選取安全密碼

Overview

發佈日期: 2003 年 5 月 22 日 |更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
為您的組織開發密碼原則
相關資訊

簡介

雖然目前有許多驗證使用者的替代方法出現,但大部分的使用者仍以在鍵盤上鍵入使用者名稱和密碼的方法,登入電腦和遠端電腦。有許多加入更多安全技術 (例如生物統計學、智慧卡和一次性密碼) 的產品,可供一般作業系統使用,但事際上,大部分的組織依舊依賴密碼功能維護安全性,而未來幾年仍是如此。使用者因應工作需求,時常有不同的電腦帳戶,例如手機帳戶、銀行帳戶、保險公司帳戶等等。為了要方便記憶,使用者時常在不同的系統中用相同或相似的密碼;並且在選擇密碼時,大部分的使用者會選擇一個非常簡單又好記的密碼,例如生日、母親或親戚的名字。相對的,又短又簡單的密碼則容易被攻擊者破解。一般攻擊者用來破解受害者密碼的方法如下:

  • 猜測 — 攻擊者不斷重複地登入使用者帳戶,輸入使用者小孩生日、出生城市或支持的球隊名稱等等,加以猜測密碼。

  • 線上字典攻擊 — 攻擊者使用包含字彙的文字檔的自動程式。這個程式會不斷重複登入目標系統,並且每次從文字檔中使用不同的字彙登入。

  • 離線字典攻擊 — 相似於線上字典攻擊,攻擊者會複製使用者帳戶及密碼的雜湊和加密複本檔案,然後使用自動程式來破解每個帳戶的密碼。只要攻擊者一取得密碼檔案的複本,這類的攻擊行動就會很快地完成。

  • 離線暴力攻擊 — 這是字典攻擊的變異方法,主要功能為破解可能不包含上述攻擊中文字檔的密碼。雖然暴力攻擊也可以在線上執行,但由於網路頻寬和延遲的因素,所以攻擊者通常都是執行目標系統密碼檔案的複本加以破解。在暴力攻擊中,攻擊者所使用自動程式,會產生所有可能密碼的雜湊或加密值,並與密碼檔案中的數值相比較。

每個攻擊行動都可以藉由強性密碼大幅地減緩,甚至成功地阻擋。因此,電腦使用者應該儘可能在他們的電腦帳戶上使用強性密碼。使用以 Microsoft® Windows NT® Windows 版本的電腦,皆支援強性密碼,這些版本包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server™ 2003。Windows 中,一個強性密碼即為內含以下五組「字元類別表格」中,至少三組字元的密碼。

字元類別

群組 範例
小寫字母 a、b、c 等
大寫字母 A、B、C 等
數目字 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
非英數字元 (符號) ( ) ` ~ ! @ # $ % ^ &amp; * - + = | \ { } [ ] : ; " ' < > , . ? /
Unicode 字元 €、Γ、ƒ 和 λ
**注意:**空白字元並不包含在這五組字元中,也不算在密碼的複雜性需求當中。 一些特定較機密的帳號,如系統管理員、資深的執行者或用來執行關鍵網路服務,所使用的密碼應該由四個甚至五個字元群組組成。另一方面,人們使用的密碼必須容易記憶,因為倘若遺失了執行人員或是關鍵系統管理員帳戶密碼,可能會造成很大的影響。這份文件說明在 Windows 系列的作業系統中儲存密碼的方法,並指導「系統管理員」如何增強密碼安全性。 藉由思考有關片語詞組 (而非密碼) 的問題,可以解決這些相互衝突的需求。有支援強性密碼 Windows 版本,皆支援在帳號密碼中使用空白與標點符號。舉例來說,「I re@lly want to buy 11 Dogs!」是個有效的密碼片語詞組。這句擁有多達 20 個字元,是一句很長的片語詞組,內容由五個群組中的四個群組字元組成。而且容易記憶!大部分的密碼破解工具都假設密碼不會超過 14 個字元,那是因為 DOS 網路開機磁片、Microsoft 遠端安裝服務 (Remote Installation Services,RIS)、Pre eXecutable Environment (PXE) 開機磁片與早期LAN Manager 用戶端,都如此設定。