最近密碼洩漏事件頻頻發生, 到底什麼樣的密碼才安全?密碼作為一種最原始、最廣泛使用的安全手段, 到底應該如何設置?什麼樣的密碼才是安全的?如果我們能明白這些密碼洩露事件的根源與原理, 對我們加強安全意識會不會有額外的幫助?
密碼安全
在開始介紹具體的方法和措施前,
我們希望先讓您明白,
密碼到底是如何洩露的,
正所謂知其然,
也要知其所以然,
密碼安全不僅僅只是一些教條性的操作指南,
更重要的是我們懂得在各個途徑和過程中,
如何保護好我們的密碼。
密碼到底是如何洩露的?
想要知道密碼是如何洩露的, 不妨先想一想, 你的密碼都在哪?概括地來說, 它只會在三個地方:本地、傳輸過程中、遠端資料庫中。
舉個例子來說, 如果你在流覽器中輸入或保存了密碼, 這個密碼在你點擊登錄前, 只存在於你的本地, 一旦你點擊登錄, 流覽器就會將你的登錄名和密碼打包成為一個請求, 發送給遠端的伺服器, 這時候你的密碼會經歷一段非常短暫的旅程, 最終到達遠端伺服器。 如果你是第一次註冊的話, 你的密碼還會以某種形式存儲在對方的資料庫中。
密碼在本地時駭客通過惡意木馬, 惡意植入, 鍵盤監聽等方式盜取你的密碼, 這種情況比較普遍, 因為現今大多網站和APP在資料傳輸過程都是加密的,
提取密碼
那麼最基本的防範措施就是:
1.不在公共或有潛在安全風險的設備上進行密碼操作;
2.除非你非常有自信, 否則請不越獄, 不Root;
4.不使用不可信的 WiFi 網路, 特別是公共場合的陌生、免費WiFi。
5.如果可能, 使用SSL加密,
設置密碼時, 牢記這幾點:
1.密碼位元數、大小寫和特殊符號
密碼越複雜, 安全程度越高, 這一假設的前提是你的本地設備和網路環境足夠安全, 否則密碼再複雜, 如果你本地有木馬程式監聽輸入, 那麼一樣是徒勞。
在保證本機和網路環境安全的前提下, 如果網站的資料發生洩露, 對方在暴力破解時, 密碼的複雜程度就直接對破解的效率和成本有關係, 一般來說, 位數越長, 混雜得大小寫和特殊符號越多, 暴力破解的成本就越大。 所以一定杜絕使用常見的、簡單的密碼, 建議大家的密碼儘量保持在14位元以上、存在大小寫字母和數位、並混雜有特殊符號(理論上特殊符號當然是越不常見的越好,
2.在密碼中加入網站特徵值
如果最壞的情況發生了, 密碼洩露並被破解了, 怎麼才能不影響自己在其它平臺的帳號安全?當然是不同平臺和網站有不同的密碼是最安全的了, 這樣洩露的帳號和密碼不會直接影響到其它平臺。 不過考慮到實際情況, 我們很難在每一個不同的平臺上都更換一個新的帳號和密碼, 要記住不是一件容易事。 這時就可以考慮一個非常簡單的策略:使用一個通用的基礎密碼, 針對不同的網站, 在前後或中間插入對應該網站的一個特殊值。 比如我給自己設定的一個基礎密碼是haulik%!2009, 那麼當我在不同的平臺註冊時,
好處是什麼呢?首先顯然如果你不打算借助一些密碼管理工具, 而使用腦子來記密碼, 又希望各個平臺的密碼有所不同時, 這是一個簡單可行的方法。 其次,一旦你的密碼被洩露了,你還很快能追查出到底洩露源是哪。你可能會覺得駭客會不會很聰明,知道在不同網站去替換我的尾碼呢?這其實很難,首次加入了這些網站特徵值後本身對破解造成了難度上的提升,而從另一個方面來說,駭客基本很少會關心茫茫密碼中的個人,他既沒興趣也沒精力來專門針對你進行一些特殊處理。如果還是不放心的話,可以考慮在這個策略上,再加入一些變化,比如我就不會直接使用baidu 這樣的網站特徵值,而是使用這些網站名稱的五筆首字母,例如:baidu 就是dy。
3.直接生成隨機字串
不知道到底設什麼樣的密碼好?其實還有一個很簡單的辦法,像Safari、Chrome等流覽器就會在頁面註冊帳號時智慧地提供一個隨機字串作為密碼選項。
好處就是,完全忘掉之前說的怎麼設置一個複雜的密碼規則,你只需要讓流覽器自動生成就可以了。不過缺點也很明顯,如果你在不同的平臺上登錄,是 Web 環境的話需要保證全平臺統一同步,而如果註冊的是某些 App 使用的帳號,那麼登錄的時候就非常不友好了。
4.兩步驗證
