|
|
如果我们使用一个名字作为密码,那么破解的过程通常只是一瞬间。如果将出生日期也加入密码中,例如“karin2401”,那么破解这一密码会需要点时间,大概7h左右。然而,类似“!sKdfj4/ asl230 D_A%”这样的密码通常是很难破解的,但是这样的密码虽然安全,却没有人能够记住,特别是现如今Windows、邮件、网上银行、网上商店、Dropbox、社交网络等几乎每一项服务都需要密码。7 c% Z% s" C( K% s& U, Y; S0 @
) w8 C$ B! D! f1 v- k" f2 n
日常生活中面临的挑战
5 p( ^# S8 \- _1 ~* N) B5 P. K# ~. a: n0 f( |7 l9 g
设置和管理密码并不容易,使用简单的密码已经被证明是不可行的,但是我们虽然可以为每一项服务设置一个安全的密码,但却未必能够记住它们。我们可以将密码存储为一个数据库,但是如何保护这个数据库以及如何随时随地访问这个数据库又是一个问题。因而,我们需要一整套完善的密码策略,确定自己应该如何设置和管理密码。+ g2 a$ c* ]& a5 Q( n* n
; m1 [! V0 ?% d5 z* o
完美密码
; A+ u9 V* l0 ^6 Y3 Q' a! }0 i7 W3 m# V1 g
1、不使用相同密码
# }$ s8 B) l# @5 r5 [6 b$ W, T% Q% k7 I; F# p1 v V' ]* O7 x. z+ f
听起来这一规则微不足道,似乎也是众所周知的密码安全常识,但不幸的是它经常被忽视。为每一个服务使用单独的密码,即使一个账户的密码被盗,也只有一个账户会受到影响,可以将损失降到最低。( ^, h" a$ C; R) }5 o' F
8 @7 ^: F+ H+ n
2、正确的组成部分% E ?" _; n- Q; M5 S0 D
0 l1 `/ q' B% d( G8 R
一个安全的密码至少包含8个字符,密码越长,安全性越高,而10~12个字符的长度通常已经足够。当然,这10~12个字符中,应该包含大写和小写字母的组合,且包含数字和特殊字符效果更佳。Web服务“http://gaijin.at/en/olspwgen.php”可以根据我们选择的组成部分,自动生成指定长度的安全密码。
+ N" @# @$ J3 A, b2 A0 O: B1 l7 R
- s1 T( b) o6 |3 l: ?3、用图案代替文字! a: g) ~% O# S9 [/ J% A( J# b
( v/ H9 o9 b, m+ [$ z) E8 w
密码卡的工作原理类似于密码,但它在提供足够安全密码的同时,用户不需要记忆整个密码,只需要记住自己在密码卡取密码的习惯或者规律即可。例如在如图所示的密码卡中,我们通过一个简单的图案取密码,这样就可以获得一个高强度的9位数密码“Au8S4s7tP”,然后我们通过类似“7E 11A”的坐标即可查找到该密码。我们可以根据自己的喜好制作密码卡,然后将它打印出来使用。
/ X) m: \6 U4 } s) c/ _+ A5 V" B! H# G* h L! u4 N
4、个性化密码策略0 Y9 B, P' j$ k" u! Q3 j" z
& L- T& k! j* C5 W. \
我们可以根据自己脑海中特殊的密码策略为每一项服务创建密码,例如我们的策略以服务网站的名称为基础,取Facebook其中4位获得密码的基础“Fcbo”,接下来,我们将加入一个日期,我们将日子放前面,月份放后面,然后插入到网站的4位字符中,加入日期5月3日将产生密码“0F3cb0o5”。最后,在每一个数字后面加入一个与其相关联的特殊字符,现在密码变成“0)F3#cb0)O5%”。这是一个非常安全的密码,并且我们需要记忆的只是创建密码的规则,不过,仍然需要注意,从安全角度出发,我们应该每年改变一次自己的规则,避免所有的密码因规则被破解而全部泄漏。
& [4 b' K- b/ W, R6 S( j$ d+ I: m, I( s
5、软件的解决方案! D4 L; \ l4 g; e+ k5 Q9 h
) Y" s+ X) U8 w* q使用密码管理器是另一个不错的选择,它可以帮助我们记忆所有的密码,甚至能够自动填写密码,我们唯一需要记忆的只是密码管理器的保护密码。此类软件很多,而免费软件KeePass(keepass.info)就是一个很好的选择。7 _* K$ k. Q8 e+ r7 W9 i/ s
