做好密码管理

最近几年越来越多的密码泄漏事件被曝光，其实非重要网站密码泄漏影响不会太大，主要的威胁是撞库造成其它网站的隐私泄漏。简单来说就是利用已经泄漏的密码和账号信息，尝试登录其它诸如支付宝、微信、iCloud 等网站。由于可能我们所有服务和网站的账户和密码都设置为一样的，那么这造成的隐私的泄漏和风险就比较大了。常见的盗取账户方法有社工和撞库等方式，下面提供几种简单的思路和工具来确保账户的安全。

简单算法

社工简单说只利用社会工程学根据已有的姓名、生日、手机号的等信息进行针对性组合，然后不断的尝试对账户进行暴力破解。比如你的密码是姓名拼音+手机号组合或者是明星拼音+生日组合，这样的好处是好记忆，但是给别人有了可乘之机。这种密码其实可以稍早改造，就可以避免被猜到的可能。提供几种思路：

数字字符对应的数字加上1，比如生日：920808 可以输入为：930909；

字母字符根据键盘的位置，进行上下左右运算。比如原本输入 D 实际可输入为 E；

对应的数字修改为键盘上对应数字的符号，比如原本输入 5 实际可输入为 %。

域名关联

简单算法获得的密码只能防止社工的破解，一旦其中一个网站的密码遭到泄漏，通过撞库的手段仍然是不安全的密码策略。最好的方式是不同的网站设置不同的密码，那么记忆起来就是个麻烦。这里我推荐和网站或者业务名进行关联，比如两个网站分别是 baidu.com 和 qq.com， 我们规定取域名字母的前两位作为密码的开头，后面再跟上简单算法组合的密码。比如百度的设置为 bizhang080808，腾讯的设置为 qqzhang080808。这种方式就相对来说比较安全了，但是如果其中一个网站发生了泄漏事件，你又想在不影响自己整体的密码策略（域名关联）情况下来单独更新某一网站的密码，就会变得非常纠结，所以我要推荐的是第三种方式。

随机密码

随机密码顾名思义就是我们在设置密码的时候，通过软件随机生成一组没有任何规律和意义的字符串，可以设置这个字符串的长度、特殊符号、数字的比例。每个网站的密码都采用这种方式随机生成，这样可以保证不会被撞库。这种密码靠暴力破解也是很难通过，况且网站本身也有一定的安全措施。如果其中有网站被曝用户信息泄漏，再重新生成一组密码然后提交修改就可以了。

密码管理软件记录了不同网站所对应的不同随机密码和账户名。使用的时候通过搜索找到对应的网站，然后在浏览器中打开，方便之处就在于这些软件通常都提供对应的浏览器插件，可以自己填写密码软件中存储的账户和密码信息，根据网站的域名地址自动匹配推荐对应的账户和密码。

使用密码管理软件相当于我们把记录密码与网站对应的任务交给了软件来完成。软件只需要保证访问者的权限是本人就可以了。通常访问密码管理软件中的密码信息，需要设置一个主密码，也就是只有知道了主密码就可以访问你的所有密码了。所以我们要保证这个主密码的复杂程度，不容易被破解。而我们需要记住的也就是这个主密码，大大减轻了记忆密码的负担。

当然好的密码软件最好提供 Mac OS 、 Windows、iPhone、Android 等常用平台都需要支持，否则当我们在这些平台不能自动填充密码的时候会变的特别麻烦，只能手动的复制粘贴。主密码如果过于复杂每次都需要输入也挺浪费时间的，随着指纹支付和 Face ID 等生物特征提供 API 提供给这些密码管理软件的使用，也让主密码一次输入之后，可以设置后续都通过指纹或者面部识别来作为是否允许访问的鉴定条件。

视频中是 1Password 自动推荐并输入账户和密码，整个过程 打开网站--人脸识别—输入账号密码=登录一气呵成。

最后

不同的人适合不同的密码策略，我刚开始的时候觉得密码管理软件好麻烦。但是随着 iOS 开放了第三方填写密码的接口后，填写账户名和密码基本上可以自动完成，比人工输入的效率更高，这时候我才开始全面使用密码管理软件来保证账户的安全。在方便和安全之间做好取舍，用最小的牺牲来换取我们账户的安全，尤其是涉及金钱的账户，我们更应该考虑使用最安全的密码方案。

密码管理软件有 1Password 、Enpass 、KeePass、LastPass等，你可以根据自己的日常使用设备的平台，选择适合的密码密码管理工具。

觉得不错，欢迎关注。