最糟糕的情況就是密碼還是洩露了,這時候有沒有補救措施?當然也有,像現在大型的互聯網公司一般都提供了兩步驗證服務,如微軟、Google、蘋果等等。一旦開啟了兩步驗證,只要是在非授信的設置上登錄,除了常規的帳號和密碼外,網站還會要求你額外提供綁定手機的動態驗證碼,這樣就確保了即使的密碼洩露了,依然還有一道安全屏障阻礙駭客最終登錄你的帳號,保護你的資料財產安全。
5.定期更改密碼
這可能是聽起來最簡單的一件事情,但一定要做。前面提到了密碼洩露的各個環節,有的是你可控的,有的是你不可控的,有的甚至是你自以為可控但其實並不可控的。對於許多人來說,我們缺乏判斷本機或網路傳輸是否真的安全的能力,甚至像爆發的 XcodeGhost 事件,即使對於安全意識再高的人,也想不到會有這樣的事情發生。
正所謂防患於未然,既然我們永遠不知道水有多深,不如養成定期改密碼的好習慣。
6.永遠假設你的密碼會洩露
不過,一個更殘酷的現實是:道高一尺,魔高一丈。網路中永遠潛伏著我們還未意識到的安全風險,隨時可能爆發的黑天鵝事件。
因此你在使用任何網路服務時一定要有一個意識,做好最壞的打算:永久假設你的密碼一定會洩露,只是時間早晚問題。那麼,這件事一旦發生後,被洩露的資料會對你造成致命的打擊嗎?會讓你的銀行卡變成人盡可取嗎?會讓你的身體變成人盡可看嗎?會讓你的陰謀變得人盡可知嗎?想想這些,你還敢把銀行卡密碼記在短信裡嗎?還敢和冠希哥合拍小視頻嗎?還敢傳政府機密檔到網盤裡嗎?歡迎關注“皓聯科技”!
其次,一旦你的密碼被洩露了,你還很快能追查出到底洩露源是哪。你可能會覺得駭客會不會很聰明,知道在不同網站去替換我的尾碼呢?這其實很難,首次加入了這些網站特徵值後本身對破解造成了難度上的提升,而從另一個方面來說,駭客基本很少會關心茫茫密碼中的個人,他既沒興趣也沒精力來專門針對你進行一些特殊處理。如果還是不放心的話,可以考慮在這個策略上,再加入一些變化,比如我就不會直接使用baidu 這樣的網站特徵值,而是使用這些網站名稱的五筆首字母,例如:baidu 就是dy。3.直接生成隨機字串
不知道到底設什麼樣的密碼好?其實還有一個很簡單的辦法,像Safari、Chrome等流覽器就會在頁面註冊帳號時智慧地提供一個隨機字串作為密碼選項。
好處就是,完全忘掉之前說的怎麼設置一個複雜的密碼規則,你只需要讓流覽器自動生成就可以了。不過缺點也很明顯,如果你在不同的平臺上登錄,是 Web 環境的話需要保證全平臺統一同步,而如果註冊的是某些 App 使用的帳號,那麼登錄的時候就非常不友好了。
4.兩步驗證
最糟糕的情況就是密碼還是洩露了,這時候有沒有補救措施?當然也有,像現在大型的互聯網公司一般都提供了兩步驗證服務,如微軟、Google、蘋果等等。一旦開啟了兩步驗證,只要是在非授信的設置上登錄,除了常規的帳號和密碼外,網站還會要求你額外提供綁定手機的動態驗證碼,這樣就確保了即使的密碼洩露了,依然還有一道安全屏障阻礙駭客最終登錄你的帳號,保護你的資料財產安全。
5.定期更改密碼
這可能是聽起來最簡單的一件事情,但一定要做。前面提到了密碼洩露的各個環節,有的是你可控的,有的是你不可控的,有的甚至是你自以為可控但其實並不可控的。對於許多人來說,我們缺乏判斷本機或網路傳輸是否真的安全的能力,甚至像爆發的 XcodeGhost 事件,即使對於安全意識再高的人,也想不到會有這樣的事情發生。
正所謂防患於未然,既然我們永遠不知道水有多深,不如養成定期改密碼的好習慣。
6.永遠假設你的密碼會洩露
不過,一個更殘酷的現實是:道高一尺,魔高一丈。網路中永遠潛伏著我們還未意識到的安全風險,隨時可能爆發的黑天鵝事件。
因此你在使用任何網路服務時一定要有一個意識,做好最壞的打算:永久假設你的密碼一定會洩露,只是時間早晚問題。那麼,這件事一旦發生後,被洩露的資料會對你造成致命的打擊嗎?會讓你的銀行卡變成人盡可取嗎?會讓你的身體變成人盡可看嗎?會讓你的陰謀變得人盡可知嗎?想想這些,你還敢把銀行卡密碼記在短信裡嗎?還敢和冠希哥合拍小視頻嗎?還敢傳政府機密檔到網盤裡嗎?歡迎關注“皓聯科技”!