密码政策
我们对密码安全和最佳实践的处理方式
在 Appbox,我们认真对待密码安全,并为你的凭据实施多层保护。本政策说明我们如何处理密码,并提供指南,帮助你为 Appbox 服务创建强大、安全的密码。
Appbox 的密码存储
Appbox 使用行业标准安全平台提供顺畅的用户体验。以下部分详细说明我们如何在不同系统中管理密码。
Client Area (WHMCS)
由 WHMCS 支持的 Appbox Client Area 负责账号管理、服务配置、通信和付款。你在此系统中的密码会使用 Bcrypt 安全哈希,Bcrypt 是专为密码安全设计的现代加密算法。
Appbox Control Panel
我们的 Control Panel 提供集中界面,用于管理你的 Appbox 服务、已安装应用和账号设置。它基于安全框架构建,并采用现代认证标准。
Control Panel 登录密码
你用于访问 Appbox Control Panel 的密码受 bcrypt 保护。bcrypt 是一种基于 Blowfish 对称分组密码的自适应哈希函数。我们的实现使用 Phalcon security component,并调用 PHP 的 password_hash 函数及强 work factors 来确保最佳安全性。这意味着:
- 每个密码 hash 都包含唯一 salt,以防 rainbow table attacks
- 哈希算法被有意设计得较慢,以缓解 brute force 尝试
- work factor (cost) 被设置为让攻击在计算上代价高昂
- 系统可在需要增强安全性时升级到 Argon2i 等更新算法
这种行业标准方式可在数据库遭入侵时防止密码暴露。
应用密码
通过我们的 Control Panel 安装的应用,其密码以 plaintext 存储,并且你和 Appbox 支持团队都可以访问。为了在你请求协助时提供技术支持,这种可访问性是必要的。只有当你通过官方支持渠道明确请求帮助时,我们的支持团队才会访问你的应用。如果你需要针对某个特定应用获得支持,我们建议设置临时密码。
第三方应用密码
部分应用可能会作为其默认功能的一部分,以 plaintext 存储认证凭据和敏感信息。这种行为不受 Appbox 控制,而由应用开发者决定。你的 Appbox 环境经过保护,只有你能访问自己的数据,因此即便存在应用级密码存储限制,也能在用户之间提供隔离。
密码安全建议
你可以遵循以下密码最佳实践来增强账号安全:
使用唯一密码
- 不要在不同网站或服务之间重复使用密码
- 多个账号使用同一密码会造成重大安全风险:如果一个服务被攻破,你的所有账号都会变得脆弱
- 为每个 Appbox 服务创建不同密码
创建强大且易记的密码
- 目标是至少 12 个字符长度
- 可以考虑使用:
- 电影或书中的一句易记引语
- 一个独特短语或表达
- 几个无关单词与特殊字符的组合
- 避免使用:
- 个人信息(生日、姓名、缩写)
- 常见单词或短语
- 简单键盘模式(qwerty、12345)
- 反向单词或简单替换
启用双因素认证
我们强烈建议为你的 Appbox 账号启用 two-factor authentication (2FA):
- 2FA 在密码之外添加了关键的第二层安全保护
- 即使密码泄露,攻击者也需要第二因素才能访问你的账号
- 你可以在 account security page 启用 2FA
- Appbox 支持来自认证应用的 time-based tokens,包括:
- Google Authenticator
- Authy
- Microsoft Authenticator
- Duo Mobile
- 以及大多数其他标准 TOTP-compatible applications
考虑使用密码管理器
如果你难以为所有账号创建并记住唯一密码,可以考虑使用信誉良好的密码管理器。这些工具可以生成强密码,并为你安全存储。一些可靠选项包括:
弱密码政策声明
虽然 Appbox 鼓励使用强密码,但账号凭据的安全最终由你负责。如果你的账号因弱密码或在多个站点重复使用密码而被攻破,Appbox 不承担责任。 攻击者通常使用 brute force 或 dictionary attacks 攻破弱密码账号。我们强烈建议遵循上文列出的安全指南来保护你的账号和数据。