一個不具複雜性,但很長的密碼 (大於 14 個字元,最長達 128 個字元),也可以是保護機密密碼免於破解危險的最佳方法。 **注意:**請不要使用這份文件中的範例密碼。雖然上述密碼「I re@lly want to buy 11 Dogs!」又長又複雜,但攻擊者可能會新增這份文件中的範例密碼到他們的攻擊工具中。 如果系統管理員必須沿用傳統系統、RIS 或其他類似的需求,抑或只是單純不想使用太過冗長的密碼,那麼使用較短並具有複雜字元的密碼,也是不錯的保護方式。然而請記住,密碼越長,就越難被破解。同時增加密碼長度**和**複雜度,則是最難破解的密碼。建立組織內的密碼原則,加以保護使用者避免攻擊者的模擬,進而保護組織內機密資料免於遺失、曝光或是毀損。 這份文件說明儲存密碼於 Windows 系列作業系統的方法,並指導「系統管理員」如何增強密碼安全性,且說明使用者如何新增一個又複雜又容易記憶的密碼。 本文件包含下列各個主題的資訊與指南: - 密碼破解的額外細節。 - Windows 如何儲存密碼 (其中包含 LAN Manager (LM) 雜湊與 NTLM 雜湊的資訊)。 - Unicode 字元的說明和輸入 ALT 鍵組合來使用 Unicode 字元。 - 傳統系統 (例如 Windows98) 的需求。 - 在組織內建立一套密碼原則。 - 向一般使用者說明密碼複雜性:內文可供您自訂修改,並發送給組織內的工作人員。 - 額外資源:包含相關資訊的連結網站,可以協助您在組織內建立強性密碼原則。 [](#mainsection)[回到頁首](#mainsection) ### 開始之前 進行建立密碼原則的討論前,確實瞭解 Windows 作業系統系列如何建立和儲存密碼雜湊是很重要的。如果可以完全瞭解跟密碼複雜性相關的觀念,對您會很大的助益,例如亂度、Unicode 字元,以及 ALT 字元。 #### Windows 的密碼儲存 依預設,Windows NT 4.0、Windows 2000、Windows XP,以及 Windows Server 2003 從不用純文字儲存使用者密碼。相反的,是使用兩種不同的密碼表示法,也就是一般所謂的「雜湊」來儲存。第一種 LAN Manager (LM) 雜湊跟第二種 NTLM 雜湊比起來較不安全。儲存兩種表示法的原因是,舊版應用程式和作業系統的相容性的問題,例如 Windows 98。 ##### LAN Manager (LM) 雜湊 LM 雜湊就技術上來說並非雜湊。它的計算方式如下: 1. 將密碼中的所有小寫字元轉換為大寫 2. 利用 NULL 字元作為 14 個字元長度的密碼 3. 將一組密碼分割為各自有 7 個字元的兩個區塊 4. 利用各個區塊當作 DES 金鑰來加密特定字串 5. 將這兩部份連接成 128 位元的字串並加以儲存 結果,這種用來產生 LM 雜湊的演算法非常容易被破解。首先,即使超過 8 個字元的密碼也可能在兩個獨立區塊中被攻擊。第二,會忽略所有的小寫字元集。這表示大部份的密碼破解工具會藉由破解 LM 雜湊來啟動,然後只要改變破解密碼的第一個字元,就能產生區分大小寫的密碼。請注意,無論要在遠端或在本機登入執行 Windows 2000 的電腦,您會需要使用區分大小寫的密碼。 ##### NTLM 雜湊 NTLM 雜湊就是 Unicode 雜湊,因為它支援整個 Unicode 字元集。NTLM 雜湊的計算方式,是經由採用純文字密碼產生自身的訊息摘要 (Message Digest 4,MD4) 雜湊。MD4 雜湊不是實際儲存在 Active Directory 資料庫或本機的安全性帳戶管理員 (Security Accounts Manager,SAM) 資料庫。NTLM 雜湊比 LM 雜湊更能抵抗暴力攻擊。暴力攻擊 NTLM 雜湊時所花的數量級,要比具有相同密碼的 NTLM 雜湊要長。 ##### 亂度 亂度就是測量系統中混雜程度的方式。密碼亂度的程度取決於本身字元的範圍和秩序的隨機程度。選取足以抵抗破解的密碼時,謹慎挑選顯現在密碼中的亂度是非常重要的。