您不仅仅是一个数据点。《退出》旨在帮助您夺回隐私权。
您的密码可能非常糟糕,您需要让它们更强大。是的,我们知道每次完成最微小任务都要想一个新密码非常烦人,但它们是阻止黑客和其他恶意行为者侵入您事务最实用的方法之一。
科技公司、记者和关注网络安全意识的组织多年来一直在强调安全密码的重要性。可悲的是,似乎效果甚微。密码管理器 NordPass 在 2022 年的一份报告中列出了“password”、“123456”和“123456789”这三个最常见的密码,这真是令人尴尬。即使往下看,情况也没有好多少:“Password1”排在第 192 位。
值得注意的是,科技行业几十年来一直在畅想 一个无密码的世界,一些公司已经提供 绕过 或完全 摆脱 这种身份验证方式的选项。但只要密码仍然是访问我们数据的主要方式,我们就需要提高我们的水平,以妥善保护我们的信息和金钱。
什么是强密码,为什么创建它如此困难?
恶意第三方在试图访问您的账户时,可能会尝试使用 猜测攻击 等方法。这种方法有几种变体,但它们的工作原理类似:获取一把钥匙(一个已知的常见密码或在线泄露的个人凭据),然后看看它能打开多少扇门。
[相关:为什么政府机构会不断被黑客攻击]
当然,攻击者追求效率,所以他们不是在笔记本电脑上手动输入。他们使用软件自动尝试常用密码字典中的每个条目,例如,或使用已知数据泄露的信息来尝试泄露的密码和/或其潜在的变体。这是因为人们不常更新密码(他们 一年才更新一两次,而不是 推荐的每三个月一次),并且在更新时,他们倾向于 只做微小的改动。
这就是为什么强密码是独特的、长的,并且包含标点符号、数字和大小写字母等特殊字符。当我们说独特时,我们指的是字典里找不到的词。常用或著名的名字也不行——密码越原创越好。密码的长度和特殊字符的使用都可以增加其真正独特性。这只是数学问题——您在凭据中使用的字符数量和种类越多,可能的组合就越多,它们就越难被猜到。
很多人会想出自己的暗号来生成密码,使用歌曲、诗歌和电影中容易记住的短语。一种经典的方法是用数字替换字母(例如 A 用 4 代替,O 用 0 代替),并交替使用大小写字母。如果您是这样做的,那么您就走对了方向,但您实际上需要让您的个人密码学更加复杂,才能真正为您的密码增加安全性。我们不会告诉您我们如何加密我们的凭据,但您可以创建自己的书面语言或字母表,方法是用其他字符替换字母。请记住,克林贡语是从纯粹的胡言乱语构建的,所以天空是极限。
当然,增加难度的代价是 更高的认知负担。这意味着密码与您常用的单词或短语相差越远,您就越难记住它。这本身就很复杂了,但如果您考虑到 普通人平均有大约 100 个在线账户,那么记住所有这些编码的独特密码的可行性就彻底破灭了。
帮助我们帮助您
密码管理器。您认为这就是解决方案,对吧?理论上是这样。这些独立的应用程序、可下载的扩展程序和内置的浏览器实用程序具有三个主要功能:建议强密码、安全地存储密码,以及在您访问拥有账户的网站时记住它们。
基本上,这些工具允许我们将整个凭据问题外包出去,前提是我们记住一个好的主密码——或者拥有另一种身份验证密钥,例如指纹。而且它确实有效。根据您使用的密码管理器,您会发现诸如良好的设计、跨设备同步以及选择何时自动填充字段等功能。
但密码管理器并非完美无缺,而使它们方便的因素也使它们成为黑客的绝佳目标。毕竟,承载您所有网络安全鸡蛋的篮子是一个很好的目标:黑客可以破解一个账户并免费窃取您所有的凭据。NordPass、KeyPass、1Password 等公司已采取额外预防措施来保护其应用程序,集成了诸如持续注销和唯一的单次使用代码等功能,以防您失去账户访问权限。
[相关:如何开始使用密码管理器]
然而,有时这些措施还不够。2022 年 12 月,另一个流行的密码管理器 LastPass 报告了一起 安全漏洞,该漏洞包括用户的姓名、电话号码、电子邮件和账单信息。更令人担忧的是,该公司当时的 危机管理不力,并且直到两个多月后在 博客文章 中才披露了有关此次泄露的详细信息以及客户应采取的措施。
