随着互联网越发发展深入,我们个人作为普通用户上网安全方面能做的除了尽量不透露个人信息外,就是努力设置个安全些的密码了。引用百科上对强密码的定义:
强密码应该具有如下特征: 强密码长度至少有 8 个字符,不包含全部或部分用户帐户名,至少包含以下四类字符中的三类:大写字母、小写字母、数字,以及键盘上的符号(如 !、@、#)。字典中查不到。不是命令名。不是人名。不是用户名。不是计算机名。没有规则的大小写字母、数字、符号的组合,部分登录系统支持全角符号以及中文、其他语言等特殊符号的输入。
最早接触互联网的时候,相信很多人都是一个密码打天下,但是我们的密码终究是保存在了对方的服务器上,所以万一遇到服务提供商的数据库泄露就很麻烦,密码在一处泄露,自己在其他网站上输入的密码也不再安全。
尤其是近几年,光叫得出名字的知名网站就发生过很多数据库泄露事件,记忆中最早比较有影响的是2011年600万CSDN用户密码泄露,再后面各种网站,如:当当网100多万买家信息;小米论坛的828万用户数据;某酒店集团2000万开房记录;淘宝2500万用户邮箱信息;天涯网4000万用户数据等,值得一提的是泄露的可能还有网易,但是网易官方没有对外正式宣传过。后来各网站和app也慢慢开始重视起密码安全的问题来了,主要的手段有两种,一是强制用户设置强密码,二是推荐用户启用两步验证。引用百科上的一段介绍:
双重认证(英语:Two-factor authentication,缩写为2FA),又译为双重验证、双因子认证、双因素认证、二元认证,又称两步骤验证(2-Step Verification,又译两步验证),是一种认证方法,使用两种不同的元素,合并在一起,来确认用户的身份,是多因素验证中的一个特例。
举例:
- 使用银行卡时,需要另外输入PIN码,确认之后才能使用其转账功能
- 登陆电脑版微信时,用已经登录同一账号的手机版微信扫描特定二维码进行验证
- 登陆校园网系统时,通过手机短信或学校指定的手机软件进行验证
- 登陆Steam和Uplay等游戏平台时,使用手机令牌或Google身份验证器进行验证
国外大型的网站和app基本上都做到了两步验证的支持,一般都可选使用身份验证器,由于两步验证最先是Google捣鼓出来的,所以大多默认会推荐使用Google身份验证器。不过各家验证器用的算法是一致的,所以其实可以只用某个验证器应用就能通吃所有的。但是Google自家开发的验证器应用很久没更新过,而且不支持同步数据,用起来体验并不好。这里我个人推荐的是微软出品的验证器应用Microsoft Authenticator ,最有特色的两点是支持同步和微软应用(包括windows系统)免输密码登陆(需要在验证器上进行批准登陆操作)。尤其是支持同步这点,解决了万一手机丢失等情况出现,所有依赖验证器登陆的网站和应用无法登陆的痛点。
而国内,我常用的一些服务里面,支持上述验证器的只有网易邮箱,坚果云网盘等少数几家。其他的一些互联网巨头都热衷于各自闭门造车,推出自己的单独的密码安全app,比如阿里钱盾,腾讯安全中心啥的...只支持自家的服务,体验极差。不过好在,大多数提供了另外一种两步验证方式-手机短信验证。反正国内都是实名上网,添加个短信验证也无所谓了,不过某些偶然情况下会收不到短信验证码也是挺麻烦的。
至于一些小网站或者app,我们就只能设置一个强度高些并且各个网站都不相同的密码才是最安全的了。刚好最近看到一篇趣闻:“ji32k7au4a83”竟然是一个典型弱密码。原文我就不贴了,有兴趣的可以自己点链接进去看看。而人脑毕竟不是电脑,密码强度太高太复杂,最大的问题就是自己都记不住,一旦忘记就更加麻烦。那么,为什么要靠自己来记忆呢?推荐有志于维护个人密码安全的,可以参考下知乎上的这篇帖子:
一劳永逸:KeePass全网最详使用指南https://zhuanlan.zhihu.com/p/39645975
KeePass虽然安全且好用,但是跨设备用起来还是比较麻烦。最后,分享下我自己的一些做法吧,我自己是用KeePass把近400个网站及app的密码(难以置信,几年下来注册及使用过这么多,改密码花了我一整天时间)改过一遍后存储了所有的密码,以及各种证件照片等,同时使用Google的密码同步功能将密码同步在Google上,Google账户开启了两步验证加上Google自身的强大基本可以避免Google上的密码泄露。同步的好处是,这些密码在我使用Android手机访问的时候可以同步过来,自动填充。当然,使用Google的同步需要你有科学的上网姿势才行。退而求其次的话,我也很推荐使用KeePass的Android及Ios客户端来管理同步密码,只是用起来稍微再要复杂一点点。
而对于不想折腾的普通用户,可以去用lastpass和1Password这样的服务,但是LastPass也发生过泄露的事件,所以这些第三方的服务也未必足够安全。最后,其实最好的保护密码的方式就是不输密码,尤其是国内的app,由于强制需要手机号验证,那设置一个自己都不知道的密码,然后每次使用手机验证码登陆未尝不是个好方法。另外有些网站论坛啥的,内容设置了回复可见的,这种时候工具人登场的机会就来了。去用一些临时性的邮箱注册,搜索关键词“临时邮箱”就能看到很多提供这种服务的网站,手机号码验证也是类似。尽量避免暴露自己的手机号码及主力邮箱,最大程度避免泄密的可能性。