在当今社会,记不住所有网上账号的密码已经成为一个老生常谈的问题。在无数次被迫点击“忘记密码”按键之后,我们通常会选择在多个不同的网站上使用或重复使用不安全的密码。这无疑引发了安全风险:如果黑客能够猜出其中一个密码,那么他们便能畅通无阻地获取我们的所有信息。
虽然很多人都认为自己并不能为黑客提供任何有价值的信息,但事实上,隐私受到侵犯也会带来严重后果。个人信息可能被窃取并用于身份盗用,黑客也可能利用医疗记录或个人照片进行讹诈。
以下两个图表显示,尽管人们可能了解网络安全的重要性,但他们还是会在多个账号上重复使用相同的密码。
图一:你有多少账号使用相同的密码?
图二:你认为网络安全重要吗?
只要意识到个人安全所面临的威胁,我们就可以着手保护自身,免受未来的攻击。卡耐基梅隆大学(Carnegie Mellon University)计算机科学专业助理教授杨黅晶(Jean Yang)在世界经济论坛 2018 年年会(World Economic Forum Annual Meeting 2018)上发表演讲,阐述了用户应该如何保护个人信息。
“为了保护软件安全,用户必须养成良好的密码使用习惯。”
创建安全的密码是构建安全网络环境与防范未来攻击的第一步。不可破译的密码必须要长,包括大小写字母、特殊字符和数字。同时,密码中不应包括任何与你个人相关的信息,如:宠物的名字或自己的生日。另外,你应该尽量使用短语而非单词作为密码。
除了密码本身以外,你还可以安装其他扩展程序来保障个人信息安全。同时,你也可以在必要时激活“双重认证”。
那么,问题来了,我们怎样才能设置一个超级安全的密码?
一、是否需要借助工具?
虽然现在有诸如 1password、keepass、lastpass 这类密码助记工具来帮助管理各类密码,但是这相当于把所有的鸡蛋都放进了一个篮子里,一旦你没有看好这篮鸡蛋,后果可想而知。而且软件本身可能有安全漏洞,作为一个产品也有下线的可能,因此不建议大家采用这种方式。即使要使用,也千万不要用它来管理重要的密码。
另外,以实体存在的指纹识别、虹膜识别这类小众的密码管理工具也不推荐使用,因为携带不便,不能做到随取随用。
二、我们的账户是如何被攻破的?
通常我们的账户有两把钥匙,一条是静态密码,一条是动态密码。静态密码可以通过网络信息交易黑市获取,动态密码可以通过挟持你的手机获取。两把钥匙被攻破后,账户就彻底沦陷了。
要守卫好我们的账户就要在两把钥匙上下功夫。简单来说,在静态密码方面,我们要做到三不要:不要使用弱密码,不要多账户使用同一个密码,不要长时期不更换密码。在动态密码方面,我们要注意三防:防丢防盗防劫持。
你密码够安全吗?不妨去 HOW SECURE IS MY PASSWORD 这个网站来做个密码强度测试吧。
网址: 点我进入
我们试着输入了一个常见的弱密码 123456,这个密码位列于最常用密码的前五名,可谓是弱爆了。测试结果为 instantly,指的是瞬间即可被攻破。那怎样才能让这个弱爆了的密码变身成为超强密码呢?
三、如何对密码进行改造?
1、“怎样设置一个强密码?”
弱密码通常是一串纯数字或纯字母。通过加长或是数字+字母混写就能提升成普通密码。如果配合 Shift 键或 CapsLock 键,输入字符或大小写字母就能变身成一个强密码。最后,别忘了再加一个空格键,一个超强密码就诞生了。
加长:123456123456;25 SECONDS。数字+字母:123456abcdef ;4 YEARS。 数字+大小写字母:123456AbCdeF;3 THOUSAND YEARS。 数字+大小写字母+字符:123456#AbCde;34 THOUSAND YEARS。 数字+大小写字母+字符+空格:123456# AbCde;47 MILLION YEARS。
通过强度测试可以看出,采用加长和混合的方式可以让密码强度不断提升。但是新的问题就出现了,密码强度增加后,记忆的难度也增加了。用一个密码管理所有账户是大忌,一旦这把万能钥匙泄露了,所有的账户都会面临被盗的风险。
2、“怎样设置多个强密码?”
