教育信息安全/身份验证

内容/介绍 ·· 学校黑客攻击 ·· 法律问题 ·· 安全意识 ·· 管理员意识 ·· 密码学 ·· 安全法规 ·· 密码安全 ·· 专业发展 ·· 网络防御 ·· 移动设备 ·· 恶意软件 ·· 案例研究

“密码通常是抵御入侵的第一道（也是可能唯一的）防线。”麦格雷戈 (2002)^[1]

介绍

许多机构和企业投资巨额资金来创建并确保所有利益相关者都拥有安全的计算机系统。资金的投入汇集了硬件、软件、策略、程序、物理参数和培训，为其数据、网络，最终为其使命构建了防御堡垒。如果没有安全计算机网络的感觉和假设，收入将损失，数据将被破坏，秘密将被泄露。

但每个系统都依赖于用户的标识和身份验证。如果没有用户访问和使用系统的意图，系统就不会被构建，无论该系统为用户提供什么。用户几乎总是从系统管理员以外的远程区域访问系统。他们需要有一种方法来识别每个用户并验证用户的数字身份是否与坐在计算机或服务器前面的物理用户相匹配是强制性的。再加上用户是人类这一戏剧性因素。这种本质正是导致最强大的堡垒中最薄弱环节的原因。正如施奈尔 (2000)^[2] 所说，“将安全……视为一条链。整个系统的安全性仅与最薄弱的环节一样强。”最薄弱的环节很多时候是系统用户；在食物链中，人类占据着显赫的地位，而在计算机网络的访问和安全方面，人类往往是弱小的猎物，或者说是安全漏洞的入口，假设是对正确用户的识别和身份验证。

用于标识和身份验证的用户名/密码组合

一种常见的用户身份验证方法是为特定系统的每个授权用户分配唯一的用户名/密码组合。用户名识别用户，密码认证他；换句话说，人类用户证明其身份对非人类系统是真实的。密码是“用于验证用户身份的单词、短语或杂乱字符的组合”（Granger，2002）^[3]。然而，唯一可以确定的是，用户名和密码组合与系统中有效授权用户的数据库中的用户名/密码组合一致。如果用户远程登录到系统，系统唯一确定的因素是输入的组合与系统用户的存储组合匹配。

Rubens (2008)^[4] 强调，Gartner 研究机构报告称，94% 的企业只需要用户名/密码组合即可登录其各自的计算机系统。这种普及和依赖说明了许多商业机构对简单标识和身份验证访问哲学的信任。与其他安全硬件和软件相比，密码是一种更简单、更便宜的安全措施。密码可以保护用户的个人信息，例如私人文件、财务数据、身份数据或社会安全号码。密码还可以保护专业数据，这可能意味着知识产权、商业秘密、财务数据、人力资源记录或客户信息。将这些数据中的任何一部分泄露给错误的人可能会对个人、专业人士或所有者造成损害和破坏。

正如施奈尔 (2008)^[5] 所警告的那样，“密码的问题在于它们太容易失去控制。人们将其提供给他人。人们将其写下来，而其他人则阅读。人们将其发送到电子邮件中，而电子邮件被拦截。人们使用它们登录远程服务器，他们的通信处于打开状态。它们很容易被猜到。一旦发生这种情况，密码将不再起身份验证令牌的作用，因为您无法确定谁在输入该密码”（240）^[5]。

所有这些密码错误的共同点是“人”——人类具有不可预测和不完美的本性，企业将其最宝贵的资产委托给安全框架。

用户名/密码组合的普及揭示了企业和机构对人们保护其密码隐私的依赖。考虑到人们不可预测和不完美的本性，使用用户名/密码组合确保安全的关键是教育和培训用户，让他们养成一套规章制度，以保护和确保对用户的准确标识和身份验证。

如何发现密码

可以通过猜测或发现密码来获得对计算机或计算机上信息的未经授权的访问，从而发现密码。此过程称为密码破解。Granger (2002)^[3] 指出，人们破解密码最常用的方法是

