谈NXT的账户密码安全

　　对于您的Nxt账户来说，安全性是非常重要的。因此，在您创建Nxt账户之前，您有必要对以下的这些概念有所了解。

　　下载一个安全的客户端程序

　　当开发团队发布新版客户端的时候，同时也会公布客户端文件的“SHA256哈希值”，作为文件的“数字签名”。每一个不同的新版程序的签名是不一样的，并且这个签名是由核心的开发程序计算的。即便是软件中有一个字节发生了改变或被篡改，数字签名都会完全不同。因为Nxt是开源的，所以恶意的攻击者很容易制造包含有后门和攻击程序的“木马”客户端。(因此，在下载客户端时一定要验证数字签名是否一致)

　　当您下载了软件之后，您应当通过SHA256工具生成下载的文件的SHA256哈希值，并且检查是否和我们开发团队所公布的是一致的。当前版本的客户端的SHA256值可以在这个帖子中靠下边的部分找到：点这里

　　如果您之前从来没有计算过SHA256，可以参照如下方法：

　　在Windows上，最简单的方法是使用在线的计算工具：http://hash.online-convert.com/sha256-generator

　　在Mac OS X上，可以在终端窗口中使用openssl命令来计算SHA256(终端窗口在/Applications/Utilities下)。openssl命令大概长这样儿：openssl sha256 [FILE_NAME]

　　在GNU/Linux上，sha256sum是大多数都有的标准程序，在终端窗口中使用sha256sum的方法如下：sha256sum [FILE_NAME]

　　不太好的密码

　　因为所有的Nxt账户都是存储在网络上的，因此在理论上，任何人都有机会使用“暴力破解”的方法访问到您的Nxt账号。黑客们会使用穷举密码的工具进行系统性的尝试，目的就是碰运气试出你的密码，然后直接接触你的资产。现在，因为有了彩虹表(Rainbow Tables)的存在，使得他们可以直接从预先破解的密码表中优先尝试人们常用的密码，于是相对来说，黑客破解密码的变得更加轻松了。

　　人类是习惯性的生物。我们总是使用同样的一类密码，或者是使用同类的密码生成机制。相当大部分的人类并不会选择好的密码，而且相当数量的人们甚至使用“一样的”密码。如果您使用的密码出现在10,000个最常见的密码排行榜中，您几乎一定会被盗号

　　系统访问权限

　　如果说没有任何方法去接触到密码所解锁的那个东西，那么密码就没有可能被破解，破解也是无意义的：比如，您把电脑锁在保险柜里，并且没有任何网络连接，那么您的Windows账户密码就可以非常的简单，因为除非有人砸开保险柜，那么他们甚至连尝试进入您的Windows账户的机会都没有。

　　然而Nxt是不用的，因为在任何地方都能够访问它 Nxt使用的是大脑钱包(网络钱包)，这意味着所有的账号都是存在网络上的。任何时间任何地点，运行Nxt软件的人都可以输入密码并且默默地获得账户的访问权。于是乎，您最好选一个非常好的密码，不然您都不知道是怎么被盗的

　　我们建议您 绝不 从 "公共节点" (可以在互联网上直接访问的Nxt 服务器)上输入密码进行登录。

　　恶意软件

　　互联网上到处都是“恶意软件”，并且可能随时感染你的电脑，读取您硬盘上的文件，记录您的键盘输入，等等。即便是您设置了一个非常复杂的密码，但是却把它保存在电脑桌面的文本文件中，或者是用邮件发给了自己， 那么您还是会被盗！ 如果您没有最新的杀毒或者安全软件，或者只是偶尔检查是否存在键盘幽灵程序，那么您还是会被盗！

　　我们已经重复了很多次，但是我们还是希望您能够理解：安全绝对是在创建Nxt账户时，您必须要考虑的首要问题

　　什么是“好”的密码

　　好的密码符合以下的特征：

　　完全随机的 ：好的密码不包含任何语言中的单词，并且，类似于把i换成1，e换成3，或者是在结尾添加个!之类的"小把戏" 不在此列，因为大家都会这么做。如果您的密码不是完全随机的，您就有可能被盗

　　好长好长的'：SANS Institute公布了一份东东，用来估算，"暴力破解"不同长度的密码所需要的时间。一些分析表明，如果密码超过了15个字符以上，那么将会更加安全。如果您的密码短于30字符，Nxt软件将会给您一个警告信息。我们建议您使用50-70字符长的完全随机的密码 。如果您的密码不足30字符长，那么您估计要被盗

　　创建好密码

　　电脑在随机这方面比人好多了，不过，电脑同时也是基于“逻辑”的，因此它也并不能做到完全随机。谢天谢地，有一些工具能起到帮助作用：

　　Defuse.ca离线密码生成器 是一个可以下载到本地的工具，支持Windows和Linux，可以用来生成密码学意义上强壮的，非常随机的密码

　　Mac OS 自带一个内置的密码生成器，可以用来生成最多30位的密码。如果您使用它的话，请将类型设为“随机”

　　还有一些在线的密码生成器，但是我们不把它们列在此处。这些在线的生成器大多数使用JavaScript编写，并且用Math.random()生成伪随机数。不然的话，它们就会在服务器生成密码，这样的话您就必须有足够的理由信任这个开发者。最坏的情况下，它们甚至连SSL都不用儿直接明文发送生成的密码。虽然说这些工具并不算可怕，但是任何在线的工具都有可能被泄露或者截获，并且我们希望在您的意识中建立对安全的执着感。使用在线密码生成器的选择权和风险性都在于您自己。

　　保存密码

　　拥有世界上最安全的密码是一件震古烁今的事情，但是如果您不能使用或者不能保存它，那么再好的密码也毫无用处。再次谢天谢地，有一些工具能够为您提供一些帮助：

　　免费的密码保存工具，比如KeePass，可以让您在自己的电脑上生成一个加密的文件，用作保存密码的"仓库"。虽然KeePass文件本身也是通过密码加密保护的，但是额外的安全层保护使得破解您的密码变得非常困难。您可以将您的Nxt密码保存在KeePass里，并且在您需要的时候解锁KeePass，然后复制粘贴您的Nxt密码，解锁您的Nxt账户。KeePass同时还自带一个密码生成器(可生成50字符，任意字符集的密码)。

　　其他商业化的密码管理器，比如：1Password。您可以选一个您喜欢的使用。大部分这样的软件都自带密码生成器。或许这是一项值得的投资。

　　冷存储(离线存储)。比如，您可以将密码写在一张纸上，并且将其放在一个安全的保险箱中。如果您的账户并不计划每天使用，那么或许这么做还有些意义。不过话说回来，要说到安全性，这可能是最好的方法了。

—-

文章来源：http://wiki.nxtcrypto.org/w/index.php?title=Account_Security/zh&variant=zh

原文链接：不详

原文作者：无

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。