我們從安全管控產品的定位,延伸到現在企業對於信息安全的重視層度,就有人提到了密碼的管理。我們IT部的經理就說起最近他碰到的一個客戶的市場人員向他抱怨“微軟的密碼管理策略真的是反人性”。我們聽到這個都笑了。當然,事實場景是微軟只是提供了密碼管理的機制,而最終執行的策略還是取決於企業自己的配置。

於是我們馬上切換到自身的場景,我們的公司以及我們的幾個重要客戶一直執行着非常嚴格的密碼管理策略,我相信比這位抱怨的客戶所面對的規則,有過之而無不及。

大致的密碼管理策略:

1、密碼8位以上

2、必須有大小寫字母、特殊字符還有数字

3、每三個月失效需強制修改

4、設定密碼兩年內不能重複

確實,我自己這麼多年來還着實碰到了幾次有意思的場景。比如重設密碼,早些年我給某個測試環境的賬號重置密碼,就被折磨得夠嗆。因為是Linux的命令行式交互,體驗和出錯提示也一般,而且涉及到多台服務器的同步。歷經了原始密碼輸錯、新密碼和之前重複N回、特殊字符N次出錯(一些有轉義功能的特殊字符都得迴避)等各類場景,甚至一度懷疑是否密碼重置系統本身出了故障或是和我過不去。

整整半小時,才終於在和這套修改密碼系統的搏鬥中狼狽勝出。其實,要設置一個符合它規則的密碼並不難,難度在於設置出來之後還能夠讓自己記得住。記密碼是一個技術活,我最得意的就是我曾經有一張銀行卡,初始密碼是一組沒啥規律的数字,我就一直沒改它,就這麼硬記了16年直到這個月把它銷掉;期間忘記了無數次,但是又無數次記起來,沒有一次勞煩銀行幫忙改密碼。

回到我們的討論,我們老闆非常有勁地介紹他的密碼管理心得:就是設定自己的一套Pattern,基於這套Pattern來重設密碼和記憶密碼,保證Pattern的運作2年內不重複。討論現場,我和安全測試團隊的小夥伴就提出有規律的密碼生成方式會帶來一些風險,給黑客或者有心人提供便捷。

而實際上,我自己的密碼管理策略也是類同的;而且我相信在我們嚴格密碼管理體系中待久了的老夥計們應該都有一套密碼管理心得,很可能大家都大同小異。比如我的密碼就用了一個很基礎的算法,只是驅動算法得有一個簡單的“種子”,於是我的使命就是記住最新的“種子”。

重點是!要做到這一點也不容易,“種子”很可能會被忘記,所以我偶爾還會把種子通過明文的形式放在一些不起眼的地方。從安全的角度,如果有心人去摸索,收集我的個人信息、觀察我的喜好、偶爾偷瞄一下我輸手機開機密碼、有機會看到我的一些紙片文字(特別申明:以上純屬虛構、不構成本人密碼策略要素,讀者的密碼策略如有被猜中,請自行修改和強化),綜合分析再加上常規的暴力破解技術,要攻破也不是特別難的事情;當然這是另外的話題了。

很不幸的是,很多時候我真的把“種子”忘了,而且年紀大了以後,甚至連線索都不記得留過。於是,就有那麼些時候,比如某個長假過後、比如剛重置密碼后,會突然把密碼給忘記了。

在企業中我們還是可以找IT部門重新初始化密碼。有一次,我忘記了密碼而且還因為試錯多次把賬號給鎖定了,於是打電話給支持部門請求幫助;在經歷了多重考驗向他們證明我是我之後,操作員直接回復我說,“您的賬號已經解鎖,請試一下”。我只能說,我不小心把密碼給忘記了,得重置密碼;對方直接回了句“密碼不是每天都用的么,怎麼會忘記呢”。碰到這麼敬業和較真的接線員,真是大寫的尷尬啊。

為了避免這樣的尷尬,我們得找到自己的辦法。我想起了多年前,我們美國的一位同事教我的一招:因為他在寫代碼之前是彈鋼琴的,手指彈鋼琴會有記憶很多時候是不經過大腦思索的,而他覺得敲鍵盤也是如此;於是,某次他實在想不起密碼的時候,就活動一下手指,閉上眼睛,手指摸到鍵盤后,噼里啪啦一下,就登進去了。

於是在某個早上,在我已經連續試了兩個我記憶中的密碼都失敗后,我決定“鋌而走險”試一下這一奇招。我起身去倒了一杯水,慢慢地喝幾口,然後做一下手指屈伸運動,讓身心手指都放鬆,很自然地拉過鍵盤,下意識地“噼里啪啦”一番,隨着流暢地回車鍵按下去~~~然後,你猜~~