大部份暴力攻擊密碼破解工具,利用搜尋鍵盤上的英數字元和符號來啟動,例如 \` ~ ! @ \# $ % ^ & \* ( ) \_ - + = (有時候稱為「上方列符號」,因為這些符號都位於美式鍵盤上方的那一列上)。有了這個認知,您就可以利用不同的符號來製作更能抵抗破解的密碼,例如以下的符號:\[ \] { } < >。您可以使用 ALT 鍵的組合鍵來增加符號抵抗破解的能力。請注意,因為 LM 雜湊建立方式的緣故,將放在八個字元密碼的第八位置上的符號當作唯一亂度,在密碼複雜性上並沒有太大的影響。要達到最大的亂度和複雜性,整個密碼必須使用非英數字元。 #### 使用 Alt 鍵組合的 Unicode 字元 大部分使用者應該可以找到容易記住的密碼片語,不過對於特別敏感的帳戶,例如具有網域系統管理員權限的帳戶,則強烈建議最好使用 Alt 鍵的組合鍵將 Unicode 字元包含在密碼中。這些是不會出現在標準美式鍵盤上的字元。您可以按住 ALT 鍵 (或大部份筆記型電腦上的 FN 和 ALT 鍵) 來加以輸入,然後在數字鍵台上鍵入一組三個數字或四個數字的數字。 使用這些字元類型可以在兩種方式上強化密碼:首先,密碼破解工具通常不能測試這些字元類型中的字元。第二,使用這些字元可以增加密碼中可能出現的字元範圍,藉由數量級來強化密碼潛在的複雜性。使用 ALT 鍵的組合鍵時,請記得前置字元為零,因為如果去掉零的話會產生不同的字元。例如,ALT+128 是 Ç,而 ALT+0128 則是 €。本節的其他部份著重討論存取整個 Unicode 字元集的四個數字密碼,另外則略過只能存取延伸性質的 ASCII 字元集的三個數字密碼。 以下表格列出可用來當作 ALT 鍵組合鍵的數值。建議數值在 0128 和 1024 之間。表格下方中的每個資料格顯示的是單一值或範圍值。例如,第一個資料格顯示的是「0128-0159」。這表示您可以使用任何介於 0128 和 0159 之間的數值,例如 ALT+0135 對應的就是 Unicode 字元的 "‡"。 **使用建議的 ALT Code 作為 ALT 鍵的組合鍵**
0128-0159 0306-0307 0312 0319-0320
0329-0331 0383 0385-0406 0408-0409
0411-0414 0418-0424 0426 0428-0429
0433-0437 0439-0447 0449-0450 0452-0460
0477 0480-0483 0494-0495 0497-0608
0610-0631 0633-0696 0699 0701-0707
0709 0711 0716 0718-0729
0731 0733-0767 0773-0775 0777
0779-0781 0783-0806 0808-0816 0819-0893
0895-0912 0914 0918-0919 0921-0927
0929-0930 0933 0935-0936 0938-0944
0947 0950-0955 0957-0959 0961-0962
0965 0967-1024      
並非所有 Unicode 字元都能增加密碼複雜性,因為這些字元會轉換成 ASCII 字元,反而產生薄弱的密碼。下列表格顯示*不*應該在密碼中使用的字元碼,以及轉換成 ASCII 的字元。 **不作為 ALT 鍵的組合鍵使用的 ALT 碼**
ALT 碼 Unicode 字元 衍生字元
0175 ¯ _
0190 3/4 _
0222 Þ _
0254 þ _
0101 e E
0200 È E
0202 Ê E
0203 Ë E
0232 è E
0234 ê E
0235 Ë E
0100 d D
0208 Ð D
0240 ð D
0117 u U
0217 Ù U
0218 Ú U
0219 Û U
0249 ù U
0250 ú U
0251 û U
0192 À A
0193 Á A
0194 Â A
0195 Ã A
0224 à A
0225 á A
0226 â A
0227 ã A
0065 A A
0114 r R
0174 ® R
0121 y Y
0221 Ý Y