用“统一密码+平台密码”的逻辑来组合密码。如果说统一密码是你随身携带的一把万能钥匙,那平台密码就是很多把放在不同门口的辅助钥匙。当登录不同的平台时,就现场组合一下。
“统一密码+平台密码”: 在工商银行的密码:统一密码+GSYH。 在光大证券的密码:统一密码+GDZQ。
这个办法虽然便于记忆,但是却有一个致命的缺点。一旦某个平台的密码泄露,很容易被推测出其他平台的密码,从而面临被盗的风险。
常见的解决办法是对账户进行分级管理,在密码中添加分级后缀。这样即使被推测出逻辑,也只是部分被攻破。比如将账户分为非常重要、重要、普通、不重要三级。例如,涉及银行卡、支付宝这类的财务账户肯定是非常重要的,我们用 aa 来表示。涉及到 QQ、微信这类社交账户就归于重要级别,用 bb 表示。涉及到百度网盘这类存储类账户就归于普通级别,用 cc 表示。涉及到其他普通论坛登陆的,我们就用 dd 表示。顺便说一句,分级之后不重要的级别也可以用 1Password 这类密码管理器来管理。
“统一密码+平台密码+分级后缀”: 在工商银行的密码 →统一密码+GSYH+aa。 在光大证券的密码 →统一密码+GDZQ+aa。
“统一密码+平台密码+分级后缀”虽然避免了账户被全面破解的风险,但是命名逻辑依然处于暴露状态,很容易被识别。那我们继续来升级。
3、“怎样隐藏多个强密码?”
解决这个问题的关键是隐藏“统一密码+平台密码”的设置逻辑。平台密码是放在不同门口的辅助钥匙,得藏起来不要被别人发现了。通常采用的办法是乱序和替换。
乱序是将平台密码与统一密码混写,只有你自己知道在统一密码第几个字符插入平台密码才能组成正确的钥匙。
替换是将平台密码用其他方式表示,最简单的是在键盘上敲字母的时候统一上移一格来代替原字母。数据狂魔还可以用其他的加密算法来替换字母,比如用 MD5 算法。这个大家百度一下就可以找到一些在线 MD5 算法的网站,输入原密码后就会生成一组字符串。
乱序: 在工商银行的密码 →G 统一 S 密码+YH+aa。 在光大证券的密码 →G 统一 D 密码+ZQ+aa。 替换(键盘上移一格): 在工商银行的密码 →统一密码+TE6Y+aa。 在光大证券的密码 →统一密码+DZQ+aa。
通过这样的改造升级,就算你把密码贴在脑门上也不怕了。既然保密系数这么高,那我可以用本子记下来吗。当然可以,不过不要全写出来,用个特殊字符代替万能钥匙后,随你怎么记录。
重要提示,万能钥匙千万不要用和我们个人信息有关的身份证号码、生日号码、手机号码等来进行创作。下面就让我们来欣赏一些用编程语言表达的古诗词密码吧。这些密码的破解难度都极其的高,可以作为万能钥匙,配合平台密码使用。
3cQScbrOnly1 → 三尺秋水尘不染,天下无双;3 THOUSAND YEARS NoTXnorC1/2(XJ+Z) → 不染天下不染尘,半分形迹半分踪;4 QUADRILLION YEARS ppnn13%dkstFeb.1st → 娉娉袅袅十三余,豆蔻梢头二月初;380 QUADRILLION YEARS for_$n(@RenSheng)_$n+="die" → 人生自古谁无死;13 DECILLION YEARS while(1)Ape1Cry&&Ape2Cry → 两岸猿声啼不住;1 OCTILLION YEARS 1/2(S+S+X)andRDX → 半神半圣亦半仙,全儒全道是全贤;41 TRILLION YEARS
如果这些脑洞清奇的密码你记不住,那么可以选择一句你记得住的诗词、乐谱、绕口令或化学方程式来作为万能钥匙。不过,再强的万能密码也要记得定期更新。这次用”唧唧复唧唧,木兰当户织“,下次就用“不闻机杼声,惟闻女叹息”。或者这次用《木兰诗》,下次用《琵琶行》。相信假以时日,你就可以脱稿朗诵全文了。
诗词:jjfjj,mldfz → 唧唧复唧唧,木兰当户织;55 YEARS 乐谱:51111567113135533135322→ 国歌简谱;79 THOUSAND YEARS 化学方程式:3Cu+8HNO3=3Cu(NO3)2+2NO+4H2O → 化学方程式;53 DECILLION YEARS 绕口令:Cptbtptp,bcptdtptp → 吃葡萄不吐葡萄皮,不吃葡萄倒吐葡萄皮; 2 QUADRILLION YEARS
四、那万一被盗,该怎么办?
支付宝账户安全险大家应该都有吧,有的是免费领的,有的是花积分换的,有的是花几块钱买的。
其实支付宝为所有会员都购买的了账户安全保障的。这个每年几块的支付宝账户安全险,个人觉得很鸡肋,可以不用买。不如去买其他类型的账户安全险。
当然,免费领的,来者不拒。
说了这么多,其实苦逼的我还是......
真惨....