如何避免常见密码安全隐患？ (如何避免常见的学术不端行为)

如何避免常见密码安全隐患与学术不端行为

一、引言

随着互联网技术的飞速发展，信息安全问题日益突出，密码安全隐患对个人信息和企业数据安全构成严重威胁。

同时，在学术领域，学术不端行为也严重影响着科研的诚信与公正。

本文将分别就如何避免常见密码安全隐患和学术不端行为进行探讨，帮助用户增强信息安全意识，维护学术道德。

二、密码安全隐患及其避免方法

（一）常见密码安全隐患

1.弱密码：很多用户仍使用简单、易猜的数字、字母作为密码，极易被破解。

2. 重复使用密码：在同一密码应用于多个账号，一旦密码泄露，将危及多个账户安全。

3. 钓鱼攻击：通过假冒的登录页面诱使用户输入真实密码，获取用户信息。

4. 跨站攻击：黑客利用软件漏洞获取用户保存的密码信息。

（二）避免密码安全隐患的方法

1. 强化密码强度：采用大小写字母、数字、特殊字符组合的复杂密码，避免使用简单、易猜的密码。

2. 密码多样性：为每个账号设置独特的密码，避免重复使用。

3. 警惕网络钓鱼：学会识别假冒的登录页面，谨慎对待来自不明来源的链接。

4. 及时更新软件：定期更新操作系统、浏览器等软件的最新版本，以修复可能存在的安全漏洞。

5. 使用双重身份验证：为账号设置双重验证，提高账户安全性。

三、学术不端行为及其防范措施

（一）常见学术不端行为

1. 抄袭和剽窃：未经许可直接复制他人研究成果或观点。

2. 伪造数据：捏造实验数据，以符合研究预期。

3. 篡改文献：故意修改或遗漏参考文献信息。

4. 一稿多投：将同一篇本文投稿至多个期刊或会议。

（二）防范学术不端行为的方法

1. 加强学术道德教育：提高科研人员的道德意识，明确学术行为规范。

2. 建立严格的审查机制：期刊、学术会议等建立严格的审查机制，确保投稿内容的原创性。

3. 使用学术诚信工具：利用查重软件等工具，检测本文的抄袭情况。

4. 提高科研人员的法律意识：明确学术领域的法律边界，对违法违规行为进行严厉打击。

5. 建立诚信档案：为科研人员建立诚信档案，记录学术行为，作为评价的重要依据。

四、综合措施的重要性与实施难点

（一）重要性

避免密码安全隐患和学术不端行为对于保障信息安全和维护学术道德至关重要。

在信息时代，信息安全和学术诚信已经成为社会发展不可忽视的问题，必须采取有效措施进行防范。

（二）实施难点

1. 用户安全意识培训：提高用户的安全意识和识别能力是一项长期且艰巨的任务。

2. 技术手段的限制：现有技术手段在防范密码安全隐患和学术不端行为方面仍存在局限性。

3. 法律法规的完善：需要不断完善相关法律法规，以适应信息时代的发展需求。

五、结论

避免常见密码安全隐患和学术不端行为需要用户、企业、学术界和社会共同努力。

通过提高用户的安全意识，加强学术研究领域的道德教育和规范建设，完善法律法规和技术手段，我们可以有效维护信息安全和学术诚信，促进社会的健康发展。

六、建议

1. 定期开展信息安全和密码安全知识普及活动，提高用户的安全意识。

2. 学术界应建立完善的学术规范和审查机制，加强对学术不端行为的惩戒力度。

3. 政府应加大对信息安全和学术诚信领域的投入，提供政策支持和法律保障。

4. 鼓励研发更先进的密码技术和学术诚信工具，提高防范效果。

如何看待学术不端行为以及如何规避

《 几点硕士和博士论文反抄袭检测系统技巧》、《论文抄袭检测系统原理与快速通过的七大反抄袭手法》这是我空间转的两篇文章，供你参考，点击姓名即可进入空间

怎样密码预防盗窃

游戏方面：外挂盗号这是最为常见的盗号方式之一，希望玩家千万提高警惕。

盗号者会利用玩家的心理，在外挂或假外挂的程序中加入木马和黑客程序，当玩家在打开外挂程序的情况下输入游戏账户和密码，或者通过外挂程序启动游戏，并输入游戏账户和密码时，用户的账户和密码就被盗取了。

