密码与信息安全常识

Definition

不要使用保密的密码算法

• 安全领域有“Kerckhoffs原则”：一个加密系统的安全性应全部依赖于密钥的保密，而不能依赖于算法保密。只有经过公开、广泛验证的加密算法才靠谱。自创或“秘密”算法往往容易存在严重漏洞，一旦泄露就被轻易破解。

使用低强度的密码比不进行任何加密更危险

• 弱密码（如“123456”、“password”）极易被暴力破解或猜到，看似有保护却形同虚设，容易让用户产生“已加密”的错觉，导致潜在损失更大。不如直接明示“不安全”来得清楚。

任何密码总有一天都会被破解

• 无论多安全的加密算法和密钥，随着科技提升（如计算能力、算法进步），被破解只是“迟早”的问题。所以信息的加密保护应考虑“时限”与“风险”，不能认为加密等于永远安全。

密码只是信息安全的一部分

• 密码（加密和认证）只是信息安全的一环。还需配合身份验证、多因素认证、访问控制、系统安全、运维安全、用户教育等多重防护。仅靠密码无法应对所有网络安全风险，有时配合其他措施（如多重认证、防钓鱼等）更为重要。