本文已更新。最初发布于 2017 年 3 月 27 日。
又一天,又一次重大的数据泄露——又一篇建议您加强密码的文章。这些秘密信息就像我们所有重要在线帐户的钥匙,从社交网络到电子邮件收件箱再到银行帐户。
因此,选择强密码并妥善管理它们非常重要。这可能是在保护您的身份安全和让您的信息落入黑客手中之间的区别。您的密码不是您需要考虑的唯一安全措施,但它是最关键的措施之一。
不幸的是,我们很多人在选择密码方面都很糟糕。我们倾向于选择容易记住的密码,因此也容易被猜中,并且我们倾向于一次又一次地重复使用它们。如果您想加强您的个人密码安全性,请继续阅读。
最佳密码实践
为您的在线帐户选择密码与为秘密社团选择密码没什么不同:它需要让成员难以忘记,并让任何试图闯入的人无法猜测。
如果您正在使用“123456”或“password”,您将面临风险,因为数百万其他人也在使用这些显眼的组合。这些是大多数黑客将首先尝试的选项,紧随其后的是“password1”和“passw0rd”。
选择不易从您的公开信息中猜测出的字母和数字组合也很重要。例如,快速浏览一下您的 Facebook 页面就可以让黑客知道您的出生日期,甚至您居住的街道。因此,将这些信息纳入密码将无法使其无法被猜测。
另一个最佳实践是选择一个至少包含 10 个字符的密码。密码越长越好;字母、数字和特殊字符的混合密度越高越好;越无意义越好。考虑一个四位数的代码,只使用数字,没有其他东西:有 10,000 种可能的组合,但再增加一位数字,组合就增加到 100,000 种。添加字母和特殊字符,并将密码长度延长到 10 个字符或更长,您就可以看到每个额外的字母如何有所帮助。
那么,如何选择这个神秘的组合呢?安全专家布鲁斯·施奈尔建议将一个随机句子(而非著名引语或短语)变成您的密码。例如,“We love getting e-mail from Grandma, but she rarely writes one.”(我们喜欢收到奶奶的电子邮件,但她很少写一封。)是一个可以变成“Wlge-mfG,bsrw0.”的独特句子,方法是取每个单词的首字母(“e-mail”变成“e-m”,“o”变成“0”)。结果是一个包含随机字母、数字、符号和大量数字的密码——您可以通过记住整个句子轻松回忆起它。
当然,既然我已经在一个已发布的文章中写下了这个潜在的密码,它就不再安全了——但您可以轻松地用自己的句子来做这个技巧。您也不必取每个单词的首字母。与其将“love”变成“l”,我还可以将其变成“<3”。施奈尔提供的一些其他示例包括
- WIw7,mstmsritt… = When I was seven, my sister threw my stuffed rabbit in the toilet.(我七岁时,我妹妹把我毛绒兔子扔进了马桶。)
- Wow…doestcst = Wow, does that couch smell terrible.(哇,这个沙发味道真难闻。)
- Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all.(很久很久以前,在一个遥远的银河系。)
如果您仍然不确定安全性,许多网络服务会在您创建密码时告诉您密码的强度。它们还会防御“暴力破解”攻击,即在短时间内尝试多个密码。
另一个严重的密码错误是为多个帐户使用相同的密码。用秘密社团的比喻来说,这意味着黑客可以通过攻破一个安全最薄弱的俱乐部,立即访问您所有的俱乐部。如果您为主要电子邮件帐户使用了不同的密码,那么您三年前使用的旧帐户被黑客攻击了就没那么重要了。但如果密码相同,您就有麻烦了。
帮助您记住所有帐户密码的一个选项是,在多个服务中使用一个随机或难以猜测的字母和数字组合,但每次都稍微调整一下组合。同样,这需要以您能记住但其他人无法猜测的方式进行。如果您的 Twitter 密码是“Wlge-mfG,bsrw0.Twitter”,而您的 Gmail 密码是“Wlge-mfG,bsrw0.Gmail”,那么您的安全性并不高。
那么,您如何记住哪个密码对应哪个帐户呢?我们绝对不建议您将密码写下来,因为这就像将所有在线身份的主钥匙放在一个地方。幸运的是,有更安全的方法来跟踪所有这些密码,并使它们尽可能强大。
管理您的密码
如果您现在认为您永远记不住所有需要记住的密码,请不要惊慌——有帮助。您的网页浏览器包含一些基本的密码管理选项,可以减轻您超负荷大脑的负担,您还可以选择升级到独立的密码管理器。
首先,建议为所有可以添加的帐户添加两步验证。这是一种额外的保护层,使得您的密码不那么重要,因为它只能与额外的代码(通常发送到您验证过的手机)一起使用。这就像进入您的秘密俱乐部需要凭证和密码一样,从 Google 到 Facebook 的大多数在线帐户都支持它。
大多数浏览器默认包含密码管理选项,因此您可以在Google Chrome、Mozilla Firefox 和Microsoft Edge 中找到它。您可能已经通过弹出窗口要求浏览器记住密码而遇到过它们。这些密码通常可以在不同计算机之间同步,从而省去了您每次都要记住登录信息的麻烦。
[相关:您应该开始使用密码管理器]
这些功能足够安全,只要您的浏览器访问是安全的。否则,任何加载您网页浏览器的人都可以通过几次点击进入您的帐户。实际上,这意味着要确保您在 Windows 和 macOS 上设置了您自己的密码保护的用户帐户,这可以有效地阻止其他人访问您的密码缓存。
为了更全面地组织您的密码,请设置一个专用的密码管理器程序。这些应用程序——有很多选择——会将您的密码存储在多台计算机和移动设备上,并且通常还会帮助您选择强密码。与手写密码列表不同,密码管理器中的所有内容都将经过加密,并由一个主密码保护。
大多数管理器是免费使用的,但付费功能也可以获得。为了获得更多保护,它们通常也与两步验证服务一起使用。许多密码管理器还会为您存储其他敏感信息,包括 Wi-Fi 代码、信用卡号等。
您不必在网上四处寻找密码管理器的评论和群组测试,但LastPass 是最大、最受尊敬的服务之一。它允许您在多台设备上管理无限数量的密码,每月只需 3 美元即可获得额外功能(如更多注册的移动设备和优先支持)。
另一个完善的解决方案是1Password,它不是免费的,但提供免费试用。您每月支付 3 美元即可在一台设备上存储无限数量的密码,家庭计划每月 5 美元。当您为自己寻找合适的密码管理器时,我们也建议您查看Dashlane 和Keeper。