使用单词列表或字典攻击软件
使用密码破解器（例如 Packetstorm 或 十大密码破解器)
密码嗅探器——查看数据在网络或互联网中传输时的漏洞，并且由于密码的强度仅与其创建者和用户的强度相同，因此必须教育人们养成保持密码强大、私密和安全的习惯。
社会工程——一个人欺骗另一个人，诱骗其提供个人信息，例如用户名和密码
用户鲁莽的密码行为

使用安全实践保护密码

一些安全的密码实践是建立在常识基础上的，而另一些则采用更系统的框架。Schneier (2009)^[6]建议以下密码建议

最重要的建议？使用密码管理器，这是一种跟踪和管理用户密码的应用程序。
经常更改密码。
不要重复使用旧密码。
安排一个更改密码的日期。密码管理器可以为密码分配过期日期，并在需要更改密码时发送提醒。
始终保密密码。用户不应手动或数字化记录他们的密码。不要信任任何人使用用户名/密码组合。
不要使用包含字典单词、生日、常见序列（如连续数字或重复字符）的密码。
不要对多个网站使用相同的用户名/密码组合。
不要允许计算机自动登录或启动，也不要允许应用程序存储密码，因为用户在指定时间内登录。
不要在另一人的计算机上登录用户帐户，以防安装了键盘记录器。
不要通过无线互联网连接访问需要登录的网站，除非使用了 https 协议。
不要通过电子邮件中的链接登录帐户，以防是钓鱼攻击。在网络浏览器中输入正常的 URL（统一资源定位器）以检查请求信息的方。

BlackBerry 用户的密码提示

BlackBerry 设备被吹捧为具有最安全的移动平台（Sacco，2010）^[7]。RIM，制造 BlackBerry 设备的公司，已投入时间和资金，为他们的产品配备安全且强大的基础设施、软件和安全证书。然而，正如 Sacco (2010)^[7]所说，这并不涵盖 BlackBerry 用户所实行的安全或缺乏安全。如果 BlackBerry 设备被盗或丢失，设备的安全性和机器上的数据取决于手机的人类所有者的安全实践。

Sacco (2010)^[8]建议移动设备所有者在保护他们的 BlackBerry 及其信息时使用五个指南，其中两个与密码有关。

如果公司在分配给您拥有和使用的公司手机之前没有这样做，请在 BlackBerry 上启用密码保护。

打开 Blackberry 选项菜单，向下滚动并点击“密码”一词。
选择密码字段，然后使用弹出框启用选项。
点击 BlackBerry Escape 键，保存更改，并输入密码（BlackBerry 手机至少需要四个字符）。
再次输入新密码以确认。
Blackberry 手机现在已锁定。
启用密码保护后，输入密码以解锁 BlackBerry。

Blackberry 手机还提供其他密码安全功能，例如

指定密码尝试次数。
选择安全超时时间。
在下载新应用程序时强制使用密码。

在 Blackberry 移动设备上使用 Password Keeper 应用程序，该应用程序通过输入密码来打开该应用程序，从而存储所有用户密码。

在 BlackBerry 上打开 Password Keeper 应用程序。
创建一个密码来保护所有其他密码。
选择一个难以猜测的密码，因为此密码保护所有用户密码。
要输入并登录每个用户密码
点击 BlackBerry 菜单键，选择“新建”以登录密码。
为要保存的每个密码键入“标题”、“用户名”、“密码”、“网站”、“备注”的信息。
保存所有密码后，用户打开 Password Keeper 应用程序并输入主密码以访问存储在设备上的密码。

iPad 和 iPhone 的密码管理提示

Wagner (2010)^[9]在他的 iPad 可用新应用程序列表中名列前茅，iPad 是最新的 Apple 计算机设备，1Password 位列其中。这个应用程序是由 Agile Web solutions 开发的密码管理软件。该软件也适用于 iPhone。

没有这个特定应用程序，iPad 所有者仍然可以通过指定在使用应用程序之前输入密码来保护应用程序的密码（Brandon，2010）^[10]。

可以在 iPad 上激活此密码保护

设置 > 常规 > 限制
按下启用限制。
键入一个难以猜测的四位数密码（切勿使用出生日期、街道地址、电话号码、社会安全号码或电话号码）。
打开要保护的应用程序的限制。
如果应用程序需要密码才能使用，例如 iTunes，用户将不得不输入两个密码（密码保护的密码和特定应用程序的密码）。

Firefox 网络浏览器的密码保护功能

Firefox 是一款网络浏览器，它为用户提供名为主密码的密码保护功能。当用户第一次打开 Firefox 时，网络浏览器会提示用户输入密码。由于人们意识到钓鱼攻击（一种欺诈性阴谋，在用户不知情的情况下获取用户的敏感信息），许多人对弹出窗口要求我们输入密码、用户名等感到警惕。Horowitz (2010)^[11]建议使用 [1] FreeOTFE 或 TrueCrypt 容器。这些是开源加密软件程序，可在所有平台上运行，通过创建虚拟加密磁盘来保护用户的信息。

Facebook 和密码

Facebook 是一个社交网络网站，迄今拥有超过 4 亿用户，为其成员提供优质且强大的安全信息（“统计数据”，Facebook，2010）^[12]。Facebook 声称对用户采取安全措施和实践是有益的，因为该社交网络网站的许多用户都是年轻人，这支持了高中和大学学生学习的许多相同的密码安全指南。

其中一些指南包括

对不同的在线网站使用不同的密码。
注意用户输入密码的位置。注意网站的 URL。此外，将该 URL 复制并粘贴到新的网络浏览器窗口中，以检查请求者的数字来源。
不要与任何人共享密码；如果组织实行良好的安全原则，任何人都不应该询问密码。
使用难以猜测的密码；确保密码不是用有关用户的明显信息构成的。
创建包含大小写字母、数字字符和符号的组合的密码（“Facebook 安全”，Facebook，2010）^[13]

Microsoft 在线安全密码建议

密码强度由不同类型字符的组合、密码的长度以及它是否与字典匹配来决定（Microsoft，2010）^[14]。

Microsoft 是全球领先的计算机技术公司之一，为用户提供创建强密码的建议

使用至少 14 个字符的密码。
使用各种字符（字母、数字、符号）。
使用整个键盘；不要只使用经常使用的字符。
另一个关键因素是使用上述指南创建密码，用户可以记住这些密码，并且由于其难度而不会记下来。

Microsoft)^[14]。Microsoft 提供以下建议来记住长密码

做什么	建议	示例
1. 从一个或两个句子开始（大约 10 个词）。	想想对你来说有意义的事情。	长而复杂的密码最安全。我保密我的密码。（10 个词）
2. 将您的句子变成一排字母。	使用每个词的第一个字母。	lacpasikms（10 个字符）
3. 使用数字增加长度。	在两个句子之间加上两个对你来说有意义的数字。	lACpAsIKMs（10 个字符）
4. 增加复杂性。	只将字母表前半部分的字母大写。	lACpAs56IKMs（12 个字符）
5. 使用标点符号增加长度。	在开头加上一个标点符号。	?lACpAs56IKMs（13 个字符）
6. 使用符号增加长度。	在末尾加上一个符号。	?lACpAs56IKMs"（14 个字符）

Microsoft Create a Strong Password that You Can Remember Table)^[14].

用户完成上述步骤构建密码后，可以使用 Microsoft 提供的密码检查器应用程序来检查密码的强度，从而检查其安全性^[14]。需要注意的是，用户输入的密码示例不会存储在 Microsoft 维护的此网站上。每个密码都会在用户自己的计算机上检查，而不是由 Microsoft 的 密码检查器 检查^[14]。

即使用户创建了强密码，如果用户没有将保护密码安全和私密的方法付诸实践并养成习惯，那么密码保护的数据安全将无法得到保证。

微软 (2010)^[14] 建议了五条保护强密码的建议：

永远不要通过数字请求、电子邮件或弹出窗口提供密码。
不要在其他人的电脑或公共电脑上输入个人密码。其他电脑可能安装了键盘记录器来捕获访客用户的密码。
永远不要当面或通过电话告诉其他人你的密码。要警惕社会工程学；有些人会伪装成专业人士，要求你提供密码来解决帐户中可能存在的问题 (Schneier, 2000)^[5]。
将记录的密码保存在安全的地方。切勿将密码存储在自己的电脑上。
在不同的网站上使用多个密码。

在 MAC OS X 中启用固件密码保护

默认情况下，打开固件密码保护功能处于关闭状态，但它可以为安装了 MAC OS X 10.1 或更高版本的 Mac 电脑提供密码保护。此软件仅允许从具有正确密码的用户指定为启动卷的卷启动电脑。为了使固件密码安全有效，用户必须付出努力来创建安全且强大的密码，作为物理安全措施 (apple, 2010)^[15]。

可以在 apple 网站上找到此密码保护应用程序的完整说明和功能。

提供 固件更新 列表。

Open Firmware Password 1.0.2 下载 可供使用。

如何保护无人看管的电脑

用户登录电脑后离开，如何保护电脑，防止他人坐下来使用电脑？一种方法是在 Windows 或 GNU/Linux 台式电脑或笔记本电脑上设置屏幕保护密码。

在 Windows 上执行此操作的步骤如下：: 右键单击桌面 > 选择属性 > 单击屏幕保护程序
单击密码保护 > 更改
输入安全密码 > 单击确定 > 单击应用 > 单击确定

离开电脑时将其关机是最安全的做法。

更好的密码实践

Granger (2002)^[3] 指出，最简单的安全措施就是控制计算机网络中最薄弱的环节，即人类。如果人类养成更好的、更私密的密码习惯，那么规划、构建和实施的基础设施更有可能得到保障。

Granger 提出了以下密码安全最佳实践：

不要使用专有名词、字典词或外语词，无论是按拼写顺序还是倒着输入。
不要使用个人信息，例如自己或家人或朋友的姓名、宠物的姓名、街道地址、电话号码或任何其他独特的信息。
创建一个具有长度、宽度和深度的密码。长度表示密码中使用的字符数量。Granger (2002) 建议使用 6 到 9 个字符。宽度是指不同类型字符的组合，即字母、数字、大写字母、小写字母、符号。建议至少包含以下一种类型的字符：
- 大写字母
- 小写字母
- 数字
- 特殊字符，例如符号和标点符号
- 备用字符，例如 µ、£、Æ

密码的深度是指具有意义，但难以猜测的密码。当用户考虑短语和记忆技巧而不是单词时，可以实现这一点。一个例子可以在密歇根大学 (2009)^[16] 信息与技术服务网站上找到

通过使用短语中每个单词的首字母并结合其他规定的标准来创建一个强大且难忘的密码。例如，“Four score and seven years ago our fathers brought forth” 变成 4S&7yaofb4th。
在不同的网站上使用不同的密码
如果可以，请找到方法向登录密码添加加密或一次性密码功能。后者要求用户拥有密码生成器、密码列表或安全卡。
- 密码生成器
- 切换到 智能卡（密码） 指示
- 加密 (PGP)
永远不要通过电子邮件、电话或面对面互动向任何其他方透露密码。
永远不要写下密码。记住它。如果必须写下一些东西来记住密码，请写下密码的提示，而不是密码本身。
定期更改密码。密码保护的信息越敏感，更改频率就越高或间隔就越短。
不要让任何人观看或站在你身后，当你输入密码时。

Tim Tyson 博士，一位教育顾问和退休的中学校长，在他的“实用实践”博客中提供了以下建议：春季大扫除：密码安全和组织.

