儘管在如今的移動互聯時代, 保護我們隱私的方式早已不被密碼所限定, 比如手機上常見的指紋解鎖、筆記本上通過攝像頭和軟體配合的刷臉、虹膜識別等, 不過在大多數人的大多數設備上, 密碼依然是最常見最主流的保護個人隱私方式。 所以授人與魚不如授人以漁, 這次我們就來談談密碼洩露的主要原因, 以及具體應該如何操作才能保證自己密碼的安全。
Part 1:我們的密碼為什麼會洩露?
肯定有眾多遭受過密碼洩露使用者會疑惑:我們的密碼到底是怎麼洩露的?洩露密碼的方式很多, 但是追究其根源其實都很相似。
本地洩露
本地洩露的通常是密碼被盜的最大因素。 因為本地洩露的方式實在太多了, 常見的就是中毒或者木馬。 在你的設備中病毒後, 有些病毒會在後臺監控著你鍵盤上, 當你在本地程式中輸入密碼後, 木馬監控到你的鍵盤動作, 將你再密碼框輸入的鍵盤字母發送給駭客, 那麼你的密碼就被盜了, 駭客只需要重複你輸入鍵盤的字母,
遭遇木馬病毒以及釣魚網站的詐騙是本地洩露密碼的常見方式
另外一種本地密碼洩露的常見方式是進入了偽造的網路環境, 我們常說的釣魚網站也屬於這一類型的手段。 偽造這種方法在PC端和手機端都比較常見, 特別是安卓系統的手機和平板, 經常會遭遇到這種騙局。 打個比方, 有居心叵測之人開發了一個和支付寶一模一樣的假平臺, 如果使用者不知道點擊了連結進入這類網站, 然後將自己的密碼輸入, 那對方就知道你的支付寶帳號和密碼了……我們近年來在新聞上行多次看到這種釣魚行為, 小白們上當的不在少數!
防禦手段:對於本地洩露, 最好的辦法就是不在公共或有潛在安全風險的設備上進行密碼操作, 最好別對手機越獄或者Root, 同時別裝未知源的APP。
傳輸過程洩露
經常會有人說:我沒有中木馬病毒, 也沒有上釣魚網站, 但為何帳號還是被盜了?如果你防護做得很好, 本地的電腦和手機都很安全, 但密碼還是洩漏的話, 那麼很可能是傳輸過程中洩露的, 也就是你輸入密碼進行驗證時, 這個過程出了一些問題。
比如很多網站在你登錄的時候, 是採用明文傳輸, 看似加密的過程中, 其實你的用戶名和密碼都已經顯露了出來,
採用Https加密協議的網站才足夠安全
此外,還有一些網站根本就採取不加密的措施,這下在傳輸過程中,使用者所有資訊都可能被駭客攔截。現在國外很多網站都強制使用了加密Https協定,而國內很多還是用Http協議,兩者的區別就是是否使用了加密傳輸,安全性能也可見一斑了。事實上,目前國內的網站中,一些大網站基本都已經採用過了Https加密協議,比如新浪、百度、阿裡巴巴等等,但是很多支援Https協定的網站通過Http也能正常訪問,這也造成了不少密碼在傳輸過程中丟失的問題。
防禦手段:傳輸過程洩露密碼很麻煩,也不好防備,不過好在這種密碼洩露的方式相對較少,因為駭客大多數也不會一直監控著不安全的網路環境查找資料……當然以防萬一,推薦大家儘量不要在不安全的網路環境中上網,比如一些公共WiFi和沒有密碼的WiFi。此外,在訪問網站的時候,儘量使用Https加密型網站,同時也要注意檢查網站證書是否安全(系統會提示),如果系統提示網站不安全的話,儘量就要不要上這類網站了。
伺服器端洩露
本地洩露和傳輸過程洩露稍微好一些,因為還是有手段可以防範的,比如安全軟體和規範自己上網的行為都很有效。但是如果是伺服器端洩露密碼,作為使用者的你就有點惱火了,因為這種對方出問題坑爹的事兒,很多時候作為用戶端這邊你的,是毫無辦法的。
