1. 前言
在我們的生活中军俊,有各種網(wǎng)站灯抛、應用都需要注冊和登錄钳吟。這些網(wǎng)絡訪問通常需要 「賬戶」 + 「密碼」 的認證方式,于是幾乎我們每個人手上都有幾十個甚至上百個賬號考传。
一般而言招拙,我們設定和記住密碼的方式,就是生日喇勋、紀念日缨该、姓名、身份證等等核心內容川背,然后再加上特定規(guī)律贰拿。甚至為了便于記憶,很多人習慣只用一個常用的密碼熄云。這是非常危險的行為膨更。因為只要有一個網(wǎng)站出現(xiàn)安全事故,密碼被泄露缴允,那么幾乎所有注冊過的網(wǎng)站和服務都會淪陷荚守。但如果使用多個密碼,又很可能因為密碼過多练般,在登錄的時候出現(xiàn)賬號和密碼對應不上的情況矗漾,極為不便。
那我們應該怎么設置密碼踢俄,才能做到相對安全缩功,并且方便記憶和使用呢?
2. 密碼是如何被泄露的都办?
在考慮如何設置密碼前嫡锌,我們先來討論一個問題:我們的密碼是如何被泄露的虑稼?
一個賬號密碼的背后,往往涉及到大量的個人信息势木。如果一旦被泄露或者被破解蛛倦,黑客會比你爸媽更加了解你自己。
通常來說啦桌,密碼泄露的位置主要有三個地方:本地溯壶、網(wǎng)絡傳輸、遠程數(shù)據(jù)庫甫男。
舉個例子:你在瀏覽器上某網(wǎng)站上輸入了賬號和密碼且改,這個賬號在你登錄之前,只存在于你 本地電腦 中板驳。一旦你點擊了登錄按鈕又跛,瀏覽器就會將你的登錄名和密碼打包成為一個登錄請求,發(fā)送給遠程服務器若治。這個階段慨蓝,你的密碼會在 網(wǎng)絡傳輸 過程中經(jīng)歷一段非常短暫的旅程。如果你是第一次注冊端幼,那么你的密碼還將會以某種形式存儲在該網(wǎng)站的 遠程數(shù)據(jù)庫 中礼烈。
下面來說一下這些常見的密碼泄露情況:
2.1 本地泄露
本地電腦上的密碼被泄露通常是因為電腦中病毒,被植入了惡意木馬婆跑,鍵盤收到惡意程序監(jiān)聽此熬,黑客會在惡意程序后臺,將你的個人信息發(fā)送到黑客自己的服務器中洽蛀。
過去破解密碼常用的一種手法是使用鍵盤記錄器等工具摹迷,記錄下鍵盤的每一次操作疟赊,然后在后臺發(fā)給黑客郊供。在曾經(jīng)網(wǎng)吧最紅火的年代,經(jīng)常有人在網(wǎng)吧電腦里安裝這類工具近哟,用于盜取網(wǎng)吧其他玩家的游戲賬號密碼驮审,偷走游戲里的裝備,或者虛擬 Q 幣吉执。
2.2 網(wǎng)絡傳輸過程中泄露
網(wǎng)絡傳輸中的密碼被泄露可能是因為網(wǎng)站沒有有效的對密碼進行加密疯淫,導致密碼明文傳輸,或者非加密傳輸戳玫,黑客通過一些工具熙掺,攔截登錄請求包,就能直接看到你的密碼咕宿。
在 WiFi 普及之后币绩,黑客可以采用 WiFi 中間人攻擊的方式蜡秽,偽造一個與合法 WiFi 接入點同名的無線信號,騙用戶接入后缆镣,在用戶登錄的時候芽突,偷走用戶的賬號密碼、郵箱董瞻、手機號等信息寞蚌。
2.3 遠程數(shù)據(jù)庫泄露
遠程數(shù)據(jù)庫中的密碼被泄露,往往是因為我們所使用的網(wǎng)絡服務提供商不可靠钠糊,對密碼明文保存卑笨,未經(jīng)二次加密,或者加密措施有漏洞鸳吸,如果服務提供商的數(shù)據(jù)庫泄露(常稱為 「拖庫」)雾棺,那么我們的密碼也會變得不再安全。
之前提到兩種密碼破解方式一次只能獲取一個賬號密碼的方式逝慧,對于黑客而言效率還是太低了昔脯。所以技術高明的黑客會選擇直接入侵網(wǎng)站的服務器,直接竊取存儲用戶賬號信息的數(shù)據(jù)庫笛臣,一次性獲取數(shù)百萬甚至上千萬人的信息云稚。比如 2011 年 12 月,CSDN 網(wǎng)站遭遇拖庫沈堡,600 萬用戶的賬號密碼被明文泄露静陈。
更嚴重的是,拖庫還會影響你在互聯(lián)網(wǎng)上的其他賬戶诞丽。這是因為黑客在拖庫之后鲸拥,還會進行 「洗庫」,將你的個人信息進行變現(xiàn)僧免,比如盜取游戲裝備和虛擬 Q 幣刑赶。或者將你的身份信息變賣給垃圾廣告公司懂衩,之后你將會不斷地收到各種推銷騷擾電話撞叨。