教学生更好的密码实践

在教学生了解他们在学校网络上的责任时，与该地区的可接受用户策略相结合，我们作为教育者必须教授并强调良好的密码实践。这从 K12 级开始，一直持续到高等教育。以下学院和大学有特定的密码协议、程序和教育页面，教学生练习更好的密码指南。

在 K12 级，教师可以将更好的密码实践作为该地区的可接受用户策略的课程和安全措施的一部分，教授给学生。

值得思考的密码实践
任何密码都可以被“破解”。创建一个难以猜测的密码。

注意找出用于输入密码的密码是多么容易。无论它是手动“试错”还是数字“试错”，数据安全的最佳防御是遵循最佳实践来创建和保护密码。

媒体：Electronic_lock_yl88_operation.ogg

参考文献

↑ MacGregor, T. (2001, May 13) “密码审核和密码过滤以提高网络安全”。SANS 研究所。2010 年 4 月 13 日从 http://rr.sans.org/authentic/improve.php 检索
↑ Schneier, B. (2000)。秘密与谎言：网络世界中的数字安全。印第安纳波利斯，印第安纳州：Wiley 出版公司。
↑ ^a ^b ^c Granger, S. (2002, January 17)。“最简单的安全：更好地使用密码的指南”。赛门铁克安全。2010 年 4 月 9 日从 http://www.symantec.com/connect/articles/simplest-security-guide-better-password-practices 检索无效的<ref>标记；名称“Granger”定义了多次但内容不同
↑ Rubens, P. (June 2008)。超越密码的用户身份验证。QuinStreet, Inc. 2010 年 4 月 1 日从 http://www.enterprisenetworkingplanet.com/netsecur/article.php/3756206 检索
↑ ^a ^b ^c Schneier, B. (2008). Schneier on security. Indianapolis, ID: Wiley Publishing, Inc. Invalid <ref> tag; name "Schneier" defined multiple times with different content
↑ Scheier, B. (2009 年 8 月 10 日). Schneier on security [Msg 1]. Message posted to http://www.schneier.com/blog/archives/2009/08/password_advice.html
↑ ^a ^b Sacco, A. (2010 年 3 月 2 日). Five tips to keep your Blackberry safe. Computer World. Retrieved March 30, 2010 from, http://www.computerworld.com/s/article/print/9165238/Five_tips_to_keep_your_Blackberry_safe?taxonomyName=Security&taxonomyId=17 Invalid <ref> tag; name "Sacco" defined multiple times with different content
↑ Sacco, A. (2010 年 3 月 2 日). Five tips to keep your BlackBerry safe. Computer World. Retrieved March 30, 2010 from, http://www.computerworld.com/s/article/print/9165238/Five_tips_to_keep_your_Blackberry_safe?taxonomyName=Security&taxonomyId=17
↑ Wagner, M. (2010 年 3 月 23 日). Apple’s Ipad: Developers discuss their plans for apps. [Msg 1]. Computer World Blogs. Message posted to http://blogs.computerworld.com/15800/ipad_apps
↑ Brandon, J. (2010 年 4 月 9 日). 50 really useful iPad tips and tricks. Apple News. Retrieved April 11, 2010 at http://www.techradar.com/news/computing/apple/50-really-useful-ipad-tips-and-tricks-682306
↑ Horowitz, M. (2010 年 3 月 3 日). Trust no one and how it applies to Firefox passwords. [Msg 1]. Computer World Nlogs. Message posted to http://blogs.computerworld.com/15687/trust_no_one_and_how_it_applies_to_firefox_passwords
↑ “Statistics”. (2010). Facebook. Retrieved on April 13, 2010 from, http://www.facebook.com/press/info.php?statistics
↑ “Facebook Security”. (2010). Facebook. Retrieved on April 10, 2010 from, http://www.facebook.com/security?v=app_4949752878#!/security?v=app_7146470109
↑ ^a ^b ^c ^d ^e ^f Microsoft. (2010). Microsoft online safety and privacy education. Retrieved April 14, 2010 from, http://www.microsoft.com/protect/ Invalid <ref> tag; name "Microsoft" defined multiple times with different content
↑ Apple. (2010). “Setting up firmware password protection in MAC OS X”. Retrieved April 10, 2010 from http://support.apple.com/kb/HT1352
↑ Information and Technology Services. (2009 年 10 月). “ITSDocs: Choosing and changing a secure UMICH password”. University of Michigan. Retrieved April 16, 2010, from http://www.itd.umich.edu/itcsdocs/r1162/#protect

