你的密码是否安全可靠?建立自己安全可靠的密码体系
我们先来了解一下什么是密码(符号系统)
密码是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息。但这种无法识别的信息部分是可以再加工并恢复和破解的。密码在中文里“口令”(possworld)的通称。
密码是按特定法则编成,用以对通信双方的信息进行明密变换的符号。换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
好了我们回归正题
随着网络时代的发展,大家不可避免地都会注册各种网站、邮箱、游戏、通讯、生活服务、甚至电商购物、网上银行、理财等各种各样与现实生活/金钱挂钩地账号,安全性似乎越来越重要。
而最近网易邮箱和之前CSDN等大规模地账号密码泄露事件也给人们敲响了警钟,日益频繁地密码和个人信息地泄露事件,加上互联网上越来越成熟和体系化黑色产业链,很难说下次自己地账号会不会遭殃。因此,我们非常有必要为自己地账号安全设计一套即容易记忆又难以破解地密码体系,尽可能远离麻烦和风险......
我能猜到你的密码是一把“万能钥匙”
在现实生活中,我们都会选择 “一把钥匙开一扇门”,谁都不希望自己的家门、车门、公司门、宿舍门、所有的抽屉、甚至是保险箱都用同一把钥匙吧?因为如果这把 “万能钥匙” 一旦丢失,损失将会非常惨重!!然而,在网络上,大多数人却贪图方便,一直使用 “万能钥匙” 的密码策略——几乎所有场合都设置成同一个密码,安全隐患极为巨大
因为这样,无论你将密码设置得多么的复杂,只要有一个网站出事泄露出来,你几乎所有注册过的网站和服务都会全部沦陷。黑客们一扫描,很快就发现这个账号密码组合能用于多个网站,人家肯定愉快地拿着你的账号想尽办法“善加利用”了,这危险完全可以想象得到。
因此,「绝对不要将所有网站设置成同一密码」可以说是账户安全中的最重要也是最基本的原则!只有使用不同的密码,你其他的账户才不会受到连累。不过,很多人也觉得,为每个网站每个账户都设置一个不同的密码好像不太现实,毕竟会大大增加记忆的负担。其实,我们可以利用一些「密码设置技巧」来帮助你记忆的,下面我们会提到。
怎样地密码难以破解?
不安全的密码举例:
- 使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等 (易因个人信息泄露被猜解)
- 与账号名称/网站名称相同或仅仅加上几个简单字符 (如注册的账号为 iplaysoft,密码设置为 iplaysoft123)
- 简单的密码,如:000000、888888、123456、qwerty、aaaabbbb、abc123、abcdef
- 长度少于6位的短密码 (和简单密码一样,太容易被暴力破解或字典破解)
- 使用简单的英文单词、纯英文、纯拼音、纯数字、顺序排列的字符、键盘连续排序的字符等
设置一个高强度好密码的原则 (难以被猜解的密码)
- 密码长度尽量设置为8位或以上
- 使用英文+数字且包含英文大小写,如果网站允许,请务必尽可能加上特殊符号 (如 !@#$%^ 等)!!!
- 密码没有明显的规则和组成规律
- 好的密码是自己能轻易记住,但别人看起来是毫无意义的乱码 (防止被别人轻易记住)
优秀密码生成技巧
上面的几点原则已经告诉我们怎样才算是一个优秀靠谱的密码了,譬如这个:$aMYcy94gHwz!On#
它既包含了8位以上英文大小写+数字+符号,符合上面说到 “4要5不要 ” 的安全要点,没有明显的组成规律,对他人看来毫无意义,只不过是一组无厘头的奇葩字符串,而我却能「轻易看懂」并能「轻松记住」毫不费力!
我们都知道,大脑如果要记忆大量不同的密码肯定会鸭梨山大。但如果我们全部的密码都遵循一套 “由自己制定且只有自己知道的密码生成规则”,那么记忆起来就容易得多了。我们举个简单例子,首先选取一个用于记忆的基础密码 (称为记忆密码),然后根据网站名称的不同,为记忆密码套用如下的规则。
我自定的密码规则:
网站名前两字母的小写与大写 + 记忆密码 + 网站名后两字母的大写与小写
我的基础记忆密码是「 Ycy94gHwz!」,亚马逊 名称为 Amazon (前两字母为 aM,后两字母为 On),那么生成的密码就应该是「aMYcy94gHwz!On」、苹果账号 Apple 的密码就是「aPYcy94gHwz!Le」以此类推……然后,我们还可以适当加一些符号来将密码包围起来,比如亚马逊最终的密码是这样: $aMYcy94gHwz!On#
不夸张地说,只要你不把这规则告诉他人,这种密码就算被有心人偷瞄几眼,基本他也不会记得住,而根据测试,暴力破解也起码要3千9百万年!想破解想偷窥?我不怕不怕啦……
有人会有疑问为什么我要把这个规则设置得这么奇葩?简单点用「记忆密码+网站名缩写」不就好了吗? 你想想看,如果某人百度账号的密码甚至为 abcd123_baidu,那么请问他的谷歌密码是多少?如果规则简单到别人一看就能猜出来,你的密码策略就没有安全可言了,不是吗?