伺服器端密碼洩露常見的有兩種,一種是伺服器端採用明文保存密碼。比如你的密碼是ABC,伺服器端那邊也明文用ABC保存,這樣有人如果攻擊伺服器端,你的用戶名和密碼全部就赤裸裸地被駭客搞定了!大家不要以為這些廠商都是聰明人,其實他們智商不低,事實就是懶而已,這種明文保存密碼在伺服器端的廠商相當多……2011年轟動全球的CSDN洩露事件就是因為伺服器端在密碼存儲上採用明文存儲,結果駭客攻擊後,所有使用者的ID和密碼都洩露了,駭客都不用解密的。此外國內知名的12306網站之前也曾經被爆出用明文存儲過使用者的密碼,相當尷尬。
CSDN因為伺服器原因讓六百萬使用者資訊洩露
另外一種伺服器端密碼洩露的方式則是加密洩露。加密洩露其實也分好幾種,比如說客戶的密碼是ABC,然後廠商就用了一套簡單規則來定義,把A對應1,B對應2,C對應3,這樣在伺服器端,使用者的密碼顯示為123,看似沒這麼懶了?但是駭客可不是傻瓜啊,這麼弱智的密碼規則很容易破解!有一些網站的伺服器端也採用了比較複雜的密碼加密手段,比如使用雜湊加密,無法倒推且不可逆,不過有心的駭客也會使用暴力破解法,特別是在現代電腦計算能力越來越強之際,採用暴力破解需要的只是時間和等待。
防禦手段:對於伺服器端密碼洩露,我們使用者幾乎是無能為力的。因為你不知道廠商到底是採用什麼辦法在伺服器端來存儲密碼,遇到使用明文存儲密碼的,被攻擊後基本上妥妥會洩露密碼,遇到這種豬隊友,也只能徒呼奈何。不過建議大家在設置密碼的時候,儘量複雜一些,這樣如果廠商加密措施做的比較好,那麼即使駭客想暴力攻擊,也會花費相當高的成本。當然,這裡只能希望廠商在自己伺服器端存儲密碼時能盡心盡責了。
Part 2:怎麼設置/使用密碼才安全?
瞭解了密碼洩露的三種可能,那麼用戶肯定會思考:什麼樣的密碼才是安全的?我該如何設置自己的密碼?之前我們曾經簡單介紹一個方法,這裡再比較系統化地告訴大家該如何設置密碼。需要告訴大家的是,無論怎麼設置,密碼總是越複雜越安全,正如我們所說,複雜的密碼就算是暴力破解,成本也相當高。只是要注意的是,再複雜的密碼也不要讓自己也記不住就行了!
使用足夠複雜的密碼
什麼樣的密碼足夠複雜?這涉及到密碼的位元數、字元和大小寫,如果一個密碼很長,同時裡面包含了不同字元特殊符號同時還區別開大小寫,那麼這個密碼理論上就足夠安全了。
建議大家的密碼儘量保持在 14 位以上、存在大小寫字母和數位、並混雜有特殊符號(理論上特殊符號當然是越不常見的越好)。簡單密碼雖然好記,但是真心不安全,要知道一個8位元的密碼,該密碼的可能組合至少為 10^6×26^2×7×8 種。即使伺服器端遭到暴力破解,你密碼越複雜,破解所消耗的精力和成本就越高,說不定駭客沒耐心就放棄你了呢?
當然,再複雜的密碼也敵不過木馬病毒和釣魚網站,如果中了病毒那也沒轍。所以我們說安全的密碼,至少要有一個安全的本地環境吧,沒事多殺殺毒檢查檢查,平時開著防護機制還是很關鍵的。
涉及到財產一類的重要密碼還是複雜一些好
此外,考慮到人的記憶力不是那麼強大,雖然我們建議不同應用和帳戶使用不同的密碼,但要是都是複雜的密碼,可能我們自己也記不住。這裡建議採取分級密碼管理的方式為重要程度不同的帳戶創建不同的密碼。比如,普通論壇帳戶對於安全性的需求較低,對於駭客來說也不會有特別大的價值,因此可以採用較為簡單密碼。而銀行帳戶、電子支付帳戶和重要聯繫工具,比如電子郵箱、即時通訊帳戶則應該使用強度非常高的密碼進行保護。
在相同密碼中加入不同特徵值
這一點我們以前的文章提到過,一般而言,我們的密碼都是通用的,比如說A站和B站基本都是一個密碼,這個很好理解,我們很難在每一個不同的平臺上都更換一個新的帳號和密碼。但是這樣顯然很不安全,怎麼辦呢?
