“如何管理好自己的密码”这个问题,直到现在(2021年)仍然困扰着很多人,甚至可以说比10年前更困扰,毕竟这10年来互联网高速发展,用户的各种账号密码数量也疯狂增长。
简单讨论一下常见方法
很多人的经验方法大概就是以下几点:
– 密码分级管理,重要的账号密码要复杂且不重用,不重要的就简单重用,减少需要记的数量;
– 为了方便记忆又提升安全性,应该选取基础密码+某种变形规则/特定算法来生成密码;
– 用小本本、Excel文档、浏览器、独立的密码管理器记录密码,忘记时就直接打开查看。
无论账号是不是重要的,都不建议重用密码,除了最常想到的盗钱这些问题之外,黑客还可能利用账号来进行营销、诈骗等,可能会带来很多难以想象的麻烦。对于非常重要的账号,密码除了要复杂且不重用之外,最好还是定期修改。估计现在很多小伙伴都有挺多账号的吧?所以其实也还是要记挺多密码的惹。
基础密码+某种变形规则/特定算法来生成密码,emmm…听起来好像很不错,但是每次登录都要推算一次,不累吗,费脑力惹。而且这样可能只是恶心了自己但恶心不了黑客,黑客只要得到两三个样本就很容易破解其他的了,还是不安全呐。
最原始的小本本记密码,又麻烦又不安全,随身带又怕丢,藏起来又怕用时看不了。Excel明文存储密码,有点方便但不安全。浏览器记住密码,你以为加密就等同于安全?比如Chrome在Windows上就使用 DPAPI来加密,但用户打开任何其他程序都可以调用 CryptUnprotectData解密得到密码。甚至还有人写了开源程序,能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码,看这里:
Chrome-Password-Grabbergithub.com
至于独立的密码管理器,则要分情况,如果是利用特定的算法生成确定性密码这种,就不建议用了,连算法都是公开的,破解不难。密码管理器至少要选择第二代的(谨防假二代…),可以看看我们这篇文章
神锁离线版:密码管理器进化史(2/4)zhuanlan.zhihu.com
建议使用密码管理器
据我了解,管理密码一般有以下三大困难:
- 设置密码困难。很多网站可能只要求用户设置由数字字母组成的至少8位数的密码,而某些网站对密码设置的要求可谓是难倒了不少小伙伴,可能是至少12位,需要由数字、大小写字母、符号、甚至是表情组成,而且还不能有明显的规律。我一位同学就曾发朋友圈求问XX银行的密码该如何设置,因为她搞了很久都还是被提示不符合要求……
- 记住密码困难。不少小伙伴都意识到密码安全很重要,特别是对于非常重要的账号(例如支付宝、银行账号、游戏账号等等涉及到钱或是高价值的),所以设置密码的时候也会尽量设置得又长又复杂。奈何记不住啊!重要账号多,各个账号的密码又要复杂又不能重用,而且有的网站/系统还要求用户在修改密码时,必须输入最近三次使用过的密码,这可咋整?
- 输入密码困难。就算你能记住又长又复杂的密码,但是登录账号时还要一个个字符敲上去,也累吧?要是在手机小小的虚拟键盘上点就更加麻烦了。而且,有些平台还隐藏密码,要是不小心按错了哪个,可能又要全部重新输过,真是“TMD,烦死了”。
那么该怎么办呢?以上三个问题,密码管理器都可以解决。你只需要选择一个安全靠谱、功能符合你需求的密码管理器即可。
首先,很多密码管理器都带有密码生成器的功能,可以为你的所有账号生成很复杂且唯一的密码,组成元素、长度都可以自己控制,而且可能还可以帮你检测密码的强弱。
其次,密码管理器App在手机上使用,密码存在里面,忘记时就可以解锁打开看一眼,很方便。
最后,某些密码管理器还具有自动填充的功能,当你要登录某个平台的账号时,不需要自己手动输入,只要稍微点击两三下就可以把账号密码填充上去了,例如神锁离线版这个:
以上谈到的都是关于密码管理器的一些较基础的功能,有些密码管理器可能还有定制化账号模板、一次性密码验证器、密码泄露监控等高级功能,根据自己的实际需求或使用偏好去选择就可以了。当然,除了功能外,密码管理器的安全性是绝对不容忽视的!
某些密码管理器虽然功能不错、体验还行、价格也优惠(甚至是免费),但安全性可能不好(包括存储安全、填充安全等等)。真正对密码管理器安全性了解的人估计不多,感兴趣的可以看看下面这两个回答:
密码管理器绝对安全吗?www.zhihu.com
大家相信第三方密码管理吗?www.zhihu.com
更多安全建议
2021年了,黑客的攻击手段更加多样化,如果我们管理密码的方法和思想还停留在10年前,那怎么保证你的账号安全呢。最后就再提一些关于提升账号密码安全的建议吧。
- 养成良好的密码管理意识与习惯,使用安全可靠的密码管理器。为每个账号设置唯一的无规则密码,重要的账号最好还是定期修改。而且要是发生什么相关的泄露事件,别想着应该没事,赶紧改密码吧。
- 了解一下账号安全的相关信息,有时单靠密码可能没法保证你的账号安全。如果某些网站有提供二次验证(包括一次性密码、邮箱通知、手机验证码等等),一定要开启。2015年发生的苹果ID大规模被盗事件就是“血淋淋”的教训
Apple ID被盗,iPhone和iPad被恶意设为丢失模式怎么办?www.zhihu.com
- 手机解锁能用生物验证就用生物验证,尽量不要在公共场所使用密码。因为你输入的密码可能会被其他人看到(特别是在挤地铁的时候…)。在PC端登录时,能扫码登录就扫码登录。
- 不要无视银行账号的安全设计体系。不知大家有没发现银行总是会有各种密码,比如手机银行密码、U盾密码、网上银行密码、银行卡密码等等。你以为银行真的闲着没事干所以搞一堆密码出来?那都是为了帮助提升你账号的安全啊!可以看看这个回答
(当然如果你的银行账号只有两位数的存款,那可能倒是不必要了 )
来源:freebuf.com 2021-03-25 19:24:21 by: idguardoffline
请登录后发表评论
注册