0253 ý Y
0255 ÿ Y
0120 x X
0215 × X
0111 o O
0210 Ò O
0211 Ó O
0212 Ô O
0213 Õ O
0216 Ø O
0242 ò O
0243 ó O
0244 ô O
0245 õ O
0248 ø O
0105 i I
0204 Ì I
0205 Í I
0206 Î I
0207 Ï I
0236 ì I
0237 í I
0238 î I
0239 ï I
0169 © C
0099 c C
#### 密碼期限和重複使用 使用者也應該經常變更密碼。即使較長而強的密碼比起短而簡單的密碼更難以攻擊,但是還是可能被破解。攻擊者只要有足夠的時間和計算力,終究可以破解任何密碼。一般來說,應該在 42 天之內變更密碼,而且絕對不要重複使用舊的密碼。 [](#mainsection)[回到頁首](#mainsection) ### 為您的組織開發密碼原則 這部分提供下列逐步指令,透過建立「密碼原則」,並用以和組織通訊,來增強安全性。 - 識別您組織的網路中存在何種電腦作業系統 - 瞭解那些作業系統的限制 - 定義密碼在您組織的網路上,需要何種技術需求。 - 指出您組織內,適合「密碼原則」文件和通訊的正式程度 - 以書寫形式記載「密碼原則」 - 系統執行「密碼原則」前,請先與使用者溝通 - 在您組織的電腦系統執行「密碼原則」 - 提醒使用者,瞭解觀察「密碼原則」及其他企業安全性原則的重要性 #### 識別現存作業系統 為指定「密碼原則」,又不會對登入您組織中電腦的使用者造成問題,您需要知道他們使用的作業系統。您可能已經知道何種作業系統正在您的網路使用中。如果不知道,就需要找出來。您不需要知道各作業系統的數量,也不需要精細地清查此時網路中所有的系統。為設計適合的「密碼原則」,您只需要知道是否有任何傳統系統存在。執行 Windows 95、Windows 98,或 Windows Millennium Edition 的電腦是最可能在您網路遇到的傳統作業系統。 - **識別您組織所屬的網路中,何種電腦作業系統正使用中** 您可以要求使用者檢查他們的電腦執行何種版本的作業系統,或到每台電腦親自檢查。不論誰檢查,都要經過此程序: 1. 按一下 \[開始\],再按一下 \[執行\]。 2. 在 \[開啟\] 中,鍵入 **winver.exe**,再按一下 \[確定\]。版本號碼顯示在 \[關於 Windows\] 對話方塊內。 #### 瞭解某些作業系統的限制 正如同我們說明過的,執行 Windows NT 4.0、Windows 2000、Windows XP,以及 Windows Server 2003 的電腦都支援長密碼及強性密碼。而執行 Windows 95、Windows 98 和 Windows Millennium Edition 的電腦不支援。如果網路上任何電腦要執行這些 Windows版本,「密碼原則」就必須適合這些電腦。 對於包含執行 Windows 95、Windows 98,或 Windows Millennium Edition 電腦的組織而言,使用者密碼不能超過 14 個字元,並且不能包括由 ALT 按鍵組合產生的字元。 如果您組織內的所有電腦都執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003,則使用者密碼可長達 128 字元,並且可以包括由 ALT 按鍵組合產生的字元。 #### 定義密碼的技術需求 對執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦而言,您可以執行最多五項關於密碼字元的設定。 在此步驟中,我們提供您關於設定的定義及建議。您將決定組織需執行的值。 **密碼的技術需求**
設定 說明 建議
強制執行密碼歷史記錄 指出重複使用舊密碼之前,使用者必須使用的唯一新密碼數量可以介於 0 到 24 之間,要是設定為 0,就會停用強制執行密碼歷程記錄。 大部分的組織都設定 24 組記憶密碼。