這時可以考慮一個非常簡單的策略:使用一個通用的基礎密碼,針對不同的網站,在前後或中間插入對應該網站的一個特殊值。比如我們經常的密碼是“123456”,那麼在A站就用“+123456”,在B站就用“123456-”當密碼,這樣安全性就提升了,同時還比較好記。當然特徵值隨便用戶選了,最好選一個你自己容易記住,但是又不顯得那麼簡單的特徵值。
使用密碼時的一些小常識
密碼設置好了後,如何使用密碼也是一門學問,實際上銀行帳戶的登錄經常會給我們提示。通常而言,銀行這一類網站登錄都會有使用螢幕鍵盤點擊和直接點擊鍵盤輸入兩種輸入方式,如果輸入密碼時有這類選擇,那麼我們嚴重推薦使用螢幕鍵盤。因為大多數木馬病毒監控鍵盤,都是通過物理鍵盤輸入監控的,無法監控到螢幕上的鍵盤,所以有所擔心的話,不妨採用螢幕鍵盤輸入就比較安全了。
這類使用螢幕輸入密碼就相對安全
此外,除了不要將密碼洩露給他人之外,有些使用者的密碼洩露居然是因為遭到了旁窺。在實際操作中,也應該使用額外的安全措施降低密碼在使用中洩露的機會。除了為自己的電腦安裝安全軟體,使用者還應該謹慎分辨要求輸入密碼的場合是否有異常,以免被釣魚網站利用。而且個人建議儘量不要在不熟悉的設備上輸入密碼,同時不要記住登錄狀態在使用後要退出登錄狀態。
有機會使用隨機字串
不知道到底設什麼樣的密碼好?其實還有一個很簡單的辦法,像 Safari、Chrome 等流覽器就會在頁面註冊帳號時智慧地提供一個隨機字串作為密碼選項。
使用生成的隨機字串好處就是,不需要考慮自己怎麼去想密碼,流覽器自動生成就可以了。不過缺點也很人惱火,如果你在不同的平臺上登錄,那是相當的麻煩,還要有一些備用的方案,要不讓你登不上去也是很正常的。
此外要注意的是,將隨機字串作為驗證很常見,但是作為密碼的設備和應用還是相對少見。這個辦法同時也不適合一些沒有耐心的用戶,因為每次重新登錄,都要再去生成隨機字串作為密碼,接收方式可能也相對繁雜。
一定要採用驗證機制
很多大型的互聯網公司以及應用(特別是涉及到金融方面的應用)一般都提供了多步驗證服務,如微軟、Google、蘋果、印象筆記等等。一旦開啟了多步驗證,只要是在非授信的設置上登錄,除了常規的帳號和密碼外,網站還會要求你額外提供綁定手機的動態驗證碼,這樣就確保了即使你的密碼洩露了,依然還有一道安全屏障阻礙駭客最終登錄你的帳號,保護你的資料財產安全。
當然,這種方式在移動應用上已經非常常見了,和手機綁定的帳戶幾乎是強制性的。但是在PC上的應用,驗證機制雖然很多廠商有使用,但是只有少數是強制性的,比如穀歌和微軟帳戶登錄;很多應用則是非強制性的,比如一些網遊、論壇等等,這裡強烈建議大家有可能的話,都使用驗證機制,雖然麻煩點,但是安全太多。
有驗證功能的應用最好打開驗證
此外穀歌還有專門的一套驗證機制APP,非常複雜,非常麻煩,就算設定都很頭疼,但是設定好了的確很有效,支持這套APP下的網站,除了網站登錄要用戶名和密碼外,還必須輸入APP隨機生成的字串,基本能做到自己的密碼不會被洩露。複雜程度絕對可以讓人拜服!
