圆形木质模板：密码卫生可以加强对网络攻击的防御。

网络安全和基础设施安全局(CISA)将10月定为网络安全月。CISA网络峰会的召开是关于许多激动人心的对话网络的脆弱性、合作的可能性以及积极参与网络安全团队战略培训的重要性。

在每一条赛道上，在每一场研讨会上，响亮的警告声就是良好密码卫生的重要性。在经历了几十年的勒索软件、病毒和身份盗窃之后，我们仍然在写关于密切关注密码的重要性的文章。

接下来是与位于马萨诸塞州伯灵顿的Veracode联合创始人兼首席技术官克里斯威奥斯帕尔(Chris Wyospal)进行的一场务实而严肃的问答。在此期间，作者有过恐慌发作，然后针对她自己缺乏网络安全。

问与答。与克里斯威奥斯帕的对话

VentureBeat:我承认我换轮胎比换密码更频繁。你如何说服人们更认真地对待他们的密码？

克里斯威奥斯帕尔：黑客可以在0.29毫秒内破解一个七个字符的密码。这是一个惊人的统计数据。用一个密码多次登录听起来很诱人；但是，恢复密码只会导致黑客通过成功的攻击获得对多个帐户的访问权限。选择密码时，尽量使用长度为12个或更多字符的随机单词序列。使用密码管理器可以帮助您为每个网站使用不同的密码。

VentureBeat:克里斯，汽车喇叭可能会令人惊讶。这个数据太吓人了。临时用户如何以有用的方式了解不断变化的安全形势？

Wyospal:关注新闻，关注网络安全事件。通过向行业专家、安全出版物和软件安全提供商学习，临时用户将能够了解网络安全威胁在哪里，以及如何将其最小化。

VentureBeat:我应该从哪里获得可靠的信息？

威奥斯帕尔：美国网络安全和基础设施安全局(CISA)是一个很好的起点。该协会为消费者和企业提供关于如何保持在线安全的提示和资源，包括使用多因素身份验证、维护在线隐私以及如何最好地保护以数字形式存储的重要信息。此外，请确保您的应用程序和设备配置为自动检查最新的软件更新。

当你的家庭办公室必须满足办公室要求时

VentureBeat:随着越来越多的人在家工作或远程混合变种，家庭办公室的最低安全级别应该是什么？那些额外的东西要花多少钱，谁来支付？

威奥斯帕尔：让我们从在家工作时要考虑的一些最大风险开始，并解释如何纠正它们。第一个风险是VPN连接。在家工作时，你应该连接到公司的VPN，它会加密你的数据并伪装你的IP地址，使其位置对所有人(最重要的是攻击者)都不可见。

远程办公的另一个风险是员工将个人电脑连接到公司网络。他们的安全级别通常与雇主提供的不同，他们可以为黑客提供进入公司网络的网关。

员工必须严格遵守公司的网络安全政策，遵守连接要求——，这是为了自己和整个组织的安全。

如果您使用的是无线网络，请确保您使用的是密码不可预测的WPA2加密。在工作电脑上加载软件可能很诱人，但不要安装与工作无关的已批准的应用程序。

不，布玛儿，你不能用Abc？123!对于每个密码

VentureBeat:一些浏览器现在提供“选择建议的密码”选项。这是更安全的选择吗？

Wyospal:选择使用建议的密码不太安全，是吗？当使用浏览器作为伪密码管理器时，您没有使用最高级别的密码安全性。浏览器的主要任务是让它们的系统在访问不同的Web应用程序时运行流畅，并且对用户友好，而不是保护您的密码和个人信息的安全。

您应该使用第三方密码管理器，其唯一目的是创建强密码并确保您的信息安全。选择密码管理器时，有许多免费和付费选项，包括许多可下载应用程序的选项。

VentureBeat:我想我得了恐慌症。今天我要做一个真正的改变。如何选择最佳的多因素登录？

Wyospal:多因子登录、通用第二因子(U2F)、基于时间的一次性密码、向注册号发送短信三种选择。

U2F设备通常通过USB连接到您的设备。这项服务需要您的密码和U2F设备的存在。除了猜测你的密码，攻击者还必须窃取或复制你的U2F设备。虽然许多主要服务支持这些便宜的设备，但缺点是携带不方便。

基于时间的一次性密码(TOTP)系统使用一个应用程序(通常在移动电话上)来生成一个经常变化的六位数代码。这项服务将需要您的密码和当前的TOTP代码。除.之外

猜测您的密码外，攻击者还需要窃取或复制您 上的数据。有多种应用程序可供选择来管理您的 TOTP 代码，而且大多数都是免费的。

SMS 系统会向注册的 号码发送一条短信，因此攻击者除了猜测您的密码外，还需要能够阅读您的短信。由于 SMS 或蜂窝文本消息协议的安全性弱点，这是三者中最不安全的解决方案。

VentureBeat：密码短语是否比密码更安全?

Wyospal：密码短语是比密码更安全的选择。与流行的看法相反，拥有长密码比拥有复杂密码更重要。我对开发人员的建议是确保他们的系统接受至少 64 个字符的密码字段。

VentureBeat：有时最难的部分只是想出一个短语。你能推荐一个想出密码短语的技巧吗?

Wyospal：使用基本密码学。在键盘上将密码输入上一行或下一行，或使用首字母缩写词来表示更长的短语会使密码更难猜测。但是，不要过度使用这种技术，否则您可能会忘记自己的密码。您还应该避免重复使用密码、使用模式以及使用名言或歌词。如果攻击者设法猜测或恢复您的一项服务的密码，他们很可能会尝试使用该密码及其变体来登录其他服务;为每项服务使用独特的短语或密码学使这变得更加困难。

VentureBeat：如果我为我访问的每个网站保存所有登录名和密码，这到底有多危险?这只是为了让我可以跟踪我的星巴克积分，支付我的梅西百货卡，并通过使用我的信用卡的在线聚合器预订我的旅行......哦。我知道了。

Wyospal：直接在浏览器中保存所有网站的登录名和密码是极其危险的。许多浏览器不需要身份验证来访问密码，因此如果有人访问您的系统，他们也有可能访问您保存的所有登录信息。

其次，由于许多人重复使用密码，即使黑客只能访问您的一个密码，他们也可能会在许多其他平台上对其进行测试，从而对您的帐户造成类似多米诺骨牌的影响。

第三个风险是，当您让浏览器在返回站点时填写您的登录凭据时，它会扫描数据库，然后输入您的信息。如果该数据库被黑客入侵，或者数据被泄露，那么您的信息和登录凭据也会被泄露。