看到这里你可能会说:道理我都懂,规则可以奇葩,但上面的记忆密码「 Ycy94gHwz!」也太难记了吧?
小技巧
其实,设置一个容易记忆但又足够奇葩的高强度密码并不难,你大可以找一首喜欢的歌名或像上面一样用任意一句话来构造自己的记忆密码,下面就列举一些可供你参考的密码设置技巧吧,如果你有更好的点子,不妨留言分享一下。
到此,只要你能制定好一个自己私人的密码生成规则,并且确立一个足够强度但又易记的记忆密码之后,你就可以轻松地实现“一把钥匙开一扇门”的密码策略了,而且还不会给记忆造成负担。于是,从此我腰不疼腿不酸,整个人都变好了……
借助第三方
当然,由于按照规则生成的密码很多时候可能需要“思考”才能想出密码来,因此登录输入时效率可能稍低。其实,我们可以借助一些靠谱的密码管理工具来管理、保存、搜索、并提高输入密码的效率,下面是一些在异次元上推荐过的密码软件,大家可以根据自己的喜好选用:
另外,很多人喜欢使用纸条或小本子来记录各个网站密码,有些人甚至还将它们放在办公桌上,这点非常不可取。因为这很容易被别人有意无意地看到你密码,而即便“安全”地放在家里的抽屉,也试过有人家里失窃后被小偷顺走了密码本,后果可想而知;而使用明文文本如 txt 、doc、xls 或者在一些笔记类软件里面记录密码同样容易泄露和丢失。
因此,合理使用可信的密码管理器软件不仅可以大大减轻你对密码的记忆压力,也能很大程度上保护你的密码不易被盗,而且还能帮助你快速搜索、调用你的密码进行一键登录而无需动脑筋,让你每天上网更轻松。
额外安全防线
话说至此,咱们设置好复杂安全的密码就足够了吗?不!我们还能为账户再加上一道安全防线——它就是「二步验证」(又叫动态密码或两步验证)。如今越来越多重视安全的网站开始提供二步验证功能了。简单来说,它就是在你输入正确用户名密码之后,还要求你输入正确的手机验证码、或其他形式的验证信息才能登录。
在开启二步验证后,即便黑客在盗取到你的用户密码,他也因获取不到你的手机验证码从而无法成功登录你的账户。因此,在一些比较重要或比较常用的网站上,如果有提供二步验证功能,我们强烈建议你不要嫌麻烦,请务必开启它!开启它!开启它!重要事情说三遍!因为它真的能非常有效地保护你的账户安全!
以我常用到的账号为例,阿里云、Vultr、苹果 Apple ID、微软账号、Google 账号、印象笔记、Dropbox、Steam 等等这些服务都已提供二步验证了,只要进入账户安全设置里面就能找到相关的选项。总之一句话,谁不开谁吃亏……
安全问题和安全回答
密码够复杂了,每个账号都不一样了,二步验证也开启了,这样够了吧?还不!除了账号和密码以外,我们常常还会忽略一个非常容易被黑客利用的破解入口——「忘记密码 / 取回密码」功能。在部分网站上,即便没有邮箱访问权的情况下,还是可以通过“回答安全问题”这一功能实现修改密码取回账号的。
而大多数网站通常提供可设置的安全问题类别很少又很常见,譬如你的出生地、你的生日、父亲的名字等等。黑客们可以在某个网站泄漏出你的部分个人信息中猜测出问题答案 (譬如从你的快递收货地址猜测出生地、或者你本来就填写在某网站上的生日日期等),又或者身边不幸遇到“有心人”刚好又了解你的背景,那么还是不能排除这一途径夺取账号的可能。
因此,我们还是得在问题答案上花点功夫。不过你也不用想得太麻烦,其实只要按照上面提到的 “密码生成大法” 如法炮制不同网站的回答内容即可,这样就已经比较全面地保护好我们各种账号的安全了。如此执行之后,你的整个密码体系也变得相对可靠和安全了!
至此
相信你看完本文之后你也会开始考虑建立属于你自己的密码体系了吧,这很好!不过请记住,这世界上没有绝对的安全,一个优秀的密码策略可以尽可能地降低风险,但它并不能将风险降为零,平常上网的一些安全习惯也很重要,譬如不随便打开来路不明的程序、尽量选择靠谱的邮箱服务、不要在 QQ、微信 或其他聊天工具上发送你的密码等等,当然这又能写一篇长文章了,我们择日再谈吧。
最后,还有一点,请尽可能教会自己的家人/女朋友/老婆,让她们也了解并重视密码安全,你以后肯定会少很多麻烦。至于好基友么,请把这篇文章分享给他们吧……