做好自己的密碼維護
除了日常使用以外,密碼也需要定期的維護。維護密碼最常見的一個目的就是防止遺忘。這個 ID 我已經多久沒有使用了?我還記得他的密碼嗎?這個 ID 是在哪個網站註冊的?它還有效嗎?這些都是密碼維護過程中需要注意的問題。
除此之外,密碼維護也包含了對密碼的定期更換。誰都無法保證在密碼使用過程中的絕對安全,因此定期對關鍵密碼進行更換也是十分重要的。通常來說,新更換的密碼應該從未在任何地方被使用過,且無法從已有的密碼中被類推出來。密碼維護還包含一個非常重要的步驟,就是檢查已有的密碼是否已經發生洩露。常見的檢查方式就是通過網站的帳戶記錄檢查工具查看帳戶是否有異常的登錄資訊或者操作記錄,依此確認密碼是否發生了洩露。
要知道密碼洩露這個事兒,有的是可以預防的,但有的是你不可控的,比如說伺服器端要真洩露了,駭客暴力破解了你的密碼你也不知道……所以要有一個有憂患意識,沒事改改密碼總是好的。
採用Https加密協議的網站才足夠安全
此外,還有一些網站根本就採取不加密的措施,這下在傳輸過程中,使用者所有資訊都可能被駭客攔截。現在國外很多網站都強制使用了加密Https協定,而國內很多還是用Http協議,兩者的區別就是是否使用了加密傳輸,安全性能也可見一斑了。事實上,目前國內的網站中,一些大網站基本都已經採用過了Https加密協議,比如新浪、百度、阿裡巴巴等等,但是很多支援Https協定的網站通過Http也能正常訪問,這也造成了不少密碼在傳輸過程中丟失的問題。
防禦手段:傳輸過程洩露密碼很麻煩,也不好防備,不過好在這種密碼洩露的方式相對較少,因為駭客大多數也不會一直監控著不安全的網路環境查找資料……當然以防萬一,推薦大家儘量不要在不安全的網路環境中上網,比如一些公共WiFi和沒有密碼的WiFi。此外,在訪問網站的時候,儘量使用Https加密型網站,同時也要注意檢查網站證書是否安全(系統會提示),如果系統提示網站不安全的話,儘量就要不要上這類網站了。
伺服器端洩露
本地洩露和傳輸過程洩露稍微好一些,因為還是有手段可以防範的,比如安全軟體和規範自己上網的行為都很有效。但是如果是伺服器端洩露密碼,作為使用者的你就有點惱火了,因為這種對方出問題坑爹的事兒,很多時候作為用戶端這邊你的,是毫無辦法的。
伺服器端密碼洩露常見的有兩種,一種是伺服器端採用明文保存密碼。比如你的密碼是ABC,伺服器端那邊也明文用ABC保存,這樣有人如果攻擊伺服器端,你的用戶名和密碼全部就赤裸裸地被駭客搞定了!大家不要以為這些廠商都是聰明人,其實他們智商不低,事實就是懶而已,這種明文保存密碼在伺服器端的廠商相當多……2011年轟動全球的CSDN洩露事件就是因為伺服器端在密碼存儲上採用明文存儲,結果駭客攻擊後,所有使用者的ID和密碼都洩露了,駭客都不用解密的。此外國內知名的12306網站之前也曾經被爆出用明文存儲過使用者的密碼,相當尷尬。
CSDN因為伺服器原因讓六百萬使用者資訊洩露
另外一種伺服器端密碼洩露的方式則是加密洩露。加密洩露其實也分好幾種,比如說客戶的密碼是ABC,然後廠商就用了一套簡單規則來定義,把A對應1,B對應2,C對應3,這樣在伺服器端,使用者的密碼顯示為123,看似沒這麼懶了?但是駭客可不是傻瓜啊,這麼弱智的密碼規則很容易破解!有一些網站的伺服器端也採用了比較複雜的密碼加密手段,比如使用雜湊加密,無法倒推且不可逆,不過有心的駭客也會使用暴力破解法,特別是在現代電腦計算能力越來越強之際,採用暴力破解需要的只是時間和等待。
防禦手段:對於伺服器端密碼洩露,我們使用者幾乎是無能為力的。因為你不知道廠商到底是採用什麼辦法在伺服器端來存儲密碼,遇到使用明文存儲密碼的,被攻擊後基本上妥妥會洩露密碼,遇到這種豬隊友,也只能徒呼奈何。不過建議大家在設置密碼的時候,儘量複雜一些,這樣如果廠商加密措施做的比較好,那麼即使駭客想暴力攻擊,也會花費相當高的成本。當然,這裡只能希望廠商在自己伺服器端存儲密碼時能盡心盡責了。
Part 2:怎麼設置/使用密碼才安全?
瞭解了密碼洩露的三種可能,那麼用戶肯定會思考:什麼樣的密碼才是安全的?我該如何設置自己的密碼?之前我們曾經簡單介紹一個方法,這裡再比較系統化地告訴大家該如何設置密碼。需要告訴大家的是,無論怎麼設置,密碼總是越複雜越安全,正如我們所說,複雜的密碼就算是暴力破解,成本也相當高。只是要注意的是,再複雜的密碼也不要讓自己也記不住就行了!
使用足夠複雜的密碼
什麼樣的密碼足夠複雜?這涉及到密碼的位元數、字元和大小寫,如果一個密碼很長,同時裡面包含了不同字元特殊符號同時還區別開大小寫,那麼這個密碼理論上就足夠安全了。
建議大家的密碼儘量保持在 14 位以上、存在大小寫字母和數位、並混雜有特殊符號(理論上特殊符號當然是越不常見的越好)。簡單密碼雖然好記,但是真心不安全,要知道一個8位元的密碼,該密碼的可能組合至少為 10^6×26^2×7×8 種。即使伺服器端遭到暴力破解,你密碼越複雜,破解所消耗的精力和成本就越高,說不定駭客沒耐心就放棄你了呢?
當然,再複雜的密碼也敵不過木馬病毒和釣魚網站,如果中了病毒那也沒轍。所以我們說安全的密碼,至少要有一個安全的本地環境吧,沒事多殺殺毒檢查檢查,平時開著防護機制還是很關鍵的。
涉及到財產一類的重要密碼還是複雜一些好
此外,考慮到人的記憶力不是那麼強大,雖然我們建議不同應用和帳戶使用不同的密碼,但要是都是複雜的密碼,可能我們自己也記不住。這裡建議採取分級密碼管理的方式為重要程度不同的帳戶創建不同的密碼。比如,普通論壇帳戶對於安全性的需求較低,對於駭客來說也不會有特別大的價值,因此可以採用較為簡單密碼。而銀行帳戶、電子支付帳戶和重要聯繫工具,比如電子郵箱、即時通訊帳戶則應該使用強度非常高的密碼進行保護。
在相同密碼中加入不同特徵值
這一點我們以前的文章提到過,一般而言,我們的密碼都是通用的,比如說A站和B站基本都是一個密碼,這個很好理解,我們很難在每一個不同的平臺上都更換一個新的帳號和密碼。但是這樣顯然很不安全,怎麼辦呢?