请广大玩家切勿使用任何外挂程序和不明的第三方程序。

网页盗号目前这是比较常见的盗号方式之一，也很隐蔽，需要玩家提高警惕。

盗号者会先制作一个网页，这个网页或跟官方主页相似，甚至表象一模一样，或跟《XX游戏》相关热门话题有关，一旦有玩家点击这个网页链接后，一般都会跳出账号输入框，要求玩家输入账号和密码，玩家输入账号和密码后，页面或打不开，或直接跳到官方主页，而密码和账号就通过该网页发送盗号者的邮箱了。

1.要提高警惕，一切活动，请玩家以官方网站为主，不要随意在其它任何网页上输入账号和密码；2.在输入账号和密码前请先一定看清浏览器里面的链接地址，有些类似官方主页的页面就是利用玩家不仔细看浏览器里面的地址来欺骗的。

游戏中盗号常见盗号方式之一，在游戏中直接面对玩家，利用玩家的心理进行盗号。

盗号者在游戏中创建一个名字类似 GM 的角色，或者起一个容易让玩家误认为是 GM 的角色，如“XX游戏客服人员”“活动管理者”等等。

然后在游戏中给大量玩家发信，告知其中奖，让其回邮件说明自己的账号和密码以做确认，或者直接把注册信息发送至某个邮箱。

或者称怀疑该玩家使用外挂，需要进行调查，因此询问玩家账户和密码。

一旦有玩家相信并发送了密码，即被盗号。

任何活动请以官方网站为主， GM 或者任何第九城市的工作人员都不会在任何时候、以任何形式向玩家索取密码。

且 GM 的名字前将带有明显的 样徽标，请玩家互相转告，注意辨别。

一旦收到类似的邮件，请联系客服人员确认或者查询官方网站通告。

假点卡盗号 目前比较少见，也请玩家注意，提高警惕。

先出售假点卡，由于不同于一般的点卡，可以要求玩家在非官方网站上进行充值，充值要求输入账号和密码，而玩家也会接受，玩家输入后发现该卡无效，此时账号和密码却已经被发送至盗号者的邮箱。

实卡点卡请玩家只购买官方发行的，并且仅在官方网站上进行充值。

其他任何声称可以作为《XX游戏》点卡充值使用的点卡，请在使用前至联系客服人员确认或者查询官方网站。

还有就是： 1 别公布你的账号 2 别打开别人发给你的*文件 可能有木马 3 安装杀毒软件 防火墙等 4 别在不知名的网站下载软件 5 qq msn等最好使用官方版本 6 尽量不要去网吧上网 网吧才是最不安全的地方

如何安全保存密码

过去一段时间来，众多的网站遭遇用户密码数据库泄露事件，这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin，国内诸如CSDN一类的就更多了。

层出不穷的类似事件对用户会造成巨大的影响，因为人们往往习惯在不同网站使用相同的密码，一家“暴库”，全部遭殃。

那么在选择密码存储方案时，容易掉入哪些陷阱，以及如何避免这些陷阱？我们将在实践中的一些心得体会记录于此，与大家分享。

菜鸟方案：直接存储用户密码的明文或者将密码加密存储。

曾经有一次我在某知名网站重置密码，结果邮件中居然直接包含以前设置过的密码。

我和客服咨询为什么直接将密码发送给用户，客服答曰：“减少用户步骤，用户体验更好”；再问“管理员是否可以直接获知我的密码”， 客服振振有词：“我们用XXX算法加密过的，不会有问题的”。

