記憶,其他人則難以猜測。

  • 建立可頌讀成句的密碼 (不是文字也可以),方便記憶,不必寫在筆記本或其他地方。

  • 嘗試使用您座右銘的初始字母,但記得要包含數字或特殊字元。

  • 擷取兩件相似的事物,然後在其中插入數字或特殊字元。或是變更拼字方法以包含特殊字元。使用這個方法,您會得到一個完全不相似的結果 (這樣會組成效果卓越的密碼,因為您可以容易記憶,其他人則難以破解)。下列是一些範例:

Phone + 4 + you = Phone4you 或 Fone4y0u

cat + * + Mouse = cat*Mouse 或 cat*Mou$e

attack + 3 + book = attack3booK 或 @tack3booK

不可行:
  • 請勿使用個人資訊,例如使用者 ID 衍生出來的文數字、家庭成員姓名、暱稱、車號、執照證號、電話號碼、寵物名稱、出生年月日、身份證字號、地址或興趣等。

  • 請勿使用以任何語系向前拼或倒著拼的任何文字。

  • 請勿在密碼中包含當月月份名稱,例如,不可以在 5 月使用 Mayday。

  • 請勿建立與前一個密碼相似的新密碼。

在您的組織中實行密碼原則

現在您已指定、訂定聲明,並將新的密碼原則傳送出去,表示在網路上實行這個密碼原則的時機已成熟。如需關於強制執行密碼使用的資訊,請參閱《Security Guidance Kit (英文)》中的<Enforcing Strong Password Usage Throughout Your Organization>。

相關資訊

如需關於開發密碼原則的更多資訊,請參閱下列:

如需關於密碼原則的更多資訊,請參閱下列連結:


顯示: