帐号密码为什么而生?帐户为了确认身份,密码为了确保安全。
只要你活在现代社会,你就离不开帐号密码,帐号还不止一个,密码也不会只使用一个吧,如果是一个的话,这个密码就不是密码,和明码无异了。问题是你的一生会有多少帐号密码?在一生中,我们要经历不同的阶段,要和不同的人打交道,要处理个人/家庭/公司/团体的不同事务,财务信息,个人信息,朋友联络簿等等。随着网络发展的今天,我们得社会角色也多元化,使用不同的网络服务来处理生活事务,让生活更精彩。我们活得很累,为了生存要攒够每天吃喝拉撒奶粉钱,为了生活出质量,加班也得当房奴。脑子够累的了,面对网络,我们被它吸引为之痴迷的同时,还要记帐号密码。最简单的,我们要与银行打交道,银行卡/信用卡有个pin码;在公司里,你要登陆电脑干活;在家里,玩个网络麻将/三国杀;在手机上,玩个QQ,也要个密码。
密码的形式多种多样,有使用键盘的/有手势的;有的是字符串的/有的是数字的(比如借记卡的)/还有图形的;有的自己设定/有的需要其它辅助,卡片或口令卡,U盾等等。有的好记,有的好用,有的很变态,总之,无法回避帐户密码。本文希望通过如下的叙述,一方面为自己平时习惯作个小结,也给大家一个大概的思路,如何设定帐号密码,让它更安全也好用。
帐户分类:
好多网络服务是无关紧要的,有的是“生命攸关”得,基于帐户得基于重要程度,咱门给帐号大致分分类。
密码强度:
每个帐户都有一个密码与之对应,密码是否安全,决定着这个帐号的安全。根据密码是否容易被猜测和暴力破解,确定一个密码的强度,强度越高的,越不容易破解,越安全。
一般的原则是,强度高的密码应该具备:字符长度长,没有规律,不包含常用词语,混合使用多种字符,大小写混用,这样的密码就安全,强度也越高,因为这样的密码最不容易被猜测出来和破解。
有一些软件/网站帮助你来确认一个秘密的安全度,比如注册gmail的时候,它会告诉你密码强调,比如网站PasswordMeter,OS X操作系统也提供密码强度提示;或者KeePass/RoboForm软件。
帐户密码:
每当我们给帐户一个密码的时候,首先考虑这个帐号的重要级别,越重要的,就要使用强度越高的密码。
现在email信箱成为了注册帐户和通讯的一种重要方式,而针对不同类别的服务,最好也使用不同的email,以保护自己。比如你确信安全/信任的服务商,或者需要自己身份认证的,比如银行/政府等机构的服务,最好使用自己主要email注册,这个email的安全级别也要提升为至关重要的级别,因为它和其他的至关重要事务密切相关,一旦失手,其他关键事务也会被牵连。为了方便应对生活中的不同事务,多注册几个email信箱是不可避免的了,每个信箱也可以根据用途分类使用。多个email邮箱,可以是在一个emial供应商注册多个不同的邮箱,或者在不同的email提供商注册同一个邮箱名;甚至是混用前面两个方法。为了混淆,你可能需要把每个邮箱记下来,以免混了。
由于每个服务商对密码的限制可能不同,有的限制字符类别,比如不能有符号,有的对密码长度有要求,比如不能少于8个,不能多余23个等等,这个是造成使用不同密码的另外一个因素。
有的服务会绑定一台电脑,这样如果使用另外一台电脑/系统被更新,那么可能需要重新认定。这样也会造成些许麻烦。
服务提供商应该提供一种方便而保险的方式,让用户更容易地取回/重置密码。不是所有人都可以提供注入银行级别的服务,不可能有它的覆盖面广,所以无法做到面对面的客户服务,通过网络是最常见的,比如,让用户可以自己设定几个保密问题及对应的答案,比如问题是你最喜欢的中学老师是谁,你记忆最深刻的度假地点,你的第一个宠物的名称等等,这个答案是客户根据自己的生活经历自定的,可以方便回忆起来,而且不易被猜到。
选择密码:
如何选择一个好记又安全的密码。嗯,当然不能使用生日,手机号,地址等明显和自己身份相关的。可以考虑一个场景,一个自己最喜欢的故事情节,或者一个终生难忘的度假地等等,反正就是与自己亲身经历相关排他的,组合一个短小的词,如果忘了密码,那么想起那个情节,会很容易想起这个词,使用该词的拼音/英文,变换其中的字母为数字和符号,再加上1个或两个后缀字符,构成自己的密码。比如度假去过的Redium Hot Springs in BC,旁边有一小树林(Woods),有条小溪(Stream)穿过,我家狗(Emily)差点丢在那里。于是密码:RediumWoodStreamAmily。在变换一下,可以是:R@diumW00dStr32m@m1&y8。这个可是相当的不易被猜测出来的了,还不算变态吧。
密码策略:
密码强度再高,如果因为保存不当或者使用不当而泄露,那也是功亏一篑。所以使用密码更是要注意的。下面是有个建议:
重要的帐户,千万别在无法确定是否安全的机器上使用,特别是公用电脑,原因很简单,容易被盗;除非是特别紧急情况,处理完后,可别忘了回去尽快变更密码。
保管密码:
面对如此众多的密码,仅凭记忆,非常人所能掌控的,当然,记忆力超好的伤不起。找到一个适合自己的密码保管方式,写在纸上?留在智能手机里?使用密码软件?