最后,黑客還會利用你的賬號密碼信息進行 「撞庫」浊洞,也就是拿著你的賬號密碼牵敷,去嘗試登陸其他網(wǎng)站,如果你多個平臺使用的都是一個賬號密碼的組合法希。那么枷餐,所造成的信息泄露和個人價值損失將不可估量。比如當年的網(wǎng)易郵箱數(shù)據(jù)泄露苫亦,Dropbox 密碼外泄毛肋,都會引起連鎖的賬號安全問題奕锌。
雖然因為平臺原因導致的信息安全問題,我們好像看似無能為力村生,但是一旦了解到密碼是如何被破解和泄露的惊暴,將有助于我們更好的設定自己的密碼,從而使個人的賬號密碼更加安全趁桃。
基于這三個地方的密碼泄露問題辽话,我有一些關于密碼安全的建議如下:
- 盡量不在公共或有潛在安全風險的設備上進行密碼操作;
- 技術不足的情況卫病,盡量不要越獄油啤,對設備不進行 Root;
- 不安裝未知來源的(盜版)軟件蟀苛。
- 不使用不可信的 WiFi 網(wǎng)絡益咬,特別是公共場合的陌生、免費 WiFi帜平。
- 如果可能幽告,使用 SSL 加密訪問網(wǎng)站;
- 保持瀏覽器在最新版本裆甩;
- 檢查網(wǎng)站證書是否可信(一般瀏覽器都會有提示)冗锁。
3. 密碼制定要求和策略
3.1 密碼制定要求
總體來說,個人的密碼安全需要遵循以下幾個簡單要求:
- 密碼長度最好 8 位或以上嗤栓,不宜過短 / 過于簡單(例如:abc12345)冻河;
- 沒有明顯的組成規(guī)律,盡量不要與個人信息相關(例如生日茉帅、身份證號)叨叙;
- 盡可能的使用三種以上符號,比如「字母」+「數(shù)字」+「特殊符號」組合堪澎;
- 按照平臺重要程度擂错,將密碼進行至少三級分類:普通密碼、重要密碼全封、安全密碼等等马昙。
3.2 密碼級別分類
對于不同的平臺,我們應該使用不同的密碼刹悴,以免一個平臺賬號泄密,引起連鎖的賬號安全問題攒暇。
一個較好的做法是:對不同的平臺按照重要程度進行分類土匀,不同重要程度的平臺使用不同層級的密碼。
對于支付寶形用、微信就轧、網(wǎng)銀等涉及財產安全证杭、可以信任的、安全的平臺妒御,設定為 「安全密碼」 級別解愤;對于常用的網(wǎng)站、論壇乎莉、博客送讲、云盤,設定為 「重要密碼」 級別惋啃;對于偶爾登錄的論壇哼鬓、網(wǎng)站,或者一次性注冊登陸的賬號边灭,可以設置為 「普通密碼」 級別异希。如果自己對賬號還有其他需求,還可以設置更多級別的密碼绒瘦,比如臨時給朋友分享的密碼可以設置為 「臨時密碼」 級別称簿。
通過對不同重要程度的平臺的賬號密碼進行分級,這樣至少我們在泄露一個密碼的時候惰帽,不會導致其他級別的密碼也跟著泄露予跌,一定程度上保證了賬號安全。
此外善茎,建議同一級別的密碼券册,也不要完全相同。推薦使用「基礎密碼」+「網(wǎng)站名稱」+「一套密碼變化規(guī)則」組合的方式垂涯,對同一級別不同平臺的密碼進行不同的設定烁焙。這樣,即便是一個平臺的密碼泄露了耕赘,也不會導致這一級別其他賬號密碼泄露骄蝇。當然,一旦發(fā)生密碼泄露操骡,最好的做法是立即修改本級別下的所有賬號密碼九火。
3.3 密碼制定方法
上邊我們講了密碼級別的分類,下邊我們來講解一下某一級別密碼的具體制定方法册招。
首先岔激,密碼 「被破解難易」 跟密碼的 「長度和難易程度」 正相關。所以是掰,強烈建議大家使用高強度的密碼虑鼎。比如 Dr4%*DyaZoHPz^ 就是一個高強度的好密碼,只是記下來不大容易背。
網(wǎng)絡上的大神對制定密碼的策略和記憶密碼的方法有各種獨到有效的見解炫彩。比如下面幾個:
利用詩詞的密碼:
Fhl3yjsd10000j—— 烽火連三月匾七,家書抵萬金利用順口溜的密碼:
cptbtptpbcptdtptp—— 吃葡萄不吐葡萄皮,不吃葡萄倒吐葡萄皮
但是詩詞和順口溜用的知道的人多了江兢,也變得不那么安全了昨忆。那有什么方式,才能使密碼變得既安全杉允,又方便記憶和使用呢邑贴?
