现在的时代,信息比什么都更有价值。虽然现在的石油已经涨到近乎疯狂的地步,但是与信息比较起来,还是小巫见大巫。
信息时代的人们比以前的人们多了不少麻烦,尤其是面对诸多密码需要自己铭记,更是烦心不已。比如,既要记银行卡的密码,还得记电脑系统的密码;既要记QQ、MSN、SKY等聊天软件密码,也得记邮箱、博客、网站或者论坛密码,不一而足,需要记的密码真是数不胜数。 可以说,密码安全才是真正的信息安全,密码安全才是真的安全。
然而就在本月初,在夏洛特举行的ITEC安全事务委员会议上,作为与会方的代表之一,Dan Colby提出了一个惊人观点:“不要使用密码。”
Dan Colby是Pinstripe公司的CEO,这家公司位于夏洛特,主要负责应用开发和咨询业务。在IT领域,Pinstripe公司已为很多中小企业提供服务,包括安全服务。
如果不使用密码,那么使用什么呢?密码短语(passphrase)!
相对“密码”(password)而言,密码短语(passphrase)口令有着更为严密的安全性。在功能上,passphrase同密码一样,只是长度较密码长。通常passphrase使用4到5个单词取代原来数字、字母结合的方式。它一般具有以下几个安全的特点:第一,便于记忆。因为短语比没有内在联系的8个字符的密码要容易记忆(例如:Toto Not In Kansas比xu2mn5r要容易记住得多)。第二,它们的长度决定了千变万化的排序组合,破译起来就比常规密码困难得多,尤其在攻击者使用词典攻击时,就更加复杂了。
Dan Colby表示,密码短语(passphrase)已成为终端设备用户保护密码的首选。因为密码短语(passphrase)很容易被识记,如果要识记诸如“!PS12Na#”密码,那么密码短语会有更多优势,并且密码短语(passphrase)越长安全性将越高。
安全专家也同意Dan Colby对密码短语价值的认同。认为更长的密码或者密码短语,能够为电脑提供强大的安全保护。安全需要随机凌乱的字符组成的密码,以加大黑客攻破密码的难度,比如文中提到的“!PS12NA#"密码。
现在的情况是,需要最高管理员(Administrator)对密码机制进行性能配置,使其能够接受较长的密码,并支持超长密码的输入输出。另外,最好每一组密码中要有大小写字母。(插图:登陆请求输入密码短语)
