深入认识如何选择与保护密码强度

密码是一种常见的认证形式，而且经常是使用者和你的个人信息之间的唯一壁垒。攻击者可以使用一些程序来帮助猜测或“破解密码，但是通过选择一个好的密码并做好保密工作，你就可以使未经授权进入你的信息变的非常困难。
为什么你需要一个密码？
想想每天你要使用多少个个人标识码，密码或密码口令：从ATM取钱或在商店使用银行借记卡时，登陆你的电脑或电子邮件时，签署网上银行账号或网上购物时……看起来名单只会越来越长。记住所有这些数字，字母和单词组合可能会让你时不时地感到沮丧，没准你也会怀疑这些烦琐的工作是否值得。毕竟，攻击者关心的是你的个人电子邮件账号，不是吗？还有在别人的账号有很多钱的情况下，还会有人骚扰你的空空如也的银行账号吗？
攻击者常常不是只想要进入你的账号，他们想要获得进入你的资料的权限来发动更大的攻击。也许看起来有人能够进入你的个人电子邮件并不比侵犯个人隐私更严重，但是想想如是进入的是你的社会安全保险账号或是医疗记录呢？
保护个人资料和有形资产的最好方法之一就是仅让得到授权的人进入账号。接下来的步骤是确认人物身份是否如他所说，这个认证的步骤更为重要，在数码世界里实现它也更为困难。密码是最常用的认证手段，不过假如你没有选择一个好的密码且将它保密好，它就会形同虚设。很多系统和服务都可以侵入账号都归因于不安全和不恰当的密码，有些病毒软件和蠕虫病毒可以猜测出较简单的密码。
怎样选择一个好的密码？
很多人使用的密码都基于他们的个人信息，这样很容易记忆。但是，这样也更容易被黑客猜出或破解。起一个4个数字的PIN码时，你会用你的生日的年月日来组合吗？或是你的社会保险号码的后四个数字？或者你的地址和电话号码？想想找到一个人的个人信息是多么容易。那么你的电子邮件密码呢？—是一个在字典中能找到的单词吗？如果是，就可能会被那些“字典攻击者攻击，他们是基于运用字典信息来猜测密码的攻击者。
尽管有意拼错单词（如用“daytt代替“date）可以为防御字典攻击者提供一些保护，更好的方法是依靠单词串联和使用记忆技巧，或记忆术，帮助你记得如何破解它。比如，使用“llTpbb来代替密码“hoops，“llTpbb是"[I][l]ike [T]o [p]lay[b]asket[b]all."的缩写。使用小写和大写两种字母来增加一层隐型保护。不过最好的防御方法还是使用数字、特殊字符、小写和大写两种字母的组合。把上面的例子再改变一下我们得到"Il!2pBb."可以看到增加了数字和特殊字符后它变的复杂的多了。
不要以为你已经制定了强有力的密码，就可以在你登陆的每个系统和程序中使用它。如果一个攻击者猜到了你的密码，他就可以进入你所有的账号。你应该使用这些技巧来为每一个账号制定独特的密码。
现在回顾一下选择密码时的策略：
不要使用基于个人信息的易被猜出的密码
不要使用在任何字典或语言中能找到的单词
使用记忆术来记住复杂的密码
同时使用小写和大写字母
使用字母、数字和特殊字符的组合
在不同的系统中使用不同的密码
怎样保护你的密码？
现在你已经选好了一个难猜的密码，你得确保不会把它放在什么别人能找到的地方。写下来放在你的桌子上，电脑旁边，或者更糟糕的，贴在电脑上，都会使任何进入你办公室的人轻易得到你的密码。不要把密码告诉任何人，还要小心通过电话、电子邮件的方式要求你提供密码的欺骗行为。
如果你的互联网服务提供商（ISP）提供系统认证的选择，那么选择那些使用Kerberos，基于挑战/响应类型的，或公开密钥的系统，而不是简单的密码（请参考理解ISP和加强口令了解更多的信息）。可考虑挑战那些只用口令的服务商，让他们采用更安全的方法。
另外，很多程序都提供了“记住密码的选项，但是这些程序保护信息的安全级别各不相同。有些程序，比如电子邮件程序，把信息按文本文件存入你的电脑。这意味着任何能够进入你电脑的人都可以发现你所有的密码，由此得到进入你信息的权限。因此，如果使用的是公共电脑，要一直记得登出账号（在图书馆，网吧，甚至是办公室里公用的电脑）。当你的密码过多时，其他使用强大的加密术来保护密码的程序，如Apple’s Keychain和Palm"s Secure Deskto，可以提供可行性的选择管理密码。
虽然这些方法不能完全确保阻止攻击者得到你的密码，但是它们肯定会使之变得更为困难。

　1、Alerter