密碼最長使用期限 指出在使用者變更密碼之前必須使用的天數。密碼設定可介於 0 到 999 之間;如果設定到 0,則密碼永遠不會過期。設定太低會給使用者相當多挫折,設定太高或停用將給予潛在攻擊者更多時間,嘗試破解使用者的密碼。 多數組織設定到 42 天。
密碼最短使用期限 指出使用者變更密碼之前必須保留新密碼的天數。此設定是設計來執行 [強制執行密碼歷程記錄] 設定,因此使用者不能迅速重設密碼 24 次,並變更回舊密碼。密碼可以被設定於 0 到 999 之間;如果設定到 0,則使用者可在變更密碼後再立即變更密碼。 大部分的組織設定到兩天。
密碼長度下限 指出密碼最短限度雖然執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦支援最多 128 字元的密碼,此設定只能介於 0 到 14 字元。如果設定到 0,則使用者允許擁有空白密碼;這是永遠不會使用的值。 設定到 8 個字元。
密碼必須符合複雜性需求 指出是否強制執行密碼複雜性。
啟用設定時,使用者密碼會有下列需求:
  • 此密碼至少六個字元長。
  • 密碼字元須包含下列五個類別中的三項:英文大寫字元 (A - Z);英文小寫字元 (a - z);基本阿拉伯數字 (0 - 9);非字母字元 (例如:!、$、# 或 %);Unicode 字元。
  • 密碼不可包含三個以上使用者帳戶名稱的字元。如果帳戶名稱少於三個字元,則此項檢查不會執行,否則密碼拒絕率將過高。檢查使用者全名時,部分字元會視為將名稱分成個別語彙基元的分隔符號:逗號、句號、破折號/連字號、底線符號、空格、井字號和標籤。密碼中佔三個字元以上的任何分隔符號都會被搜尋,如果發現分隔符號,密碼將無法變更。例如,「Erin M. Hagens」會被分成三個分隔符號:「Erin」、「M」及「Hagens」。第二個分隔符號因為只有一個字元長而遭到忽略。因此,此使用者密碼中的任何位置,都不能包含「erin」或「hagens」的子字串。所有的檢查不區分大小寫。
 啟用此設定。
#### 編訂組織的密碼原則文件 接下來,您要決定組織的密碼原則文件的編訂形式。 最低限度,必須寫下將會在組織網路中的電腦上,強制執行哪些設定。 部分組織會以正式的原則聲明來記錄原則。如果您認為組織適用這個層次的記錄形式,您可能會想要參考本文件稍後<相關資訊>中,關於範例原則的連結。 部分組織對於記載這一類的公司原則可能會有調整需求。如果您確信組織有調整需求,那麼在您實行並傳送給使用者之前,應該交由組織的法律顧問進行原則審核。 #### 傳送密碼原則給使用者 所有重要的原則變更,都必須明確地傳送給在您組織中工作的人員。在變更或實行密碼原則時,向受影響的人員清楚解釋您執行哪些動作及原因,是非常重要的。 ##### 供您使用的密碼原則範例 您必須複製下列文字,並發佈給與您一起工作的人員。雖然它已準備好供您使用,但您可以修改潤飾其中的字詞,讓它更符合您的需要及特定密碼原則需求。 您會注意到這個範例文字,既沒有討論也沒有建議使用 ALT 組合鍵;因為對許多使用者來說,使用組合鍵並沒有想像中容易。ALT 組合鍵建議由擁有強大功能或機密性帳戶,且熟悉技術的使用者來使用,例如系統管理員。 致組織成員: 弱性密碼或空白密碼,是攻擊者用來入侵電腦及組織網路的最佳途徑。經年累月一成不變的密碼,或不斷重複使用的密碼,也很容易遭到攻擊者破解。 為了提升網路帳戶的防護,請各位同仁在存取公司電腦系統時,務必使用強性密碼。您需要定期變更密碼,而且必須使用與前一個密碼完全不同的密碼。 強性密碼的最小長度為 8 個字元,並且使用下列五種類別中的三種字元組成: 1. 小寫字母 2. 大寫字母 3. 數字 (例如 1、2、3) 4. 符號 (例如 @、=、- 等等) 5. Unicode 字元 您的密碼也不能包含與使用者帳戶名稱,其中三個或以上相連的相同字元。您需要每隔 42 天變更一次密碼,而且不可以重複使用舊密碼。 在您變更密碼之後,會自動進行密碼複雜性驗證,而且會與前一個密碼進行比對。雖然這些程序表面上看來有些繁雜,致使各位想把密碼寫下來貼到桌上、電腦,或任何其他方便拿取的位置。