 主题丨密码安全 作者丨刘小智 系列丨贴士系列第1篇
近日,网络安全服务商NordPass发布了一份2019年度最差的密码TOP200排名表,排名表的密码数据来自匿名的独立研究人员在2019年数据泄密事件中收集到的数据库。该排名表给出了TOP200的密码和使用人数,是不是很想知道自己有没有“荣登榜单”? 因为篇幅有限我们看TOP20的。 (TOP200完整版看文末彩蛋)  每一年,我们在“最差密码”列表的顶部看到相同的密码,部分使用者也知道这样的密码太儿戏了,人们为什么继续使用它们?如何避免和预防密码安全问题?有什么实用点的建议么? 下面我们一起来好好聊一下。 为何人们喜欢用简单密码? 第一个原因是它们更容易记住 因为贪图简单,所以大多数人更喜欢使用弱密码,而不是记住一串复杂得让人头疼的密码。 更有图省事的人一个密码走天下,无论账号是什么类型和是否重要,一律使用同一个密码,这样的确“很爽”,不过如果其中的一个账号密码泄露而相关账号密码没有及时更改的话,就可能波及使用相同密码的账号了,容易被“撞库”的人一锅端。 第二个原因是人们觉得没啥需隐藏 打个比喻,离开家时,你都会锁上门吧,即使里面没有任何有价值的东西,你仍然不希望陌生人动你的个人物品。那么,为什么不对你的网络生活应用相同的逻辑呢? 你通常都认为自己可能没有什么需要隐藏的,但是如果因为密码泄露导致邮箱被锁定,保存所有照片的文件存储被复制或锁定(通常会被威胁不交赎金就公布或者删除),社交媒体账号发莫名其妙的东西等等。 最常见的就是苹果手机的账号密码泄露,容易掉进人家的钓鱼游戏中,导致自己的手机被远程锁定而且邮箱和手机什么都被更改掉,最后要么放弃手机(其他方法可能会导致数据被抹除)要么交赎金解锁(最惨的是交了还不确定是否会解锁),生活中由于密码泄露导致的连锁反应实在不胜枚举了。 02 如何避免和预防密码安全问题? 安全专家建议,可以为自己设定多套密码。东南大学网络空间安全学院副教授宋宇波说:“工作时候使用一个密码,个人生活场景使用一个单独密码,个人理财账户使用一个单独密码,这样也可以减少风险。” 1、工作类 一般情况下,你会因为工作的原因而使用各种工作类的账号和密码,例如内网账号,工作邮箱,钉钉/企业微信等内部协作交流软件,办公电脑等,技术人员还可能接触到各种开发使用的账号面,如服务器密码,数据库,支付网关等开发类型的密码。 这类型的密码泄露可能会导致公司的资料泄密,出现诈骗,数据被盗取等风险,给公司造成损失,个人需要承担责任。所以千万不要大意,自己要有一套工作类密码的编码方法,方便和安全地记录密码。 2、生活类 从一般的论坛到各种用途的网站,例如视频、音乐、社交、资料检索,云储存等网站和应用等,应该避免和工作以及其他场合使用的密码相同和设置强度较高的密码,个人信息泄露泄露或者被盗取也是危害巨大。你或许听过苹果手机的用户被远程锁机后勒索付钱解锁的事情,这事情也是因为密码泄露后被不法分子“撞库”登录后引发的一系列操作。(苹果手机用户一定要开启双重认证!) 3、理财类 这个不用多解释,泛指你的银行卡,网银、支付宝、财付通等涉及金钱的账户和密码。事关钱事,重要性不需要多说了,取款、支付密码除了复杂还有记得不能相同,设置的时候需做密码隔离。 03 有什么实用点的建议么? 下面介绍几个正确设置密码的技巧,仅供参考。 1.、创建强健、难以猜测的密码 简短或有规则的密码很容易被黑客猜中。至少使用两个单词及字母、数字和特殊字符的组合。Apple iCloud 的密码要求必须有大小写字母和数字,这就是在复杂性上增大被破解的难度。 另外,比复杂性更重要的就是密码长度。如果可以,尽可能设置最多位数的密码,当密码的长度足够长时,不论是凭借经验或是凭借机器的暴力破解,难度都会成倍增加,仅这一项,就足以把你账号的安全性提高几个数量级。 2. 为每个账号使用不同的密码 安全专家称,使用弱密码或同一套密码用于多个网站,会让用户面临被黑客攻击的重大风险。而密码不够安全一方面是因为太简单,另一方面是因为“撞库”的泛滥。所谓“撞库”,即黑客攻破某一网站后,会用获取的账号密码去测试其他平台,那些多个平台用一套账号密码的用户就会中招。 每个账号都设置不同的密码这么做根本记不住,那怎么办?其实你自己可以弄一套自己的“编码规则”,比如“通用密码+网站关键词+特殊符号+分类编码”。 来个示例吧: 通用密码:Fk3Axxc; 网站关键词:TB(淘宝); 特殊符号:%; 分类编码:01 合成密码就是:Fk3AxxcTB%01 上面仅仅是举例,不要照搬使用!不要照搬使用!不要照搬使用!强调三遍哈! 举例的本意是你自己得有一套只有自己明白的“编码规则”,这种规则大概率不会被居心不良的人猜到,因为自己熟悉规则就不用头疼每个网站不同密码的问题。 越是重要的网站密码则要越强健~ 当然了,除此之外,最好还能每隔一段时间就修改一次密码(重要账户的密码)。 3. 使用工具来帮助您记忆密码 如果还是记不住那么多的密码,那可以借用第三方工具。即使用密码管理工具来帮助生成密码(或记忆密码)。如 1Password、LastPass、Dashlane 和 Bitwarden 等密码管理器(请自行了解和慎重选择使用),可帮助您创建高强度的密码,安全地存储,并为您自动填写到网站上。 如果你使用了密码工具,密码工具的登录密码一定要设置强密码,密码仓的登录密码都不强,你其它被工具保管的密码再复杂也是白搭。 4. 安全问题其实也是密码 目前越来越多的网站开始支持安全问题了,网站让你设置安全问题的话,你必须认真对待。安全问题虽然是一个具体的问题,但是我们完全可以输入第2个、第3个或更多密码。网站通常不会确认您的答案是否合理,而只会检查是否与所设定的答案相符,账号的安全性也大增。 5. 使用双因素验证,多加一道安全保障 双因素验证要求提供一些额外信息(例如通过短信接收的一次性验证码)才能登录账号。即使有人拿到了您的密码,他们也无法登录,如果网站提供这种双因素验证,一定要选择启用。 如邮箱还有苹果手机的账号,开启双重认证最保险,多一分验证虽然不方便,但是江湖救急的时候方显用处,一定不要嫌麻烦哈。 6、不要有危险的登录行为 不要在公共电脑登录重要的账号,电子邮件和聊天软件收到的不明链接不要随意点击,平时上网不要去一些危险网站,手机不要安装来源不明的应用,不要扫描不明的二维码等。总之,要有安全意思,密码的输入慎重且需要确认当前的页面安全性。 如果你想要知道自己的账号密码有没有泄露记录,可以去下面这个网站溜达查询一下: https:///  ▲图/haveibeenpwned 如果像上面截图网页冒红且给出泄露可能的网站时,那么建议你尽快修改登录密码。 最后,总结一下,设置密码其实就几个要点:够长,够复杂,经常变,尽量没有规则(即使有也是他人难以猜到的规则)。 小心使得万年船哦~
END  编辑丨小智 排版丨小智 丨说明丨 部分资料来源于网络 |
|
|