如果你选择存放在手机里,那么手机密码就变得最最重要的了,而保存也不要使用明码保存,找个软件;即便使用明码保存,最好也变换一下,比如在最后加个随意字符,或者把一个固定位置的字母改变一下大小写,即便手机丢失,也不会被轻易破解。当然手机信息的定期备份那就变得更加重要了。
如果使用软件,那么你需要记住一个主密码,这个主密码一定要选择特别好记也特别安全的。一般的密码保管软件会使用相当强化的加密措施,以防被解密窃取,所以选择之前考虑它的加密算法的强度;另外,最好是支持多种操作系统和硬件平台的,比较好的有完全免费的KeePass, 提供免费版本的LastPass,也有在线密码保管服务商,比如Mitto, 不过要慎重选择。如果使用的电脑很有限,也可以使用操作系统提供的功能,比如OS X上的钥匙链,钥匙链可以在OS X系统上方便地迁移/备份/使用。
密码处理过程:
你的密码是如何被处理储存在服务器上的呢。
你设定密码确认后,服务系统得到你的密码,如果是稍微谨慎点的服务商,都会把你的密码加密后,得到原加密密码再存储起来。下次你登陆的时候,服务器使用最初设定密码时相同的加密过程,把你的密码加密后,再和系统储存的原加密密码比较,相同就通过认证。这个加密过程一般使用稀疏矩阵算法,这个过程时不可逆的,也就是说,你几乎无法将加密后的密码,逆向转换得到你原始密码明码。这样的好处是,即便是加密后的密码丢失,也不会造成你的原始密码被泄漏,缺点是,用户无法取回原密码,不过这个不是问题,确认客户身份后,让用户重新设一个新密码,比得到老密码要安全。
至于,很疏忽的服务商,把客户密码明码保存,或者使用任何可逆加密储存,都会给用户带来明显的危险。
帐户被窃:
有过不少的知名企业曾经被骇客攻击,丢失用户信息的,不仅为用户带来损失和不便,也为消耗了自己声誉。
2011年美国银行曾经被骇客窃取85000信用卡资料(1)。同年索尼下属的新力电脑娱乐, PlayStation Network, 简称PSN,被骇客攻击,有7千7百万用户资料,可能包括信用卡,地址,帐单,用户名,密码等信息被窃取,造成全世界PS玩家无法网络联机使用,从4月20日开始,直到6月才完全恢复服务(2)。最近发生的,7月,苹果开发者网站被入侵,苹果公司及时关闭了该服务,过了4天后,给每个开发者用户信箱中发了一份简短的声明。直到现在,还没有恢复,也没有任何时间表,具体细节不得而知,大家都在猜测。
虽然说,这些事件与用户自己管理账户密码无关,不过,我们可以这样来理解,这些大公司会投入很多财力人力保证系统的安全,他们都无法完全阻止黑客的入侵,那么我们个人电脑被入侵的可能性会只能是高得很多。通过其它方式在保护电脑安全得同时,我们好好保护自己的账户密码是安全的第一步。他人尤其是企业泄露了你的隐私你还可以声明索赔,自己不小心只有哑巴吃黄连了。
注:
(1)http://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history
(2)http://en.wikipedia.org/wiki/PlayStation_Network