个人密码安全策略【推荐阅读】

　　总的来说，个人密码安全需要遵循如下几个简单的要求：对于不同的网络系统使用不同的密码，对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛，可以设置简单的密码；对于重要的信息、电子邮件、网上银行之类，必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。具体的设置策略如下：

　　一、将自己常用的网站分类：大网站、小网站、重要网站、普通网站

　　1、大网站

　　大网站为可以信任的、安全的网站，例如用户为数亿的几个门户网站（腾讯、谷歌等），这类网站理论上安全性较好，常规情况下用户密码不易泄漏，并且都会提供绑定手机号功能，这类网站应该不超过十个。

　　2、小网站

　　大网站之外的网站都算小网站，是不可信任的网站，在上面保存的密码随时可能泄漏，并且可能是密码明文泄漏。

　　3、重要网站

　　涉及到网络使用的核心网站，例如主要的电子邮件、网银、网上支付、域名管理等，这类网站如果被黑客攻破，则会引起个人资产损失或者相关其他网站服务被攻击，损失巨大。

　　4、普通网站

　　重要网站之外的网站。

　　二、将自己的常用密码分类：弱密码、中密码、强密码

　　1、弱密码

　　最容易记忆的，且默认是可以丢失的密码。

　　各类中小网站、论坛、社区、个人网站等使用。

　　原因：这些网站的安全性可能都不太好，有些只是将密码MD5一下存储，有些可能还会明文存储密码。黑客很容易从这些网站盗窃用户的密码。

　　2、中密码

　　中等强度密码，8个字符以上，有一定抗穷举能力的。

　　中等密码主要在国内门户网站、大型网站、门户微博、社交网站等使用，但不要在主要邮箱里使用。门户网站最好绑定手机号码。

　　原因：大网站的安全性较好，通常被破解的可能性低，在大网站使用的密码要强度可以稍强。

　　需要注意的是，有些门户网站（例如新浪、搜狐等）即提供微博，又提供邮件系统，如果系统默认建立了这些邮箱，那建议不要在任何地方使用这些邮箱，如果要使用邮箱，最好确认该邮箱具有独立密码功能。

　　其中有一个例外是腾讯邮箱，腾讯邮箱支持邮箱的单独密码，设置好了以后，用户需要输入QQ密码和邮箱密码两个之后才能使用。

　　所有游戏帐号使用单独的密码。

　　3、强密码

　　强密码要求至少8个字符以上，不包含用户名、真实姓名或公司名称，不包含完整的单词，包含字母、数字、特殊符号在内。

　　强密码主要用于邮箱、网银、支付系统等。

　　这类网站是最核心最重要的网站，网银涉及到用户的财产安全，邮箱则可以重置用户所有注册过的网站密码，因此这类网站一定要用强密码，保证其绝对安全性。

　　密码穷举对于简单的长度较少的密码非常有效，但是如果网络用户把密码设的较长一些而且没有明显规律特征（如用一些特殊字符和数字字母组合），那么穷举破解工具的破解过程就变得非常困难，破解者往往会对长时间的穷举失去耐性。通常认为，密码长度应该大于8位，密码中最好包含字母数字和符号，不要使用纯数字的密码，不要使用常用英文单词的组合，不要使用自己的姓名做密码，不要使用生日做密码。

　　三、电子邮件使用规范

　　1、邮箱类型

　　个人邮箱并非越多越好，只要两个个人邮箱即可（工作邮箱除外），关闭那些没用的邮箱，或者清除其内的所有内容，不在任何地方使用这个邮箱。

　　邮箱分为两个类型，主要邮箱和次要邮箱，重要服务用主要邮箱来申请，一般服务用次要邮箱来申请。

　　主要邮箱建议使用Gmail建立，绑定用户的手机，并设置二步验证的手机动态密码，目前世界上只有Gmail信箱支持手机动态密码，增加手机动态密码之后，黑客即使重置了用户的Gmail密码，依旧无法登录该帐号，除非用户手机同时也被盗。有了动态密码，一旦用户信箱被攻击，用户有足够的时间通过手机修复密码。

　　Gmail的辅助邮箱可以不使用，或者用一个可以，辅助邮箱的安全性一定要高，不容易被攻破。

　　对于Gmail的访问还有一点，就是不要用Hosts来访问Gmail，不要把accounts.google.com放入到Hosts文件中，否则将对Gmail的安全性产生极大的威胁。

　　2、动态密码设置

　　对于经常受到攻击的Gmail用户，强烈推荐使用Gmail的“两步验证”功能，具体方法是，先登录Gmail，然后访问这个地址，之后根据提示安装一个iPhone或Android应用，即可实现动态口令，极大增强了Gmail的安全性。

　　Gmail的“两步验证”支持iPhone和Android手机，实际上属于动态密码的一种类型。动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。由于每次使用的密码必须由动态令牌来产生，而用户每次使用的密码都不相同，因此黑客很难计算出下一次出现的动态密码。不过动态密码对手机要求较高，需要iPhone或Android这样的智能手机。