【Day18】如何防御密码破解

哈罗～
前面介绍了密码破解的工具，
今天就来介绍一下防御密码的小知识，
以及一些日常花个几分钟，就能做的密码检验工具吧٩(●˙▿˙●)۶…⋆ฺ

日常生活的密码保护tips

1. 密码变更时禁止使用与之前相同的密码
2. 不允许共享密码
3. 避免使用容易出现在字典档中的密码
4. 避免适用加密较弱的协定
5. 避免将密码保存在不安全的地方
6. 不使用系统默认的密码
7. 密码使用大小写字母+数字组合，增加密码强度
8. 确保应用程序不会将密码自动储存在快取中
9. 可使用SYSKEY以加密与保护SAM(Window的安全帐户管理)
   延伸阅读：如何使用 SysKey 实用程序来保护 Windows 安全帐户管理员资料库
10. 设定密码猜测错误多次，就锁定帐户
11. 使用密码保护BIOS
    延伸阅读：Red Hat Enterprise Linux 4: 安全性设定手册
12. 禁止公司内部员工使用肩膀冲浪（Shoulder surfing)、垃圾搜寻等，来窃取权限
13. 使用多重验证，例如添加人机验证码(CAPTCHA)
14. 隐藏萤幕上的密码，避免输入密码时被周遭的人观看
15. 确认密码资料库的文件是加密，且只有系统管理员才能访问

简单检查密码是否外泄的小工具

• Have I Been Pwned
  在这个网站上输入自己的密码，可以简单测试自己的密码是否已经在网路上外泄过。
  

• HOW SECURE IS MY PASSWORD?
  在网站上输入自己的密码，可以检验自己的密码强度需要多少时间被破解。
  

• Kaspersky password checker
  这是Kaspersky推出的线上检测密码，
  会比对输入的密码是否是一般常见/易破解的密码，以及在资料库中已出现的次数。
  左边为弱密码，右边为高强度密码。
  

• Google 密码安全检查
  有时基於人类的惰性(?) 会在一些网站中直接使用Google快速登入or利用Google浏览器自动储存密码，以便於下次登入时不用再次输入，但还是建议时常检查这些密码是否已遭外泄。
  登入Google → 管理你的Google帐户 → 安全性 → 登入其他网站 → 密码管理员

点选进入密码管理员 → 前往密码安全检查页面 → 验证身分 → Google开始检查网站/应用程序密码 → 结果显示(如下图)
  
  可以看到结果显示，会告知有几个密码是重复使用、几个密码可能已经外泄，
  点选可观看更详细的资讯(是哪个网站储存的密码、储存在该网站的帐号名称，甚至是可以直接查看你在该网站设定的密码)。

小结

今天介绍几个平日就可以定期去检查密码的小工具，
以及一些防护密码的常识。
我们明天再见啦~

走罗! 高歌离席~