我推薦使用 「基礎密碼」 + 「網(wǎng)站名稱」 + 「一套密碼變化規(guī)則」 組合的方式。
1. 選取一個基礎密碼
首先夺颤,我們要選擇一個基礎密碼痢缎。這個基礎密碼可以是一句詩句,也可以是一句話世澜,保證盡可能無規(guī)則独旷。比如:「大臉貓愛吃魚」,取其拼音首字母組成密碼:dlmacy寥裂。
2. 對基礎密碼進行一些變化
接下來嵌洼,我們要對基礎密碼進行一些變化。比如:「改變字母大小寫」封恰、增加「特殊數(shù)字」麻养、「特殊字符」等等。
- 改變字母大小寫后:
DLMacy - 增加特殊數(shù)字后:
DLMacy618 - 增加特殊字符后:
DLM#acy618
經(jīng)過這些變化之后诺舔,DLM#acy618 就成為了我們的基礎密碼鳖昌,這也是一個強密碼。現(xiàn)在低飒,這個密碼的被破解難度已經(jīng)很高了许昨,但是還不夠好,我們還可以在這個基礎上褥赊,增加不同網(wǎng)站的名稱糕档,為密碼增加一些變化。
3. 不同網(wǎng)站增加變化
不同網(wǎng)站應該增加不同的變化拌喉。比如:
-
DLM#acy*Zfb618:中間加了*Zfb速那,代表支付寶。 -
DLM#acy*Zh618:中間加了*Zh尿背,代表知乎端仰。
4. 增加密碼變化規(guī)則
上邊對不同網(wǎng)站簡單增加了一些小變化,但是根據(jù)一個網(wǎng)站密碼還是可以間接猜測到其他平臺密碼(可能性較胁屑摇)榆俺。如果為了更加保險,我們可以對「不同網(wǎng)站變化」的部分坞淮,再增加一層加密茴晋。比如對字母進行移位運算。假設我們自定義的規(guī)律為:(字母 - 3) % 26回窘,即每個字母向前移動三位诺擅。比如 Z 向前移動三位是 W,h 向前移動三位是 e啡直。那么 Zh 就變成了We烁涌,Zfb 就變成了 Wcy。這樣一來酒觅,我們的密碼就變成了這樣:
-
DLM#acy*Wcy618:支付寶密碼 -
DLM#acy*We618:知乎密碼
到此為止撮执,我們的密碼制定就結束了。單就密碼而言舷丹, DLM#acy*Wcy618 怎么看也不像是一個好記的密碼抒钱。我們在輸入密碼的時候,可以這樣提示自己:「大臉貓愛吃魚」颜凯、「特殊字符」谋币、「字母移位」、「特殊數(shù)字」症概。多練幾次蕾额,自然而然就記住了這套密碼體系。
這套密碼用的是強密碼彼城,不同平臺之間的密碼既有規(guī)律诅蝶,又有唯一性,安全性已經(jīng)得到了保障募壕。在輸入密碼的時候调炬,也不需要再隨性地思考自己用的是什么密碼了。
這樣我們就得到了一套既安全司抱,又方便記憶的密碼體系筐眷。但是似乎使用起來還不是那么方便。
因為每次使用的時候习柠,我們要先考慮平臺的密碼等級匀谣,然后再想想自己的密碼制定規(guī)則,最后如果密碼過于復雜的話资溃,輸入還容易出錯武翎。那么有什么方法,能使我們的密碼使用起來更加方便呢溶锭?
