رمزهای عبور به عنوان اولین لایه حفاظتی مفید هستند، اما به تنهایی برای
حفظ امنیت کافی نیستند. در این راستااز رمز عبور یکسان برای حساب های مختلف
استفاده نشودو برای هر حساب کاربری یک رمز عبور مجزا انتخاب شود. انتخاب
رمز عبور یکسان برای حساب های کاربری مختلف به منزله وجود یک کلید برای باز
کردن در خانه، ماشین و دفتر کار است. رمز عبور باید دارای حداقل 16
کاراکتر و شامل حداقل یک عدد، یک حرف بزرگ، یک حرف کوچک و یک نماد خاص
باشد. رمز عبور با طول بلند، امن تر ازرمز عبور با طول کوتاه است؛ زیرا حدس
زدن آن سخت تر و زمان بیشتری برای Crack شدن نیاز دارد. از رمزهای ساده
مانند «123456» و «password» که به راحتی قابل حدس زدن هستند، استفاده
نکنید. از نام خود، دوستان، کد پستی، شماره پلاک، شماره تلفن، تاریخ تولد،
شماره ملی و از این قبیل در رمز عبور استفاده نکنید.تحقیقات نشان داده که
بسیاری از مردم رمز عبور را بر اساس اطلاعات شخصی خود انتخاب می کنند؛ در
صورتی که این کار باعث می شود هکر به راحتی رمز عبور آنان را حدس بزند و یا
کرک کند. از کلمات معروف در رمز عبور استفاده نکنید. به عنوان مثال کلماتی
مانند apple، ایران و تهران، به عنوان رمز عبور انتخاب نشود. به مرورگر
رایانه مجوز ذخیره رمزهای عبور ندهید؛ زیرا تمام رمزهای ذخیره شده در
مرورگر قابل مشاهده است. به حساب های مهم (مانند ایمیل شخصی، حساب بانکی)
از طریق رایانه دیگران یا هنگامی که به یک شبکه وایرلس عمومی، شبکه TOR یا
VPN متصل هستید، وارد نشوید. اطلاعات حساس از طریق پروتکل های HTTP و FTP
ارسال نشود؛ زیرا اطلاعات در این پروتکل ها قابل شنود است. برای انتقال
اطلاعات حساس از پروتکل هایی مانند HTTPS و SFTP استفاده شود.رمز عبور باید
در بازه مشخص زمانی به عنوان مثال به صورت ماهیانه تغییر کند. رمز عبور را
توسط نرم افزارهای «مدیریت رمز عبور» مانند KeePass یا روی دیسک های
رمزگذاری شده با روش هایی مانند BitLocker ذخیره کنید. رمز عبور به صورت
نوشته شده روی میز کار قرار داده نشود. همچنین رمز عبور از طریق ایمیل برای
دیگران ارسال نشود. رمز عبور در شبکه های ابری مانند Google Drive، iCloud
و... ذخیره نشود. وب سایت های مهم مانند حساب ایمیل و حساب های بانکی را
توسط Bookmark مرورگر باز کنید. قبل از این که رمز عبور وارد شود، حتماً از
صحت آدرس اینترنتی بازشده در مرورگر اطمینان حاصل کنیدچراکه هکرها از این
طریق حمله فیشینگ را پیاده سازی می کنند. رمز عبور را در اختیار کسی قرار
ندهید. رایانه خود را توسط آنتی ویروس و فایروال امن نگه دارید.
اقداماتی برای امنیت بیشتر عملیات احراز هویت
بسیاری از سازمان ها از روش های دیگری برای احراز هویت استفاده می کنند که در ادامه این روش ها بررسی می شود.
احراز هویت دومرحله ای: با احراز هویت دو مرحله ای، رمز عبور یک عامل از
احراز هویت است و در صورتی که هکر موفق به دستیابی به رمز عبور شود، بدون
عامل دوم نمی تواند وارد حساب کاربر شود. البته دربیشتر معماری های موجود
کلید دوم «یک بار مصرف» است و به محض این که یک بار از آن استفاده شود،
باطل می شود. به عنوان مثال ایمیل ها علاوه بر رمز عبور، یک رمز تصادفی
برای کاربر پیامک می کنند که برای ورود به حساب ایمیل، واردکردن آن در کادر
مربوطه الزامی است.
گواهی وب شخصی: برخلاف گواهی استفاده شده برای وب سایت ها، گواهی وب شخصی
برای شناسایی کاربران استفاده می شود. این وب سایت ها از کلید عمومی و
خصوصی برای تایید کاربران استفاده می کنند. در این مدل اطلاعات کاربری در
گواهینامه ذخیره شده و علاوه بر آن برای تکمیل احراز هویت به یک رمز عبور
نیاز است.