除了泄露之外,密码管理器中的一些功能通常不太安全。在 2020 年的一项审查中,田纳西大学诺克斯维尔分校用户实验室的研究人员 提到自动填充是其中一个 最令人担忧的 问题。尤其是在密码管理器未经用户输入自动填充凭据时。在 跨站脚本 (XSS) 攻击 中,黑客会将恶意脚本注入网站的代码中,以便在正确字段填充后立即窃取密码。研究作者 Sean Oesch 和 Scott Ruoti 解释说:“如果密码管理器在未首先提示用户的情况下自动填充密码,那么用户只需访问受感染的网站,其密码就会被悄悄窃取。”
XSS 攻击成功的可能性取决于多种因素,例如网站是否使用安全连接(例如 HTTPS)。但最好选择一个需要用户交互才能自动填充,或者允许您手动禁用该功能的密码管理器。大多数基于浏览器的密码管理器在填充凭据之前不需要用户交互,但也有一些例外。Mozilla Firefox 默认会自动填充字段,但您可以通过单击 **主菜单**(三条横线),转到 **设置**,**隐私与安全**,然后向下滚动到 **登录和密码** 来关闭此功能。在那里,取消选中 **自动填充登录和密码** 旁边的框。一个更简单的解决方案是使用 Apple 的 Safari,它总是需要用户输入才能自动填充。如果您使用的是 PC 或不想更换浏览器,研究发现流行的 1Password 应用程序 的浏览器扩展在显示您的信息之前也会需要点击一下。
多喝水,涂防晒霜,并启用多重身份验证
健康的习惯能带来更好的生活,而在您的网络生活中,使用 多重身份验证 确实是自我关怀。
这个现在几乎无处不在的功能是一层额外的安全保障,可以阻止虚拟窃贼在即使他们拥有正确凭据的情况下也无法访问您的账户。这意味着,即使您的密码泄露到互联网上,如果他们没有额外的验证方式,例如直接发送到您手机的短信、应用程序生成的代码、另一台设备上的提示,或者像您的指纹或面部识别这样的生物识别元素,人们也无法使用它们。
您使用哪种以及多少种方法将取决于您想要的账户安全级别以及对您来说最方便的方法。请记住,您启用的方法越多,访问您账户的方式就越多。这并不是特别安全,但如果您经常丢失手机或被锁定在账户之外,那么这样做可能有意义。
请注意,虽然大多数现代平台都提供某种形式的多重身份验证,但您并不总是能找到所有类型。最常见的选项是通过短信发送的代码进行身份验证,其次是通过代码生成应用程序进行身份验证。这两种方式本质上是相同的,但后者使用互联网而不是电话网络来传输代码。值得注意的是,通过电磁波谱传输的文本 消息可能会被拦截,并且根据 Ruoti 的说法,美国电信公司在验证用户时使用的低标准使得 将某人的电话号码端口到 SIM 卡 并接收其身份验证代码成为可能。如果您对此感到担忧,可以考虑更复杂的替代方案,例如安全密钥。这些密钥就像您家里的钥匙一样工作——在提示时将其插入您设备的 USB 端口即可。如果您想深入了解您的选择,我们有一份专门帮助您选择 最佳多重身份验证方法 的指南。
但即使某些方法比其他方法更好,有一点永远是正确的:任何形式的多重身份验证都比没有好。所以,如果您有手机,最好设置短信代码,以便在新设备尝试访问您的账户时使用。只需确保禁用在锁定屏幕上预览消息内容的功能,否则 有人可以通过偷窃您的手机来使用您的代码。在 Android 上,您可以通过转到 **设置**,**通知**,然后在 **隐私** 下关闭 **敏感通知** 来实现。在 iOS 上,打开 **设置**,转到 **通知**,轻触 **显示预览**,然后选择 **从不**。如果您想在 iPhone 上看到不那么敏感的通知的预览,您可以改为关闭单个应用程序的预览。例如,如果您通过“消息”应用接收代码,请打开 **设置**,转到 **通知**,轻触 **消息**,找到 **显示预览**,然后选择 **从不**。
愿这是您一直在等待的信号,来解决您的在线安全问题。不要等到春季大扫除;不要等到新年决心的时候——现在就做。让您的凭据远离 2023 年最差密码名单。那是一份您不想上榜的名单。
现在,去更改那些密码吧。很高兴我们进行了这次谈话。
