频道栏目
首页 > 资讯 > 网络安全 > 正文

如何设密码又安全又好记

17-06-13        来源:[db:作者]  
收藏   我要投稿

如何设密码又安全又好记?最近密码泄漏事件频频发生,到底什么样的密码才安全?密码作为一种最原始、最广泛使用的安全手段,到底应该如何设置?什么样的密码才是安全的?如果我们能明白这些密码泄露事件的根源与原理,对我们加强安全意识会不会有额外的帮助?

密码安全

在开始介绍具体的方法和措施前,我们希望先让您明白,密码到底是如何泄露的,正所谓知其然,也要知其所以然,密码安全不仅仅只是一些教条性的操作指南,更重要的是我们懂得在各个途径和过程中,如何保护好我们的密码。

密码到底是如何泄露的?

想要知道密码是如何泄露的,不妨先想一想,你的密码都在哪?概括地来说,它只会在三个地方:本地、传输过程中、远程数据库中。

举个例子来说,如果你在浏览器中输入或保存了密码,这个密码在你点击登录前,只存在于你的本地,一旦你点击登录,浏览器就会将你的登录名和密码打包成为一个请求,发送给远程的服务器,这时候你的密码会经历一段非常短暂的旅程,最终到达远程服务器。如果你是第一次注册的话,你的密码还会以某种形式存储在对方的数据库中。

密码在本地时黑客通过恶意木马,恶意植入,键盘监听等方式盗取你的密码,这种情况比较普遍,因为现今大多网站和APP在数据传输过程都是加密的,远程服务器更是防范严密。

提取密码

那么最基本的防范措施就是:

1.不在公共或有潜在安全风险的设备上进行密码操作;

2.除非你非常有自信,否则请不越狱,不Root;

3.不安装未知来源的(盗版)软件,从可信的源(如:App Store、Google Play)下载安装软件。

4.不使用不可信的 WiFi 网络,特别是公共场合的陌生、免费WiFi。

5.如果可能,使用SSL加密,保持浏览器在最新版本,检查网站证书是否可信(一般浏览器都会有提示)。

设置密码时,牢记这几点:

1.密码位数、大小写和特殊符号

密码越复杂,安全程度越高,这一假设的前提是你的本地设备和网络环境足够安全,否则密码再复杂,如果你本地有木马程序监听输入,那么一样是徒劳。

在保证本机和网络环境安全的前提下,如果网站的数据发生泄露,对方在暴力破解时,密码的复杂程度就直接对破解的效率和成本有关系,一般来说,位数越长,混杂得大小写和特殊符号越多,暴力破解的成本就越大。所以一定杜绝使用常见的、简单的密码,建议大家的密码尽量保持在14位以上、存在大小写字母和数字、并混杂有特殊符号(理论上特殊符号当然是越不常见的越好,甚至有人用表情符号作为密码中的特殊符号)。

2.在密码中加入网站特征值

如果最坏的情况发生了,密码泄露并被破解了,怎么才能不影响自己在其它平台的账号安全?当然是不同平台和网站有不同的密码是最安全的了,这样泄露的账号和密码不会直接影响到其它平台。不过考虑到实际情况,我们很难在每一个不同的平台上都更换一个新的账号和密码,要记住不是一件容易事。这时就可以考虑一个非常简单的策略:使用一个通用的基础密码,针对不同的网站,在前后或中间插入对应该网站的一个特殊值。比如我给自己设定的一个基础密码是haulik%!2009,那么当我在不同的平台注册时,可以加入不一样的后缀,例如注册百度时可以有haulik%!2009@baidu,注册新浪时则是haulik%!2009@sina,以此类推。

好处是什么呢?首先显然如果你不打算借助一些密码管理工具,而使用脑子来记密码,又希望各个平台的密码有所不同时,这是一个简单可行的方法。其次,一旦你的密码被泄露了,你还很快能追查出到底泄露源是哪。你可能会觉得黑客会不会很聪明,知道在不同网站去替换我的后缀呢?这其实很难,首次加入了这些网站特征值后本身对破解造成了难度上的提升,而从另一个方面来说,黑客基本很少会关心茫茫密码中的个人,他既没兴趣也没精力来专门针对你进行一些特殊处理。如果还是不放心的话,可以考虑在这个策略上,再加入一些变化,比如我就不会直接使用baidu 这样的网站特征值,而是使用这些网站名称的五笔首字母,例如:baidu 就是dy。

3.直接生成随机字符串

不知道到底设什么样的密码好?其实还有一个很简单的办法,像Safari、Chrome等浏览器就会在页面注册账号时智能地提供一个随机字符串作为密码选项。

好处就是,完全忘掉之前说的怎么设置一个复杂的密码规则,你只需要让浏览器自动生成就可以了。不过缺点也很明显,如果你在不同的平台上登录,是 Web 环境的话需要保证全平台统一同步,而如果注册的是某些 App 使用的账号,那么登录的时候就非常不友好了。

4.两步验证

最糟糕的情况就是密码还是泄露了,这时候有没有补救措施?当然也有,像现在大型的互联网公司一般都提供了两步验证服务,如微软、Google、苹果等等。一旦开启了两步验证,只要是在非授信的设置上登录,除了常规的账号和密码外,网站还会要求你额外提供绑定手机的动态验证码,这样就确保了即使的密码泄露了,依然还有一道安全屏障阻碍黑客最终登录你的账号,保护你的数据财产安全。

5.定期更改密码

这可能是听起来最简单的一件事情,但一定要做。前面提到了密码泄露的各个环节,有的是你可控的,有的是你不可控的,有的甚至是你自以为可控但其实并不可控的。对于许多人来说,我们缺乏判断本机或网络传输是否真的安全的能力,甚至像爆发的 XcodeGhost 事件,即使对于安全意识再高的人,也想不到会有这样的事情发生。

正所谓防患于未然,既然我们永远不知道水有多深,不如养成定期改密码的好习惯。

6.永远假设你的密码会泄露

不过,一个更残酷的现实是:道高一尺,魔高一丈。网络中永远潜伏着我们还未意识到的安全风险,随时可能爆发的黑天鹅事件。

因此你在使用任何网络服务时一定要有一个意识,做好最坏的打算:永久假设你的密码一定会泄露,只是时间早晚问题。那么,这件事一旦发生后,被泄露的数据会对你造成致命的打击吗?会让你的银行卡变成人尽可取吗?会让你的身体变成人尽可看吗?会让你的阴谋变得人尽可知吗?想想这些,你还敢把银行卡密码记在短信里吗?还敢和冠希哥合拍小视频吗?还敢传政府机密文件到网盘里吗?

相关TAG标签
上一篇:台积电:绝大多数7nm客户都会转向6nm_IT新闻_博客园
下一篇:最后一页
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站