Alerter（警示器）服务的进程名是Service.exe（即启动这个服务后在后台运行的进程名称，可以通过任务管理器看到，下同）。Alerter服务的功能是，WinXP将系统上发生的与管理有关的事件以警示（Alert）信息传送至网络上指定的电脑或用户，例如当发生打印错误或硬盘即将写满等事件，这类警示信息由WinXP的警示器服务（Alerter Service）收集、送出。尽管Alerter依存的服务并没有Messenger（信使）服务，但Alerter服务必须依靠后者才能送出信息，故在启动Alerter服务后还必须确定Messenger服务也在工作状态，而接收的电脑也必须启动Messenger服务。由于Alerter服务运行后，服务是用户可以发送“弹出（Pop-up）信息给其他用户，这些信息有可能被攻击者用来实施攻击，如诱骗用户修改口令等，从而造成安全隐患。同时该服务使得用户账号泄漏，也有可能被攻击者利用来进行口令猜测攻击。所以对于家庭单机用户，甚至对于绝大多数小型的局域网来说，这个功能是完全可禁用的，不仅节省了系统资源和加快启动速度，也提高了机器的安全性。
2、Application Layer Gateway Service
简称“ALG（应用层网关）的进程名是alg.exe，WinXP Home/Pro默认安装的启动类型为手动。ALG又被称为代理服务器（Proxy Server），是网络防火墙从功能层面上分类的一种。当内部计算机与外部主机连接时，将由代理服务器担任内部计算机与外部主机的连接中继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接，如果代理服务器上未安装针对该应用程序设计的代理程序时，任何属于这个网络服务的封包将无法通过防火墙。通俗点说，具体到ALG本身，它就是附带的Internet连接共享/防火墙的具体控管程序，如果你需要启动这二者，这个服务是必备的。当然，只有一台计算机的上网家庭可以考虑禁用这个服务，不过WinXP内置的防火墙效果还是不错的，如果不是坚持要用第三方的防火墙，还是开着它吧。
3、Application Management
AppMent（应用程序管理服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为手动，没有任何依存服务关系。从Win2000开始，微软引入了一种基于MSI文件格式（应用程序安装信息程序包文件）的全新、有效软件管理方案——即应用程序管理组件服务（Application Management），它不仅管理软件的安装、删除，而且可使用此项服务修改、修复现有应用程序，监视文件复原并通过复员排除基本故障等。通常这个服务我们保持其默认状态较好。
可能许多朋友都有印象，当年ACDSee4.0刚发布时，由于安装制作上的考虑不周，并没有考虑到那个时候大多数人的系统还并不支持MSI安装格式，结果只得又去下载安装一个名为Windows Installer的MSI辅助文件才解决问题。通常以MSI文件格式安装的软件十分好认，比如说Office XP，当你安装后再次运行软件的安装程序时，它一般会有“重新安装、“修复软件、“卸载软件多个选项，而不是以前安装程序那种就简单地卸载或覆盖安装了事。
4、Automatic Updates
Wuauserv（自动更新服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为自动，没有任何依存服务关系。这个是大家都非常熟悉的系统自动更新功能，就不多说了。用小猫上网而深受其苦的朋友记得在系统属性中关闭是不够的，还要将Automatic Updates这个服务禁用才可以。以后需要更新，直接在IE中输入Windows Update网站地址http://v4.windowsupdate.microsoft.com/zhcn/default.asp手动更新即可。
5、Background Intelligent Transfer Service
BITS（后台智能传输服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为手动，依赖于Remote Procedure Call、Workstation服务。微软宣称BITS能够利用剩余的带宽传输文件，当网络切断或计算机重启时，后台智能传输服务会自动对文件传输加以维护，当网络重新连接时，后台智能传输服务将从停止的地方继续开始传输文件。其实这个服务原是用来实现HTTP1.1服务器之间的信息传输，基本上它的应用也就是支持自动更新时的断点续传。如果你禁用了Automatic Updates，留着它也没什么意义。
6、ClipBook
ClipSrv（剪贴板查看器服务）的进程名是clipsrv.exe，WinXP Home/Pro默认安装的启动类型为手动，依赖于Network DDE服务。ClipBook通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务，可查阅远程机器中的剪贴版，通俗地说ClipBook就是支持剪贴版查看器（ClipBook Viewer）程序，该程序可允许剪贴页被远程计算机上的ClipBook浏览。
