為什么密碼不夠用？

　　密碼是很好的第一層保護，但攻擊者可以猜測或攔截密碼。即使攻擊者確實獲得了密碼，其他安全措施也可以保護。可以通過避免使用基于個人信息的密碼來加強第一層保護；使用最長的密碼或密碼短語（8-64 個字符）；并且不與其他人共享密碼。

　　有哪些額外的安全密碼可用？

　　同時使用多條信息來驗證身份的多因素身份驗證 （MFA）正變得越來越普遍。（MFA 有時被稱為兩因素身份驗證。）即使攻擊者獲得了用戶密碼，如果賬戶受 MFA 保護，他們也可能無法訪問用戶賬戶。這種方法背后的理論類似于需要兩種或兩種以上形式的身份證明或兩把鑰匙才能打開保險箱。用戶應該在 MFA 可用的地方打開它。驗證類別包括你知道的信息，你擁有什么的事物，以及你自身特征。

　　知道的信息– 這包括密碼或預先確定的問題答案。

　　擁有的東西- 這可能是一個小的物理令牌，例如智能卡、特殊的密鑰卡或 USB 驅動器。可以將此令牌與密碼結合使用以登錄賬戶。然而，基于軟件的令牌也很常見。這些基于軟件的令牌可以生成一次性登錄個人識別碼 （PIN）。其他變體包括通過驗證 PIN 發送給用戶的 SMS 消息、電話或電子郵件。這些令牌 PIN 通常只能使用一次，并在使用后立即作廢。因此，即使攻擊者攔截了信息，攻擊者也將無法再次使用該信息訪問用戶帳戶。

　　自身特征——生物識別可以包括掃描眼睛（視網膜或虹膜）或指紋、其他面部識別、語音識別或通過簽名或擊鍵動作進行身份驗證。生物識別的一個常見示例是用于在許多現代智能手機上登錄用戶的指紋掃描儀。

　　另一種驗證形式是使用個人網絡證書。與用于識別網站的證書不同，個人 Web 證書用于識別個人用戶。使用個人 Web 證書的網站依賴于這些證書和相應公鑰/私鑰的身份驗證過程來驗證用戶身份。因為識別用戶信息嵌入在證書中，所以不需要額外的密碼。但是，用戶應該有一個密碼來保護自己的私鑰，這樣攻擊者就無法訪問用戶的密鑰，無法偽造用戶的身份。此過程與 MFA 類似，但有所不同 - 保護用戶私鑰的密碼用于解密用戶計算機上的信息，絕不會通過網絡發送。

　　還有哪些措施可以確保您的密碼安全？

　　信息技術 （IT） 安全專業人員和管理員應實施以下安全措施以進一步保護密碼：

　　“鹽和哈希”密碼。加鹽是在密碼散列之前向密碼添加唯一的隨機字符。鹽值的長度不應小于 32 位。散列是使用一組算法對密碼進行加擾的過程。

　　使用強身份驗證恢復機制。弱身份驗證恢復機制可能會被濫用，以允許攻擊者未經授權訪問受影響的系統。強大的機制可防止未經授權訪問賬戶或重置用戶密碼。

　　實施賬戶鎖定政策。賬戶鎖定應在預定義的失敗嘗試次數后啟動。

　　將賬戶設置為自動禁用。賬戶在預定時間處于非活動狀態后應自動退出系統被禁用。

　　如果用戶丟失了密碼或證書怎么辦？

　　也許用戶忘記了密碼，或者重新格式化了計算機并丟失了個人網絡證書。大多數組織都有在這些情況下允許用戶訪問自己信息的程序。為了獲得最佳安全性，請及時更新賬戶中的信息。這包括備用電子郵件地址或電話號碼，可在忘記密碼時幫助驗證自己的身份。

　　對于證書，可能需要請求組織為用戶頒發新證書。在密碼的情況下，可能只需要提醒。無論發生什么，組織都需要一種方法來驗證用戶的身份。為此，許多組織依賴秘密問題。

　　當用戶開設一個新賬戶（例如電子郵件、信用卡）時，一些組織會提示用戶提供問題的答案。如果用戶忘記密碼或通過電話請求有關賬戶的信息，他們可能會問用戶設置的問題。如果用戶的答案與他們存檔的答案相符，他們將假定他們實際上是在與用戶溝通。理論上，秘密問答可以保護用戶的信息。然而，常見的秘密問題會詢問母親的婚前姓氏、社會安全號碼、出生日期或寵物的名字，在中國則可能是小學在那里上的等問題。由于現在可以在線或通過其他公共來源獲得如此多的個人信息，攻擊者或許能夠找到這些問題的答案。

　　將秘密問題視為附加密碼——在確定答案時，不要提供真實信息。像選擇任何其他好的密碼一樣選擇自己答案，將其存儲在安全位置（例如，密碼管理器），并且不要與其他人共享。

　　雖然額外的安全措施為用戶提供比單獨使用密碼更多的保護，但不應認為它們是完全有效的。提高安全級別只會讓攻擊者更難訪問用戶的信息。在選擇可以訪問用戶個人信息的銀行、信用卡公司或其他組織時，請注意 MFA 和其他安全實踐。要勇于咨詢為自己服務的組織在使用哪種安全實踐措施。