然而,當您做了這樣的動作之後,等於是將電腦及整個組織曝露在巨大的風險中,因為任何人都可使用您的身份認證,開啟電腦然後登入網路。因此,請務必將密碼牢記在心。或者,建立容易記憶的密碼。 下列是關於密碼安全性的詳細背景資訊,以及如何建立好記的強性密碼的具體建議。 ##### 使用通關片語 比起「密碼」,「片語」更容易讓人聯想到「通關片語」一詞。如果您的電腦是執行 Windows NT 4.0 或早期版本、Windows 2000、Windows XP 及 Windows Server 2003,這些作業系統支援 15 個以上字元的密碼,包括空格。因此,「You can try to break this until the cows come home!」是一個絕對有效的通關片語,即使攻擊者使用最佳的密碼破解工具,也難以破解。如果您的電腦執行的是上述的作業系統,請嘗試使用包括混合大寫字母、小寫字母、數字及符號,長度愈長愈好的通關片語。 注意,您不可以實際使用本文件中的範例密碼,雖然前面曾說「You can try to break this until the cows come home」這個密碼的長度已足夠,但攻擊者可能會將它,以及文件中的其他範例密碼加入到攻擊工具中。這些僅供作範例,您應該建立自己的唯一密碼。 ##### 其他密碼密祕訣 下列提供建立密碼、記憶密碼和密碼片語的祕訣,以及可行、不可行的資訊。 1. **使用一個以上的文字** 不要只使用親朋好友的名字,例如 Allison,而要加入一些別人不知道的部分,例如 AllisonsBear 或 AlliesBear。 2. **使用符號取代字元** 許多人傾向將必要的符號及數字放在文字結尾,例如 Allison1234。很不幸地,這種密碼很容易破解。Allison 就列在包含常見名稱的字典中;一旦破解了這個名稱,攻擊者就只需費心四個更容易猜測的字元。因此,請以容易記憶的符號,取代文字中一或多個字母。許多人對於哪些文字類似哪些符號和數字,都有自己的獨特看法。例如,@ 取代 A、! 取代 l、零 (0) 取代 O、$ 取代 S、3 取代 E。使用 @llis0nbe@r、A!!isonB3ar、A//i$onBear 這些替代密碼,您都可以一眼即知,但攻擊者卻難以猜測或破解。看著鍵盤上的符號,然後想著第一個引起您注意的字元,它可能不會是別人第一個注意到的字元,但您卻會有深刻記憶。請從現在起使用這些符號取代部分密碼字元。 3. **選擇使用您印象深刻的人或事件** 如果想要記住每隔幾個月就必須變更的強性密碼,可以嘗試選擇即將來訪的人仕或公開事件。使用這個方法,每當輸入密碼時,就可以提醒您生活中即將到來的快樂事件,或再次想起您欣賞或愛慕的對象。如果用作密碼的人、事、物是有趣或惹人喜愛的,那麼您一定不會想要忘記密碼。您一定要選擇獨特的密碼。請確認密碼包含兩個以上文字的片語,並在其中插入符號。例如:J0hn$Gr@du@tion。 4. **使用文字語音** 一般來說,攻擊者使用的密碼字典會搜尋內嵌在您密碼中的文字。如前所述,只要使用內嵌符號分離這些文字,您就可以安心使用這些文字。另一個擊敗攻擊者的方法,是避免使用文字的正確拼法,或使用您可以記憶的趣味語音。例如,「Run for the hills」可以是「R0n4dHiLLs!」或「R0n 4 d Hills!」。如果您的經理的大名碰巧是 Ron,每天早上您都可以愉快地輸入密碼。如果您的名字拼法不易聯想,那麼在與攻擊的對戰中您已取得致勝先機。 5. **不要懼怕使用長密碼** 如果您可以將長密碼當作完整片語來記憶,就請使用長密碼。因為愈長的密碼愈難破解。雖然使用長密碼,如果這個密碼是輕易可記住的,即使您不是最好的打字員,您的系統也可能會遇到一些小問題。 6. **使用片語的第一個字母** 如果要建立好記的強性密碼,使用適當的開頭大寫及分句,有助於您記憶密碼。例如:「My daughter Kay goes to the International School.」接著,擷取句中每個字的第一個字母,作為在句中使用大寫字母的依據。在這個範例中,它的結果是「MdKgttIS」。最後,使用一些非英數字元取代密碼中的部分字母。