這時可以考慮一個非常簡單的策略:使用一個通用的基礎密碼,針對不同的網站,在前後或中間插入對應該網站的一個特殊值。比如我們經常的密碼是“123456”,那麼在A站就用“+123456”,在B站就用“123456-”當密碼,這樣安全性就提升了,同時還比較好記。當然特徵值隨便用戶選了,最好選一個你自己容易記住,但是又不顯得那麼簡單的特徵值。
使用密碼時的一些小常識
密碼設置好了後,如何使用密碼也是一門學問,實際上銀行帳戶的登錄經常會給我們提示。通常而言,銀行這一類網站登錄都會有使用螢幕鍵盤點擊和直接點擊鍵盤輸入兩種輸入方式,如果輸入密碼時有這類選擇,那麼我們嚴重推薦使用螢幕鍵盤。因為大多數木馬病毒監控鍵盤,都是通過物理鍵盤輸入監控的,無法監控到螢幕上的鍵盤,所以有所擔心的話,不妨採用螢幕鍵盤輸入就比較安全了。
這類使用螢幕輸入密碼就相對安全
此外,除了不要將密碼洩露給他人之外,有些使用者的密碼洩露居然是因為遭到了旁窺。在實際操作中,也應該使用額外的安全措施降低密碼在使用中洩露的機會。除了為自己的電腦安裝安全軟體,使用者還應該謹慎分辨要求輸入密碼的場合是否有異常,以免被釣魚網站利用。而且個人建議儘量不要在不熟悉的設備上輸入密碼,同時不要記住登錄狀態在使用後要退出登錄狀態。
有機會使用隨機字串
不知道到底設什麼樣的密碼好?其實還有一個很簡單的辦法,像 Safari、Chrome 等流覽器就會在頁面註冊帳號時智慧地提供一個隨機字串作為密碼選項。
使用生成的隨機字串好處就是,不需要考慮自己怎麼去想密碼,流覽器自動生成就可以了。不過缺點也很人惱火,如果你在不同的平臺上登錄,那是相當的麻煩,還要有一些備用的方案,要不讓你登不上去也是很正常的。
此外要注意的是,將隨機字串作為驗證很常見,但是作為密碼的設備和應用還是相對少見。這個辦法同時也不適合一些沒有耐心的用戶,因為每次重新登錄,都要再去生成隨機字串作為密碼,接收方式可能也相對繁雜。
一定要採用驗證機制
很多大型的互聯網公司以及應用(特別是涉及到金融方面的應用)一般都提供了多步驗證服務,如微軟、Google、蘋果、印象筆記等等。一旦開啟了多步驗證,只要是在非授信的設置上登錄,除了常規的帳號和密碼外,網站還會要求你額外提供綁定手機的動態驗證碼,這樣就確保了即使你的密碼洩露了,依然還有一道安全屏障阻礙駭客最終登錄你的帳號,保護你的資料財產安全。
當然,這種方式在移動應用上已經非常常見了,和手機綁定的帳戶幾乎是強制性的。但是在PC上的應用,驗證機制雖然很多廠商有使用,但是只有少數是強制性的,比如穀歌和微軟帳戶登錄;很多應用則是非強制性的,比如一些網遊、論壇等等,這裡強烈建議大家有可能的話,都使用驗證機制,雖然麻煩點,但是安全太多。
有驗證功能的應用最好打開驗證
此外穀歌還有專門的一套驗證機制APP,非常複雜,非常麻煩,就算設定都很頭疼,但是設定好了的確很有效,支持這套APP下的網站,除了網站登錄要用戶名和密碼外,還必須輸入APP隨機生成的字串,基本能做到自己的密碼不會被洩露。複雜程度絕對可以讓人拜服!
做好自己的密碼維護
除了日常使用以外,密碼也需要定期的維護。維護密碼最常見的一個目的就是防止遺忘。這個 ID 我已經多久沒有使用了?我還記得他的密碼嗎?這個 ID 是在哪個網站註冊的?它還有效嗎?這些都是密碼維護過程中需要注意的問題。
除此之外,密碼維護也包含了對密碼的定期更換。誰都無法保證在密碼使用過程中的絕對安全,因此定期對關鍵密碼進行更換也是十分重要的。通常來說,新更換的密碼應該從未在任何地方被使用過,且無法從已有的密碼中被類推出來。密碼維護還包含一個非常重要的步驟,就是檢查已有的密碼是否已經發生洩露。常見的檢查方式就是通過網站的帳戶記錄檢查工具查看帳戶是否有異常的登錄資訊或者操作記錄,依此確認密碼是否發生了洩露。
要知道密碼洩露這個事兒,有的是可以預防的,但有的是你不可控的,比如說伺服器端要真洩露了,駭客暴力破解了你的密碼你也不知道……所以要有一個有憂患意識,沒事改改密碼總是好的。