为什么密码不够用？

　　密码是很好的第一层保护，但攻击者可以猜测或拦截密码。即使攻击者确实获得了密码，其他安全措施也可以保护。可以通过避免使用基于个人信息的密码来加强第一层保护；使用最长的密码或密码短语（8-64 个字符）；并且不与其他人共享密码。

　　有哪些额外的安全密码可用？

　　同时使用多条信息来验证身份的多因素身份验证 （MFA）正变得越来越普遍。（MFA 有时被称为两因素身份验证。）即使攻击者获得了用户密码，如果账户受 MFA 保护，他们也可能无法访问用户账户。这种方法背后的理论类似于需要两种或两种以上形式的身份证明或两把钥匙才能打开保险箱。用户应该在 MFA 可用的地方打开它。验证类别包括你知道的信息，你拥有什么的事物，以及你自身特征。

　　知道的信息– 这包括密码或预先确定的问题答案。

　　拥有的东西- 这可能是一个小的物理令牌，例如智能卡、特殊的密钥卡或 USB 驱动器。可以将此令牌与密码结合使用以登录账户。然而，基于软件的令牌也很常见。这些基于软件的令牌可以生成一次性登录个人识别码 （PIN）。其他变体包括通过验证 PIN 发送给用户的 SMS 消息、电话或电子邮件。这些令牌 PIN 通常只能使用一次，并在使用后立即作废。因此，即使攻击者拦截了信息，攻击者也将无法再次使用该信息访问用户帐户。

　　自身特征——生物识别可以包括扫描眼睛（视网膜或虹膜）或指纹、其他面部识别、语音识别或通过签名或击键动作进行身份验证。生物识别的一个常见示例是用于在许多现代智能手机上登录用户的指纹扫描仪。

　　另一种验证形式是使用个人网络证书。与用于识别网站的证书不同，个人 Web 证书用于识别个人用户。使用个人 Web 证书的网站依赖于这些证书和相应公钥/私钥的身份验证过程来验证用户身份。因为识别用户信息嵌入在证书中，所以不需要额外的密码。但是，用户应该有一个密码来保护自己的私钥，这样攻击者就无法访问用户的密钥，无法伪造用户的身份。此过程与 MFA 类似，但有所不同 - 保护用户私钥的密码用于解密用户计算机上的信息，绝不会通过网络发送。

　　还有哪些措施可以确保您的密码安全？

　　信息技术 （IT） 安全专业人员和管理员应实施以下安全措施以进一步保护密码：

　　“盐和哈希”密码。加盐是在密码散列之前向密码添加唯一的随机字符。盐值的长度不应小于 32 位。散列是使用一组算法对密码进行加扰的过程。

　　使用强身份验证恢复机制。弱身份验证恢复机制可能会被滥用，以允许攻击者未经授权访问受影响的系统。强大的机制可防止未经授权访问账户或重置用户密码。

　　实施账户锁定政策。账户锁定应在预定义的失败尝试次数后启动。

　　将账户设置为自动禁用。账户在预定时间处于非活动状态后应自动退出系统被禁用。

　　如果用户丢失了密码或证书怎么办？

　　也许用户忘记了密码，或者重新格式化了计算机并丢失了个人网络证书。大多数组织都有在这些情况下允许用户访问自己信息的程序。为了获得最佳安全性，请及时更新账户中的信息。这包括备用电子邮件地址或电话号码，可在忘记密码时帮助验证自己的身份。

　　对于证书，可能需要请求组织为用户颁发新证书。在密码的情况下，可能只需要提醒。无论发生什么，组织都需要一种方法来验证用户的身份。为此，许多组织依赖秘密问题。

　　当用户开设一个新账户（例如电子邮件、信用卡）时，一些组织会提示用户提供问题的答案。如果用户忘记密码或通过电话请求有关账户的信息，他们可能会问用户设置的问题。如果用户的答案与他们存档的答案相符，他们将假定他们实际上是在与用户沟通。理论上，秘密问答可以保护用户的信息。然而，常见的秘密问题会询问母亲的婚前姓氏、社会安全号码、出生日期或宠物的名字，在中国则可能是小学在那里上的等问题。由于现在可以在线或通过其他公共来源获得如此多的个人信息，攻击者或许能够找到这些问题的答案。

　　将秘密问题视为附加密码——在确定答案时，不要提供真实信息。像选择任何其他好的密码一样选择自己答案，将其存储在安全位置（例如，密码管理器），并且不要与其他人共享。

　　虽然额外的安全措施为用户提供比单独使用密码更多的保护，但不应认为它们是完全有效的。提高安全级别只会让攻击者更难访问用户的信息。在选择可以访问用户个人信息的银行、信用卡公司或其他组织时，请注意 MFA 和其他安全实践。要勇于咨询为自己服务的组织在使用哪种安全实践措施。