所謂密碼重用就是在多個(gè)網(wǎng)站或賬戶上重復(fù)使用相同的密碼。當(dāng)這樣的密碼被暴露，再加上姓名，登錄名，電子信箱地址等其它可識別信息，就會為用戶帶來信息安全上的危害。

密碼重用是如何成為威脅的?

密碼重用成為一種安全威脅是因?yàn)槿绻麗阂庑袨檎攉@取了一些可以識別用戶身份的信息，他就可以對一個(gè)重復(fù)使用的密碼加以利用。這通常發(fā)生在以下情形之一：

在第一種最常見的情況下，惡意行為者搜索用戶的其它賬號,并試圖用同樣的密碼去登陸。有時(shí)，他們尋找一些個(gè)人賬號，比如Facebook，Twitter，或者銀行的網(wǎng)站。如果他們成功找到這些賬號，而用戶又使用了重復(fù)的密碼，他們就能夠以用戶的身份登陸。有時(shí)，惡意者還會嘗試識別用戶的工作賬號，并進(jìn)行遠(yuǎn)程登陸，例如通過遠(yuǎn)程訪問電子郵件或考勤卡的賬號。

第二種涉及到惡意網(wǎng)站的情況比較少見，但仍然構(gòu)成了威脅。在這種情況下，網(wǎng)絡(luò)上的惡意者建立一個(gè)網(wǎng)站，并使其極其類似合法網(wǎng)站，要求用戶輸入電子郵件地址，密碼或其它的信息來訪問網(wǎng)站。一旦用戶這樣做了，惡意這就獲取了用戶的身份信息，進(jìn)而可以搜索用戶的其它賬戶，并使用相同密碼登陸這些帳戶。

避免密碼重用

避免密碼重用往往是具有挑戰(zhàn)性的，因?yàn)樵S多需要密碼保護(hù)的網(wǎng)站和帳戶，要求密碼具有復(fù)雜性，比如，要求用戶每過一段時(shí)間更新密碼。用戶則為了方便記憶，只好在多個(gè)賬戶中使用重復(fù)的密碼。有兩種方法既可以避免密碼重用，又能確保用戶的密碼滿足密碼復(fù)雜性的要求:

第一種方法是使用密碼管理器來記住每一個(gè)密碼。密碼管理器是可以使用于計(jì)算機(jī)，智能電話，或在云中的應(yīng)用程序。它可以安全地跟蹤密碼，以及密碼被使用的地方。大多數(shù)密碼管理器還可以按用戶的需求為每個(gè)賬戶生成復(fù)雜的隨機(jī)密碼。只要訪問密碼管理器本身的密碼足夠安全，復(fù)雜，這種技術(shù)是很有效的。但是，如果密碼管理器應(yīng)用程序受到攻擊(這是確實(shí)可能發(fā)生的!)，所有被管理的密碼都可能被泄露。如果用戶選擇使用一個(gè)常駐在本地計(jì)算機(jī)或智能手機(jī)上的密碼管理器，一旦計(jì)算機(jī)被惡意軟件攻擊，或用戶丟失了智能手機(jī)，所有由密碼管理器管理的密碼都可能被暴露。所以，選擇密碼管理器時(shí)，要確保它來自一個(gè)知名的，值得信賴的公司，以避免受到損害。

第二種方法是為密碼選擇一個(gè)可重復(fù)的模式。比如，選擇一個(gè)關(guān)于網(wǎng)站或帳戶一些特性的句子，然后使用每個(gè)單詞的第一個(gè)字母作為密碼。例如，根據(jù)句子：“This is my March password for D1Net.”，密碼就成了“TimMp4D.”。一個(gè)強(qiáng)大的密碼應(yīng)該是復(fù)雜的，需要包括大寫和小寫字母，數(shù)字和符號。上面例子中的這個(gè)密碼就保存了句子中的首字母大寫，把“for”翻譯為數(shù)字“4”，并包括了句尾的標(biāo)點(diǎn)“.”來添加一個(gè)符號到密碼中。這項(xiàng)技術(shù)也有其弱點(diǎn)：如果來自同一個(gè)用戶的多個(gè)密碼被暴露，這個(gè)可重復(fù)的模式則可能被人猜出并被利用。

不論如何選擇密碼，保持密碼的獨(dú)一無二是極為重要的。有些公司，如Facebook，已經(jīng)在開發(fā)相關(guān)技術(shù)來識別用戶的密碼重用。這其中包括監(jiān)控被暴露的用戶名，電子郵件和密碼清單，并試圖用這些清單去匹配現(xiàn)有Facebook用戶的用戶名和電子郵件地址。一旦發(fā)現(xiàn)匹配，F(xiàn)acebook則會要求用戶重置密碼，以避免密碼重用的危害。

作者簡介：

在美國從事計(jì)算機(jī)領(lǐng)域的工作已近15年，現(xiàn)在全美最大的醫(yī)療保險(xiǎn)公司做安全架構(gòu)工作。如果想和作者交流，可以加作者的微信：k591600

如果您在企業(yè)IT、網(wǎng)絡(luò)、通信行業(yè)的某一領(lǐng)域工作，并想把自己的想法或觀點(diǎn)分享出來，歡迎給企業(yè)網(wǎng)D1Net投稿，投稿郵箱：editor@d1net.com