例如有个较大的文档工程，由A、B、C共同开发。A负责Excel数据部分，B负责Visio制图部分，而C负责将两部分文档整合。C经常需要对A、B的数据进行拷贝，愚蠢的做法是C打开A、B在网络邻居上共享的文档，然后将相关内容拷贝。而对Windows体系有一定了解的用户应该听说过OLE这个东西，上面说的Excel数据和Visio制图都可以认为是独立的OLE对象，如果A、B、C的3台机器上的ClipBook服务都为开启，就可利用ClipBook共享这些OLE对象，C只要在自己的文档中建立OLE对象的链接指向A、B的Excel和Visio，A、B对自己工作的任何改动即可在C的复合文档里自动体现。由此可见，ClipBook是基于对象的共享，而非简单的文件共享。所以也很好理解，这是一把双刃剑，在带来极大方便的同时，也带来被非法远程访问ClipBook剪贴页面的安全隐患。对于没有上述类似工作，又不准备使用或极少使用远程桌面的用户，这个服务完全可以禁用，在需要的时候在打开。
7、COM+ Event System
Event System（COM+事件系统服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为手动，依赖于Remote Procedure Call服务。对于非软件开发专业的朋友来说，COM+是个非常难理解的名词。简单地说COM+是一种软件构件/组件的标准。比如写一个软件好比是盖一座房子，而门窗等部件会根据标准设计，以求得省时省力。COM组件即是Windows的门窗等标准组件了，COM+是对COM的进一步扩展，其具体含义在此就不详细介绍了。Windows系统又是个典型的消息（事件）处理型系统，很多功能都是由消息来触发的，这就产生了COM+ Event System。我们要学习的是如何简单判断自己的系统中是否有程序依靠此服务。检查你的系统安装盘下的“Program filesComPlus Applications目录，如果没有东西就可以把这个服务关闭了。
8、COM+ System Application
COMSysApp（COM+系统应用服务）的进程名是Dllhost.exe，WinXP Home/Pro默认安装的启动类型为手动，依赖于Remote Procedure Call服务。简单地说，COM+ System Application是COM+ Event System的具体执行者，如果禁用了COM+ Event System也就自然禁用它。
9、Computer Browser
Browser（计算机浏览器服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为自动，依赖于Server和Workstation服务。Browser服务维护着一个网络资源的清单，其中包括基于Windows的域、工作组和计算机，还有其他支持NetBIOS协议的网络设备，我们在“网上邻居上看到显示的内容正是来源于此。显然对于一般家庭用的计算机这个服务并不需要，除非计算机位于局域网上，例如用长城宽带的朋友，用它可方便地知道社区内的网络环境。这个服务还是慎重对待较好，若不是太在意还是将其设置为自动吧。
10、Cryptographic Services
CryptSvc（认证服务）的进程名是Svchost.exe，WinXP Home/Pro默认安装的启动类型为自动，依赖于Remote Procedure Call服务。CryptSvc是整个微软公钥体系（PKI，Public Key Infrastructure）的核心元件。所谓的PK是一种公钥加密法，通过加密来保证数据的安全和传送，它与传统的秘密（对称）钥匙密码法不相同，PK密码法的基本特性是加密和解密的钥匙不同，每一个用户两把钥匙，一把公开密钥，一把私钥。撇开这些难以一下子理解的术语，具体到CryptSvc本身来说，如果我们在WinXP中使用Automatic Updates自动更新，或在Internet上使用证书进行身份验证以及正确管理这些证书等，那么这个服务就不要关闭。其中这个功能最有用的是，当你安装一个驱动程序时，以确定它是不是通过微软认证的。因为驱动程序在操作系统内可以获得很高的运行权限，含有恶意代码的驱动程序会让你的电脑玩儿完，因而开发驱动程序的厂家一般都会去做微软认证，通过验证后，微软会在里面添加它的认证数据，再到你机器上安装时就可以通过CryptSvc检测升级。 a