密码

来自EEWiki.

密码是登录或访问安全系统所需的机密代码。密码与帐户名一起使用。在通常情况下,密码是网络管理员或安全系统自动事先分配给用户帐户。允许用户在他们第一次登录时更改此密码。 　　 用户帐号、帐户名和密码是AAA(身份验证、授权和记帐)方案的组成部分。授权是确认试图登录身份的行为。一旦身份验证通过,就允许用户根据前面分配的授权访问网络资源。记帐是为了审核和收费而收集有关资源使用信息的行为。 　　 Microsoft Windows桌面系统为用户提供了输入登录名和密码的机会。许多人不使用此特征,但如果登录本地和远程网络安全系统,它是很重要的。登录帐号所做的是安全存储访问其他系统的密码。选项“不要忘了此密码”在登录服务器和站点时是可用的。如果在启动Windows时不输入登录名和密码,由于Windows不知道谁在使用系统,则会禁用此特征。

显然,必需安全保存密码。决不应该把它们写下来。应该总是避免真实词汇,因为它们容易受到词典攻击。在黑客使用自动程序试验字典中的每个单词,以及其他俚语词汇和缩写词等等时会出现词典攻击。

尽管像“Qp&yTxT8e3”这样的密码是安全的,但是它们也非常难记。较有效的方法是创建一个短语并用每个单词的第一个字母组合作为密码。例如,密码“Mbiot4oJ”源于“My birthday is on the 4th of July (我的生日是7月4日)”。混合大小写字母和数字增强了密码的安全性。

所谓“Trojan horse(特洛伊木马)”程序是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点，可以做程序设计者有意设计的未出现过的事情。它是某些不择手段的人在计算机上安装的捕获密码的程序,在没有疑心的用户键入密码时捕获它。常常是在人们使计算机无人照管的情况下安装此程序。用户应该警惕从未知来源通过电子邮件发来的可执行程序。没有疑心的用户在运行这些可执行程序时可能会在他们的屏幕上看到一些滑稽有趣的程序,但在后台,该程序可能在安装监视使用程序,它通过电子邮件向黑客发送捕获的密码或其他信息!

根据某些人的认识，病毒是特洛伊木马的一个特例，即：能够传播到其他的程序当中（也就是将这些程序也变成特洛伊木马）。根据另外的人的理解，不是有意造成任何损坏的病毒不是特洛伊木马。最终，不论如何定义，许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序，以便将特洛伊木马与病毒区分开。

决不应该通过可分接的通信信道发送明文密码。这包括所有的网络和因特网。拥有监视工具(消息包嗅探器)的任何人能够监视包含密码的信息包并捕获密码以供以后使用。加密是一个不错的主意,但是,像CHAP这样的一些技术更好,从来不通过线路发送密码。CHAP采用了一个方案,仅要求用户证明他们知道此密码,而并不发送密码。它使用三次握手来实现对网络节点的定期审查和认可，当链路建立时CHAP应该已经完成并且在链路建立以后，必要时可以重复审查过程。

到目前为止,一直假设密码是可重用的,即同一密码被一而再再而三地使用。但是这样的密码可能被发现或监视,并在以后被未授权的人所使用。　

RFC l439(The Uniqueness of Unique Identifiers March 1993)提供了有关识别惟一用户名和密码的有用信息。RFC 2196(Site Security Handbook, September 1997)提供了密码和身份验证技术方面的信息。