/ L! T& s* v$ `' W- W9 M) U6、随机生成的密码
" ~9 @2 k0 G# ?8 n3 c* p* H7 ]
6 q" p: T& L/ |/ [# Y类似KeePass密码管理器之类的软件还可以帮助我们生成随机密码,我们需要做的只是简单地单击“工具|生成密码”。
. b2 `7 _: I, ~2 {5 i
5 [5 X% v' G8 ]* _; E! F密码提示
1 H' O, K y: M/ H- A3 {# k6 q
# [. J3 b; O" i5 F. ~3 n1、在其他设备上使用
+ r T& t/ k' Z, V! g8 a% g; f, B9 H$ a3 D( I' w7 s e8 l
如果我们需要多台电脑,那么可以使用便携版的KeePass密码管理器(Portable KeePass),将其存储到闪存盘上,即可在不同的电脑上访问密码数据库,轻松地使用和管理密码。而KeePass密码管理器的保护密码,我们可以结合上一页介绍的技巧,使用密码卡等方法创建一个安全而又不担心会忘记的密码。
+ e* z2 u1 n0 w7 i5 k" I3 W0 s, W( f6 v D
2、在设备之间同步
, B1 ~- j4 x4 l, E' o; S
( s: q+ A3 z) K; V8 s我们也可以考虑通过在不同的设备之间同步密码数据库的方式,确保自己总能随时随地访问自己的密码数据库。LastPass(lastpass.com)和1Password(agilebits.com/onepassword)之类的商业软件可以同步它们的密码数据库,使用非常方便,但是商业软件是需要收费的。如果我们在电脑上使用KeePass密码管理器,那么也可以考虑再使用MiniKeePass(iOS)或者KeePas Droid(Android)让自己能够在智能手机和平板电脑上使用和管理自己的密码。不过,我们需要自己想办法同步KeePass的密码数据库,例如使用Dropbox之类的在线存储服务中转,但是需要注意避免将数据库一直存储于在线存储空间,应该在同步完成之后将其删除。/ C) E9 {2 @- B7 A& Z
: \" B9 P- b5 _0 E5 E3、使用一次性密码+ i7 r7 [; m, v. X7 c1 j
' A. z5 a7 B( c9 B6 p对于只是想尝试一下的Web服务,使用一个类似“123ABC”的一次性密码注册登录是不错的选择。即使网站支持使用QQ、支付宝、Facebook或Twitter等联合登录方式,可以不需要注册直接使用联合登录站点的账户登录,使用一次性密码也仍然是个更好的选择,这样一方面能够避免泄漏联合登录站点上的账户信息,另一方面下一次如果突然又需要访问该网站,则也可以继续使用注册的账户,但是需要注意,一旦我们要开始更多地使用该服务,那么一定要及时再切换到一个强密码。* _5 `( v2 B# W0 v/ w
2 n1 |2 l! }1 v6 q4 V5 F; i; I# `$ y4、两步验证的双重安全, ^' Q- r4 |; V
- U* j2 D9 y4 k$ }& |
两步验证能够通过两种不同的途径验证身份,比仅用密码更安全:使用两步验证,登录过程中验证密码通过后,还需要通过注册服务或者开通两步验证功能时预留号码的手机接收一个代码,键入正确的代码之后,才能够成功登录。对于Google等支持两步验证的Web服务,CHIP强烈建议开通两步验证,确保账户的安全。
2 o/ n; l& e2 ` {
' I- p6 D3 W& d8 r" A9 f; c. b5、快速重置密码
$ d, \% N7 D# @- ~6 f
5 W1 R8 t( ?( h; G2 C+ a% z虽然我们的密码很安全,但Web服务商密码被盗已经成了司空见惯的事情,因而我们需要经常修改一下密码。在KeePass密码管理器中,右击相关的Web服务密码记录,选择“网址(URL)| 打开”,即可访问Web服务登录页面,快速修改密码。
) R6 v1 m7 V0 f3 ~: C; I: F& Z' P2 A' T$ |" q
|
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2015-3-21 00:01:01
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