答案是:使用 「密碼管理工具」宝恶。
4. 使用密碼管理工具
說起密碼管理工具,最原始的管理工具是:「密碼本」。就是將個人的賬號密碼記錄在某一頁紙上垫毙,好好保存起來霹疫,等到忘記密碼的時候拿出來看看。這種方式看起來十分原始综芥,但至少從物理上保證了密碼的安全性丽蝎。只要沒有人知道你的密碼本放在哪里,那么它就是安全的膀藐。當然這種方法的缺點也很明顯屠阻,一個是記錄起來比較麻煩,二是使用起來也不太方便额各。比如說我在公司需要登錄一個賬號密碼国觉,結果記錄賬號密碼的本子落在了家里這種情況。
「密碼本」的升級密碼管理工具是 「電子文檔」虾啦。其實就是將以前存在紙上的賬號密碼保存在了 Excel 表格文檔中麻诀,或者一些筆記軟件類(例如印象筆記)。像 Chrome 瀏覽器中的密碼保存也可以歸為這類工具缸逃。這樣保存密碼比起上邊提到的「密碼本」來說针饥,確實方便了不少。用的時候隨用隨查就好了需频。但是丁眼,缺點也十分明顯。賬號和密碼都是明文保存昭殉,沒有進行二次加密苞七。如果文件或者筆記泄露了,那么記錄的所有密碼就都泄露了挪丢。這樣反而更加不安全蹂风。
專業(yè)的事情,就應該交給專業(yè)的人去做乾蓬。 產品也是這樣惠啄,「密碼管理」 就應該交給專業(yè)的 「密碼管理工具」 去做。之前我們針對不同平臺設置了不同的密碼任内,這些密碼想要記住也并不是一件容易事撵渡,還好現(xiàn)在有許多專業(yè)密碼管理工具可以幫助我們記住這些密碼,并且還可以進行自動填充死嗦,以及跨平臺使用等等趋距。
這些常見的密碼管理工具有:1Password、LastPass越除、Enpass节腐、KeePass外盯、Bitwarden。
密碼管理軟件的設計思路比較一致翼雀,你可以在軟件中添加記錄自己所有的密碼饱苟,然后為軟件設置一個主密碼。你只需要掌握一個主密碼锅纺,所有其他密碼和重要信息都會被主密碼保護掷空,并且能安全快速的訪問所有賬號密碼肋殴。同時囤锉,這些軟件還增加了一些好用的功能。比如:
- 跨平臺同步:你可以在多個不同設備(Mac护锤、Windows官地、Linux、iOS烙懦、Android 等)之間無縫同步驱入。
- 自動填充:不用再手動輸入密碼,一鍵自動輸入氯析。
- 自動生成密碼:不用自己考慮怎么制定密碼亏较,軟件自動生成強密碼。
- 附件功能:可以添加文檔/文件掩缓,以及將其他的各種會員信息雪情、社保號碼、路由器密碼你辣、駕照護照巡通、證件復印件交給密碼管理器保管。
這幾個軟件具體的區(qū)別如下表所示:
| 工具 | 費用 | 加密方式 | 支持平臺 | 數(shù)據(jù)存儲位置 | 附件功能 | 同步功能 | 密碼自動填充 |
|---|---|---|---|---|---|---|---|
| 1Password | 個人:2.99 美元/月舍哄;家庭版:4.99 美元/月 | AES-256 算法加密 | Mac宴凉、iOS、Windows表悬、Android 及主流瀏覽器 | 本地數(shù)據(jù)庫模式 | 付費版可添加 | 支持 iCloud弥锄、Dropbox、1Password Account 同步蟆沫、WiFi 同步籽暇、保險庫文件同步 | 支持 |
| LastPass | 個人:3 美元/月;家庭:4 美元/月 | AES-256 算法加密 | Mac饥追、iOS图仓、Windows、 Linux但绕、Android救崔、Windows Phone 及主流瀏覽器 | LastPass 美國服務器線存儲 | 可添加附件 | LastPass 美國服務器同步 | 支持 |
| Enpass | PC 端免費惶看;手機端收費:173 元/年 | 348 元/終身 | AES-256 算法加密 | Mac、iOS六孵、Windows纬黎、 Linux、Android 及主流瀏覽器 | 本地數(shù)據(jù)庫模式 | 可添加附件 | 支持 iCloud 同步劫窒、Dropbox 同步本今、Google Drive 同步、OneDrive 同步主巍、WebDAV冠息、box 同步 | 支持 |