殊不知，密码加密后一定能被解密获得原始密码，因此，该网站一旦数据库泄露，所有用户的密码本身就大白于天下。

以后看到这类网站，大家最好都绕道而走，因为一家“暴库”，全部遭殃。

入门方案：将明文密码做单向哈希后存储。

单向哈希算法有一个特性，无法通过哈希后的摘要(digest)恢复原始数据，这也是“单向”二字的来源，这一点和所有的加密算法都不同。

常用的单向哈希算法包括SHA-256，SHA-1，MD5等。

例如，对密码“passwordhunter”进行SHA-256哈希后的摘要(digest)如下：“bbed833d2c7805c4bf039b140bec7ea04efa9e0ba9b95c2d44c”可能是“单向”二字有误导性，也可能是上面那串数字唬人，不少人误以为这种方式很可靠， 其实不然。

单向哈希有两个特性：1）从同一个密码进行单向哈希，得到的总是唯一确定的摘要2）计算速度快。

随着技术进步，尤其是显卡在高性能计算中的普及，一秒钟能够完成数十亿次单向哈希计算结合上面两个特点，考虑到多数人所使用的密码为常见的组合，攻击者可以将所有密码的常见组合进行单向哈希，得到一个摘要组合，然后与数据库中的摘要进行比对即可获得对应的密码。

这个摘要组合也被称为rainbow table。

更糟糕的是，一个攻击者只要建立上述的rainbow table，可以匹配所有的密码数据库。

仍然等同于一家“暴库”，全部遭殃。

以后要是有某家厂商宣布“我们的密码都是哈希后存储的，绝对安全”，大家对这个行为要特别警惕并表示不屑。

有兴趣的朋友可以搜索下，看看哪家厂商躺着中枪了。

进阶方案：将明文密码混入“随机因素”，然后进行单向哈希后存储，也就是所谓的“Salted Hash”。

这个方式相比上面的方案，最大的好处是针对每一个数据库中的密码，都需要建立一个完整的rainbow table进行匹配。

因为两个同样使用“passwordhunter”作为密码的账户，在数据库中存储的摘要完全不同。

10多年以前，因为计算和内存大小的限制，这个方案还是足够安全的，因为攻击者没有足够的资源建立这么多的rainbow table。

但是，在今日，因为显卡的恐怖的并行计算能力，这种攻击已经完全可行。

专家方案：故意增加密码计算所需耗费的资源和时间，使得任何人都不可获得足够的资源建立所需的rainbow table。

这类方案有一个特点，算法中都有个因子，用于指明计算密码摘要所需要的资源和时间，也就是计算强度。

计算强度越大，攻击者建立rainbow table越困难，以至于不可继续。

这类方案的常用算法有三种：1）PBKDF2(Password-Based Key Derivation Function)PBKDF2简单而言就是将salted hash进行多次重复计算，这个次数是可选择的。

如果计算一次所需要的时间是1微秒，那么计算1百万次就需要1秒钟。

假如攻击一个密码所需的rainbow table有1千万条，建立所对应的rainbow table所需要的时间就是115天。

这个代价足以让大部分的攻击者忘而生畏。

美国政府机构已经将这个方法标准化，并且用于一些政府和军方的系统。

这个方案最大的优点是标准化，实现容易同时采用了久经考验的SHA算法。

2） bcryptbcrypt是专门为密码存储而设计的算法，基于Blowfish加密算法变形而来，由Niels Provos和David Mazières发表于1999年的USENIX。

bcrypt最大的好处是有一个参数（work factor)，可用于调整计算强度，而且work factor是包括在输出的摘要中的。

随着攻击者计算能力的提高，使用者可以逐步增大work factor，而且不会影响已有用户的登陆。

bcrypt经过了很多安全专家的仔细分析，使用在以安全著称的OpenBSD中，一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。

bcrypt也有广泛的函数库支持，因此我们建议使用这种方式存储密码。

3) scryptscrypt是由著名的FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的。

和上述两种方案不同，scrypt不仅计算所需时间长，而且占用的内存也多，使得并行计算多个摘要异常困难，因此利用rainbow table进行暴力攻击更加困难。

scrypt没有在生产环境中大规模应用，并且缺乏仔细的审察和广泛的函数库支持。

但是，scrypt在算法层面只要没有破绽，它的安全性应该高于PBKDF2和bcrypt。

来源：坚果云投稿，坚果云是一款类似Dropbox的云存储服务，可以自动同步、备份文件。