您可以使用 @ 取代 a,或使用 ! 取代 L。經過取代之後,上述範例密碼將會是 MdKgtt!S 這個難以破解的密碼,只要您回想組成密碼的句子,對您來說記憶這樣的密碼並不難。 ###### 可行: - 組合字母、符號及數字,對您來說容易記憶,其他人則難以猜測。 - 建立可頌讀成句的密碼 (不是文字也可以),方便記憶,不必寫在筆記本或其他地方。 - 嘗試使用您座右銘的初始字母,但記得要包含數字或特殊字元。 - 擷取兩件相似的事物,然後在其中插入數字或特殊字元。或是變更拼字方法以包含特殊字元。使用這個方法,您會得到一個完全不相似的結果 (這樣會組成效果卓越的密碼,因為您可以容易記憶,其他人則難以破解)。下列是一些範例: Phone + 4 + you = Phone4you 或 Fone4y0u cat + \* + Mouse = cat\*Mouse 或 cat\*Mou$e attack + 3 + book = attack3booK 或 @tack3booK ###### 不可行: - 請勿使用個人資訊,例如使用者 ID 衍生出來的文數字、家庭成員姓名、暱稱、車號、執照證號、電話號碼、寵物名稱、出生年月日、身份證字號、地址或興趣等。 - 請勿使用以任何語系向前拼或倒著拼的任何文字。 - 請勿在密碼中包含當月月份名稱,例如,不可以在 5 月使用 Mayday。 - 請勿建立與前一個密碼相似的新密碼。 #### 在您的組織中實行密碼原則 現在您已指定、訂定聲明,並將新的密碼原則傳送出去,表示在網路上實行這個密碼原則的時機已成熟。如需關於強制執行密碼使用的資訊,請參閱《Security Guidance Kit (英文)》中的<Enforcing Strong Password Usage Throughout Your Organization>。 [](#mainsection)[回到頁首](#mainsection) ### 相關資訊 如需關於開發密碼原則的更多資訊,請參閱下列: - SANS (SysAdmin, Audit, Network, Security) 網站上的《[Password Policy (英文)](https://go.microsoft.com/fwlink/?linkid=22205)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22205](https://go.microsoft.com/fwlink/?linkid=22205)。SANS 提供建立正式化的公司安全性原則及範例原則的建議。 - 美國國家標準暨技術機構 (National Institute of Standards and Technology,NIST) 網站上的《[Sample Generic Policy and High Level Procedures for Passwords and Access Forms (英文)](https://go.microsoft.com/fwlink/?linkid=22206)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22206](https://go.microsoft.com/fwlink/?linkid=22206)。NIST 擁有的範例,是許多政府機關在開發屬於自己的原則時的依據基礎。 如需關於密碼原則的更多資訊,請參閱下列連結: - Microsoft TechNet 網站上的《[Account Passwords and Policies (英文)](https://go.microsoft.com/fwlink/?linkid=22208)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22208](https://go.microsoft.com/fwlink/?linkid=22208)。 [](#mainsection)[回到頁首](#mainsection)
  • Last updated on