| KeePass | 免費 | AES-256 算法加密 | Mac、iOS孕索、Windows逛艰、 Linux、Android 及主流瀏覽器 | 本地數(shù)據(jù)庫模式 | 無法添加附件 | 支持 WebDAV搞旭、支持多種方式云同步(具體看軟件) | 支持 |
| Bitwarden | 普通版免費散怖;個人:10 美元/年;家庭:40 美元/年 | AES-256 算法加密 | Mac肄渗、iOS镇眷、Windows、 Linux翎嫡、Android 及主流瀏覽器 | Bitwarden 服務器 | 無法添加附件 | Bitwarden 服務器同步 | 支持 |
我認為一個最好用的密碼管理軟件欠动,需要做的這幾點:
- 最好使用本地數(shù)據(jù)庫存儲;
- 最好使用安全的加密手段钝的,例如 AES-256 算法加密翁垂,端對端加密;
- 最好可以自定義云同步硝桩,而非使用軟件官方服務器存儲沿猜;
- 跨平臺設備支持越多越好;
- 支持自動填充碗脊;
- 使用方式要簡單啼肩,體驗要友好。
- 最好免費衙伶,其次是一次性購買后可永久使用祈坠,最差是付費訂閱制。
上面幾款軟件矢劲,做的最好的是 1Password赦拘,這也是用戶口碑最好的密碼管理軟件。但是 1Password 改成付費訂閱制之后芬沉,如果想要長期使用這款軟件躺同,又是一筆不小的持續(xù)性投入阁猜。當然如果是不差錢,追求體驗的商務人士蹋艺,優(yōu)先選擇 1Password剃袍。
1Password 之后的替代選項是 Enpass。Enpass 采用的是 PC 端免費捎谨,手機端收費的模式民效。與 1Password 不同的是,Enpass 除了訂閱制之外涛救,還增加了一次性購買的服務畏邢,以前便宜的時候是 9.9 美元/單一平臺終身,現(xiàn)在改成了 348 元/全平臺終身州叠。手機端免費版支持 25 個密碼存儲棵红,可以先下載體驗一下,再考慮訂閱購買或者直接買斷咧栗。
LastPass 免費版不支持多設備同步。之前又因為國內應用商店下架虱肄,刪除了中文語言致板,導致使用起來并不方便,所以不再考慮咏窿。
當然斟或,不考慮付費的話,我們可以選擇 KeePass集嵌。這是一款開源密碼管理系統(tǒng)萝挤,最大的優(yōu)點就是完全免費,各個平臺也有不同開發(fā)者提供的相關軟件根欧。當然怜珍,KeePass 的缺點就是有一定的上手難度,不建議新手嘗試凤粗。當然酥泛,如果你愿意折騰,學會使用之后也會很方便嫌拣。
免費版的另一個推薦是 Bitwarden柔袁,開源,免費异逐,跨平臺捶索,安全,好管理灰瞻。不想折騰腥例,又想免費燥筷,還想有個良好體驗的,可以選擇 Bitwarden院崇。這里有個小問題肆氓,Bitwarden 的密碼庫是存儲在 Bitwarden 服務器上的,雖說 Bitwarden 服務器存儲的密碼是經(jīng)過 AES-256 算法加密的底瓣,保證了安全性谢揪,但是如果某一天 Bitwarden 倒閉了,或者服務器出問題了捐凭,那么我們的密碼同步也可能會跟著受影響拨扶。不過好在 Bitwarden 還支持自定義部署。強烈建議有 NAS 或者服務器的朋友茁肠,在自己的私有服務器上部署 Bitwarden患民。
5. 總結
現(xiàn)在我們完成了個人密碼體系的制定和管理,既保證了賬號密碼的安全性垦梆,又保證了使用的方便性匹颤。大大提高了日常中對密碼的使用效率。
總的來說托猩,你可以按自己記得住的規(guī)律 「設置密碼」印蓖,然后借助軟件為你 「加密保存、自動輸入」京腥,把應付密碼的時間和精力省下來赦肃,去做別的更有價值和意義的事情。
