台式电脑

平板电脑怎么样做账号密码(还在用姓名+数字当密码?这些方法让你再也不忘密码)

2019年12月,密码安全服务公司SplashData发布了第9个年度「最烂密码百强榜单」——TheWorstPasswordsof2019。据介绍,该榜单是收集了超过500万个已泄露密码后统计出来的,大多来自北美和欧洲用户。

SplashData估计,大约有10%的用户使用过至少一个Top25的烂密码。3%的用户使用过「123456」。

「烂密码」有什么危害?

2020年,互联网让每一个网民都接触到各式各样的密码,深知密码安全的重要性。很多同学可能都有QQ号被盗的经历,在吐槽腾讯的安全措施不到位之余,我们有没有反思过,自己的密码是「烂密码」吗?足够安全吗?

还在用姓名+数字当密码?这些方法让你再也不忘密码

「烂密码」的危害显而易见

烂密码容易被盗号!烂密码容易被盗号!烂密码容易被盗号!

我们以上述表格中排名第13的密码1q2w3e4r为例,看看黑客可以在多长时间内破解它

还在用姓名+数字当密码?这些方法让你再也不忘密码

出乎意料,只需要2秒即可破解!我还特意挑了一个看上去挺不规则的密码1(密码安全性与复杂程度没有太大的关系,后面会提到)。如果你想知道自己的密码是否被泄露过,可以前往这里输入邮箱验证一下。注意!是输入邮箱,千万不要输入你的密码

如何保证密码安全?

避免一个密码遍天下

我们应该「一把钥匙开一扇门」,而不是仅仅使用「一把万能钥匙开所有门」。

相信我派的大部分朋友并不会使用SplashData公布的「最烂密码百强榜单」中的密码。但是可以肯定的是,为了便于记忆,你会多个账户共用同一个密码。也许你会认为,自己的密码相当复杂,别人不可能猜得到。但是,无论密码看上去多么安全,只要多个账户共用同一个密码,就有「撞库」的风险。

「撞库」英文名为CredentialStuffing,它的含义如下:

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

举个栗子,支付宝比QQ的安全等级更高,如果你的这两个账户共用一个密码,黑客盯上了你的账户,就会首先尝试攻破QQ密码,一旦成功,他接下来破解支付宝账号不就手到擒来?因此,即使密码再复杂,共用同一个密码,都会使你的密码安全性大打折扣。更何况,有的人还会主动把自己的密码说出来。

还在用姓名+数字当密码?这些方法让你再也不忘密码

不按套路设置密码

你可能不会设置「最烂密码百强榜单」中的密码,但可能会使用姓名简称、生日或其他常见数字作为密码,但这些都非常不安全。在当下的互联网环境下,骗子都能准确地说出你的身份证号,姓名和生日这样的信息还会有隐私可言吗?

我们推荐,定制一套独属于自己的规则,设置专属密码。当然每个人因人而异,具体可以参考人民日报给出的建议。

还在用姓名+数字当密码?这些方法让你再也不忘密码

图片来源于人民日报微博

密码越复杂越安全吗?

设置密码时,为了安全起见,很多平台要求用户必须设置非常复杂且难以记住的密码,比如至少8位,包括大写字母、小写字母、阿拉伯数字、特殊字符等。这让很多朋友非常头疼:好不容易编出来一个符合要求的复杂密码,还要想办法记住它,时间一久就会忘记,可真是太南了!

还在用姓名+数字当密码?这些方法让你再也不忘密码

图片来源于Dribbble

为什么我们需要设置包括大写字母、小写字母、阿拉伯数字、特殊字符组成的密码?实际上,这是前美国国家标准技术研究院(NIST)工程师BillBurr在2003年编写的有关密码安全性的官方指南中提出的原则,这份指南建议人们使用不规则的大写字母、特殊字符和至少一个数字来设置密码,并且最好定期更换密码,后来被世界范围内的政府、企业和消费者广泛采用。

然而,在BillBurr提出这一原则14年后,也就是2017年,他承认当年撰写的密码安全性的官方指南产生了误导。其实遵循这一原则并不能提高密码的安全性,反而会使密码更容易受到攻击,因为用户设置了复杂密码后,可能会重复使用,或者为了避免忘掉,往往会写下来甚至贴在电脑旁边。而定期更换密码的建议也具有误导性,因为很多人只会更换其中部分字符,让黑客更容易通过已泄漏的密码进行破解。

美国国家网络安全和通信整合中心(NCCIC/US-CERT)在2018年给出的设置密码的建议中,没有提到设置阿拉伯数字、大小写字母、特殊字符的组合式密码,而强调了尽可能把密码设置到最长

因此,密码的安全性与其复杂程度没有多大的关系,而与密码的长度密切相关!