联系作者: Mwiscount (谈话) 12:52, 2010 年 4 月 18 日 (UTC)

[1] MacGregor, T. (2001, May 13) “密码审核和密码过滤以提高网络安全”。SANS 研究所。2010 年 4 月 13 日从 http://rr.sans.org/authentic/improve.php 检索

[Scheier-2] Schneier, B. (2000)。秘密与谎言：网络世界中的数字安全。印第安纳波利斯，印第安纳州：Wiley 出版公司。

[Granger-3] Granger, S. (2002, January 17)。“最简单的安全：更好地使用密码的指南”。赛门铁克安全。2010 年 4 月 9 日从 http://www.symantec.com/connect/articles/simplest-security-guide-better-password-practices 检索无效的<ref>标记；名称“Granger”定义了多次但内容不同

[Rubens-4] Rubens, P. (June 2008)。超越密码的用户身份验证。QuinStreet, Inc. 2010 年 4 月 1 日从 http://www.enterprisenetworkingplanet.com/netsecur/article.php/3756206 检索

[Schneier-5] Schneier, B. (2008). Schneier on security. Indianapolis, ID: Wiley Publishing, Inc. Invalid <ref> tag; name "Schneier" defined multiple times with different content

[Schneier_Blog-6] Scheier, B. (2009 年 8 月 10 日). Schneier on security [Msg 1]. Message posted to http://www.schneier.com/blog/archives/2009/08/password_advice.html

[Sacco-7] Sacco, A. (2010 年 3 月 2 日). Five tips to keep your Blackberry safe. Computer World. Retrieved March 30, 2010 from, http://www.computerworld.com/s/article/print/9165238/Five_tips_to_keep_your_Blackberry_safe?taxonomyName=Security&taxonomyId=17 Invalid <ref> tag; name "Sacco" defined multiple times with different content

[Sacco<ref_name=-8] Sacco, A. (2010 年 3 月 2 日). Five tips to keep your BlackBerry safe. Computer World. Retrieved March 30, 2010 from, http://www.computerworld.com/s/article/print/9165238/Five_tips_to_keep_your_Blackberry_safe?taxonomyName=Security&taxonomyId=17

[Wagner-9] Wagner, M. (2010 年 3 月 23 日). Apple’s Ipad: Developers discuss their plans for apps. [Msg 1]. Computer World Blogs. Message posted to http://blogs.computerworld.com/15800/ipad_apps

[Brandon-10] Brandon, J. (2010 年 4 月 9 日). 50 really useful iPad tips and tricks. Apple News. Retrieved April 11, 2010 at http://www.techradar.com/news/computing/apple/50-really-useful-ipad-tips-and-tricks-682306

[Horowitz-11] Horowitz, M. (2010 年 3 月 3 日). Trust no one and how it applies to Firefox passwords. [Msg 1]. Computer World Nlogs. Message posted to http://blogs.computerworld.com/15687/trust_no_one_and_how_it_applies_to_firefox_passwords

[Facebook_Statistics-12] “Statistics”. (2010). Facebook. Retrieved on April 13, 2010 from, http://www.facebook.com/press/info.php?statistics

[Facebook_Security-13] “Facebook Security”. (2010). Facebook. Retrieved on April 10, 2010 from, http://www.facebook.com/security?v=app_4949752878#!/security?v=app_7146470109

[Microsoft-14] ↑ ^a ^b ^c ^d ^e ^f Microsoft. (2010). Microsoft online safety and privacy education. Retrieved April 14, 2010 from, http://www.microsoft.com/protect/ Invalid <ref> tag; name "Microsoft" defined multiple times with different content

[15] Apple. (2010). “Setting up firmware password protection in MAC OS X”. Retrieved April 10, 2010 from http://support.apple.com/kb/HT1352

[16] Information and Technology Services. (2009 年 10 月). “ITSDocs: Choosing and changing a secure UMICH password”. University of Michigan. Retrieved April 16, 2010, from http://www.itd.umich.edu/itcsdocs/r1162/#protect

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]