为了验证密码越长越安全是否真的可靠,我在密码安全性检测网站Kaspersky做了一个测试,分别使用下面6个密码,长度从8位递增到12位,来测试暴力破解所需的时间:

I_6s@5Y$I_6s@5Y$OI_6s@5Y$O?I_6s@5Y$O?zI_6s@5Y$O?z9I_6s@5Y$O?z9%

测试结果如下图所示,可以看出,密码每增加一位,暴力破解所需的时间呈几何级数增长。因此,密码越长越安全是可靠的。

还在用姓名+数字当密码?这些方法让你再也不忘密码

一般认为,16位的密码就比较安全了,以目前计算机的计算能力,这个强度的密码要计算很长时间,当然随着技术的进步,这个时间可能会被不断缩短。因此,我们建议,在可能的情况下,至少设置16位长度的密码

值得注意的是,既然密码安全性与其复杂程度关系不大,为什么上面的例子中,我要把密码设置得非常复杂?从排列组合的角度看,供选择的字符种类越多,组合方式就越多,暴力破解的难度也就越大。因此,在密码足够长的基础上,可以认为密码越复杂越安全。

开启两步验证

两步验证(Two-FactorAuthentication,2FA)又称二次验证、双重认证,是一种保护帐户的第二层保障。顾名思义,两步验证需要两个步骤来验证使用者的身份,能够给网络安全额外增加一层保护,即使密码被盗,账户依然安全。两步验证一般要求用户提供两种类型的信息来提高账户的安全性,如密码、个人识别码、电子邮件验证码、短信验证码、指纹、安全问题等,然后用户才能登录。第一步一般是密码,第二步则是其他的验证信息。

还在用姓名+数字当密码?这些方法让你再也不忘密码

图片来源于Dribbble

启用两步验证后,在新设备上登录账户时,需要2个步骤:

像平常一样输入账号密码再输入一个验证信息(信任设备进行确认、短信验证码、邮件验证码等)信任设备进行确认还在用姓名+数字当密码?这些方法让你再也不忘密码

短信验证码还在用姓名+数字当密码?这些方法让你再也不忘密码

邮箱验证还在用姓名+数字当密码?这些方法让你再也不忘密码

2020年,几乎常用的账户都已支持两步验证,比如AppleID、GoogleAccount、Twitter、Dropbox。对于支持两步验证的账户,建议都打开。对于AppleID、GoogleAccount这类关乎「身家性命」的账户,更是一定要打开两步验证!至于如何开启两步验证,各个账户不尽相同,但一般都很容易找到。例如开启AppleID的「双重认证」,只需打开AppleID管理页面,登录自己的AppleID,就可以进行设置,一旦开启,就无法再关闭。

还在用姓名+数字当密码?这些方法让你再也不忘密码

使用密码管理工具

前文提到,密码要尽可能地长,平台要求使用数字字母组合密码,我的密码又那么多,没有过目不忘的记忆力,怎么可能记得住?

平板电脑怎么样做账号密码(还在用姓名+数字当密码?这些方法让你再也不忘密码)

因此,我们就需要密码管理工具。密码管理工具相当于一个保险柜,把你所有的密码认认真真地记下来,放进保险柜里锁好。你只需要记住一个密码,就是保险柜的密码,就可以找到你的所有账户的密码。只要保证保险柜的安全,那么所有的密码就都是安全的。

还在用姓名+数字当密码?这些方法让你再也不忘密码

密码管理有工具很多,常用的有:

1PasswordLastPassKeepPassEnpassBitwarden

建议选择知名的、并且没有「黑历史」的密码管理工具。知名说明他们是信得过的,同时会有很多高手盯着他们的安全性,黑历史就像个人信誉,有一丁点儿也会大打折扣,一定要避开。上述密码管理工具的功能差不多,基本都有这些功能:

保存密码自动填充密码生成高强度密码生成两次验证的随机码多设备数据同步

不过,以上密码工具我只用过1Password,并且还是赠送的会员资格。没有选择这些工具的原因,一是因为我囊中羞涩,不想付费(虽然KeepPass、Bitwarden是免费的),二是我不想把密码散落在四处,这样不便于统一管理。因此,我的主力密码管理工具是iCloud钥匙串(iCloudKeychain)——Apple在iOS7加入的一项功能。虽然iCloud钥匙串还有很多不足,比如不能自定义生成密码的长度与组合方式,Mac上填充不够优雅等,但毕竟是系统内置、完全免费、可以自动生成与填充密码,多设备无缝同步......并且是Apple爸爸的亲儿子,安全性也没问题。要说Apple生态有什么好,iCloud钥匙串一定榜上有名。

还在用姓名+数字当密码?这些方法让你再也不忘密码

iCloud钥匙串自动生成与填充密码

在macOS上打开Safari->偏好设置->密码,iOS&iPadOS上打开设置->密码与账户->网站与App密码,可以查看所有存储在iCloud钥匙串中的密码,以及对存储的账号密码进行修改。同时,iCloud钥匙串还会用??对密码重复或很容易被猜到的密码进行提示。

还在用姓名+数字当密码?这些方法让你再也不忘密码

还在用姓名+数字当密码?这些方法让你再也不忘密码

密码之外的安全

互联网可以说是险象环生,即使你避免一个密码遍天下,不按套路设置密码,密码足够长,开启了两步验证,骗子还是会无所不用其极,想尽一切办法来盗取你的密码。一般来说,下面这些情形是比较危险的:

不加辨别蹭免费Wi-Fi旧设备信息删除不彻底下载来路不明的盗版软件随意点击短信链接见二维码就扫无视浏览器安全警告

这里主要说一下浏览器安全警告。一般来说,主流浏览器用户群体广泛,有大厂做支撑,有着强大的安全团队,是值得信任的,比如AppleSafari、GoogleChrome、MozillaFirefox,因此这些浏览器的警告不可忽视。

还在用姓名+数字当密码?这些方法让你再也不忘密码

注意,上图是在特殊网络环境下进行演示,浏览器给出的警告,不表示v.qq.com(腾讯视频)具有欺骗性

2018年2月,Google宣布,从Chrome68开始,对所有使用http协议的网站标注不安全(notsecure)。如今,Safari、Firefox也都会这样标记,以提示用户注意,同时也是督促网站开发者尽快淘汰http,更换为https(HypertextTransferProtocolSecure)。

还在用姓名+数字当密码?这些方法让你再也不忘密码

为什么http协议的网站会被标注为不安全?因为http压根就没有安全性可言,而目前国内大多数政府、高校网站还在使用http,真是感到很无奈,ballball你们快点更换为https吧。

https为什么安全?这个问题说起来有一点复杂,如果你感兴趣,可以阅读这篇文章。简单来说,使用https协议的网站是「有身份的」,因为它有SSL证书,而只有权威机构才能颁发SSL证书,当用户访问拥有真实证书的网站时,浏览器检查证书确实属于这个网站,并且来自权威机构,于是浏览器告诉用户,你这次访问不会被监控,是安全的。

还在用姓名+数字当密码?这些方法让你再也不忘密码

图片来源于https://qdan.me/list/VRJfywTb_Gix3bnz.html

我们常用的浏览器可以查看访问网站的证书,例如下图,就是在Safari浏览器中查看我派和我的博客的SSL证书详情。

还在用姓名+数字当密码?这些方法让你再也不忘密码

除此之外,注重隐私保护,也是增强安全性的重要手段,尽管这在当下的互联网环境下非常难以做到:发条朋友圈、聊天发送一张图片都可能会泄露各种信息,更不用说各大厂商对用户「若有若无」的监控。

说到这里,就不得不提到Apple的隐私保护3。保护隐私本来是厂商的基本职责,如今却变成了一种奢求,而Apple因其在隐私保护方面的「极致」追求,更是成为它的一大卖点。

还在用姓名+数字当密码?这些方法让你再也不忘密码

关于iPhone的隐私保护,Apple拍摄过一系列视频来宣传推广,比如PrivacyoniPhone的广告,吸引着包括我在内的很多人选择iPhone。虽然隐私泄露不一定会威胁密码安全,但不注重隐私保护,难道可以说是安全的吗?

最后的忠告:

密码非儿戏,务必要牢记

上网冲浪爽,陷阱时刻防

道路千万条,安全第一条

相关新闻

返回顶部