如何让保障你的密码安全?
想要保障密码的安全,不被破解,我们就需要使用复杂密码来防止洗库。为了防止撞库,我们就要对密码进行分级,在不同网站使用不同的密码。
一,使用复杂密码。
密码的强度与密码长度、字符范围、随机性相关。密码长度自然是越长强度越高,8位是基本的要求。字符范围是指是否包括大写字母、小写字母、数字和特殊字符,每增加一种字符,密码强度就会成几何倍数增加。随机性指的是密码不具有明显的特征,比如 123456,password,iloveyou 这类密码。
在网站 HowSecureIsMyPassword 中测试 123456asd 、123456asdF、123456asdF! 的暴力破解难度分别为 42分钟、8个月和400年。
二,密码分级,在不同网站使用不同的密码。
对密码进行分级,在不同网站使用不同的密码最大的好处是,即使 A 网站发生了密码泄漏,我们在 B 网站上的密码也不受影响。根据密码的使用场景,我们可以把密码分为三个级别:财产级密码、重要级密码、一般性密码。
财产级密码:
与财产相关的密码。通常只能用数字做为密码,比如银行卡密码、支付密码、手机PIN码、保险箱密码等。
重要级密码:
与重要隐私相关的密码。比如邮箱、门户网站、社交网站、购物网站、密码管理工具主密码、加密文件密码等。
一般性密码:
财产级和重要级密码之外的密码都可以归为这类。包括小众网站、小众论坛,临时帐号、共享帐号、宽带WIFI等。
如何让你的密码安全又好记?
为了保障密码的安全,人们通常会使用更长更复杂的密码,其结果是导致经常记不往密码,每次登录都要使用“找回密码”功能,这时人们又会开始转向于使用简单的密码,又会在多个网站上使用同样的密码,密码的安全性和易记性往往很难兼得。所以,密码管理,首先是策略的选择问题。
财产级密码,通常只有 6-8 位数字密码,简单不容易忘记,我们完全可以用大脑去记,即使忘记了也可以用身份证找回。只要别使用生日/电话做为密码就行,而且这类密码都有很强的防范机制,输入错误几次后就会锁定,还有短信提醒之类的。
一般性密码,通常是不怎么重要,即使丢失被盗也没啥大不了的密码。这就解释了为什么“最差密码排行榜”第 13 名会是"welcome",像是在和隔空喊话,说你快来盗我的密码吧,因为这类密码没什么重要的。还有这类密码的防范措施通常较弱,是能轻易破解的。
所以,对于这类一般性密码,我们完全可以使用一个通用的密码,比如 123456asdF。
而我们真正需要管理的密码是重要级密码。
重要级密码,通常是那些可以信任的大公司,这些大公司网站会有较强的密码保护机制,比如验证码登录,异地IP登录提醒,手机短信验证等。我们要做的就是,确保在这些网站上使用的是复杂密码,而且每个网站都不一样。而为了能轻松记住这些密码,我们可以设计一套密码规则:「基础密码 + 变化规则」。
1、选定一个基础密码。
选择一句对自己有意义又能容易记住的话,它可以是一句古诗,一段歌词,一句名人名言,又或者是你生编硬造的话,只要你能记住就行,然后取这句话的拼音或者英文单词首字母做为基本密码。比如“Nothing Gonna Change My Love For You”缩短为"ngcmlfy",又比如“人帅也要多读书”缩短为“rsyydds”。
我们以“高效方法论2019”转换为基础密码“gxffl2019”来举例。
2、变形这个基础密码。
密码的复杂度很重要,密码是否包含有大小写字母、数字、特殊符号的差别是巨大的。特殊符号因为没有意义,加入到密码中来会提高记忆难度,一个好的应对方法是:对原有密码里的字母进行变形,使用相似的特殊字符来替代部分字母。比如
字母变为特殊符号:把a变成 @,b变成 &,c 变成 (,h 变成' # ',s 变成 $,l 变成 !,x 变成 * 等。
如果密码中有数字序列,也会导致密码有明显的特征,比如 2019 代表的就是年份,应对方法是:对原有密码里的数字进行变形,使用字母来替代部分数字。比如
数字变为字母:把 2 变成 z,3 变成 e,4 变成 a,5 变成 s,7 变成 t,9 变成 g 等。(3,4,7 与大写字母 E,A,T 相似)。
基础密码转换过程:高效方法论2019 --> gxffl2019 --> gff!2019--> gff!z01g
3、基础密码加入网站标识。
取网站域名的第1、2位字母和第3、4位字母,分别加入到基础密码的开头和结尾。
比如 baidu.com 就是 bagff!z01gid,google.com 就是 gogff!z01gog。
接着使用驼峰式大小写,把密码的第 2 位字母和倒数第 2 位字母变成大写字母,
也就是 bAgff!z01gId 和 gOgff!z01gOg。
基础密码转换过程:
高效方法论2019 --> gxffl2019 --> gff!2019 --> gff!z01g --> bagff!z01g9id --> bAgff!z01gId
到目前为止,我们就得到了一份可以应用于多个网站,看似乱码,但极为安全且容易记的密码清单了。
三、密码管理工具可以取代人工管理吗?
现在开始流行一种使用工具来做密码管理的方法,思路是将所有密码交由工具管理,我们只需要记住一个主密码,而且生成密码、记忆密码和填写密码都由工具来自动完成。比如有 Lastpass、KeePass 和 1PassWord。就安全性而言,这些密码管理工具鼓励使用随机密码,也有多个网站使用同样密码的测试提醒,配合 AES-256 的加密算法,完全没有破解的可能。
LastPass 是一款将密码保存在云端的密码管理工具,KeePass 则是将密码保存在本地,开源免费,但上手难度较大,1PassWord 可以说是前两者的结合体,综合了两者的优点,但价格较贵,价格大约需要20元一个月。总的来说,免费且易用的密码管理工具,LastPass 是目前更好的选择。
那把密码放在 LastPass 的服务器上安全吗?
答案是安全的。LastPass 的加密方法是把帐号和主密码通过算法得到一个值,然后再用个值去加密用户的各个密码,然后储存在服务器上。所以不用担心,即使攻破了 LastPass 的服务器(有过被攻破的记录),因为无法破解数据库,除了把你的密码数据库删除外,其他什么都做不了,况且 LastPass 加密解密的过程都是在本地进行。
那密码管理工具能完全取代人工管理密码吗?
答案是不能的。首先,密码管理工具都是要收费的,这类工具目前还不是一种基础性的工具。1PassWord 需要大约 20元一个月,KeePass 虽然免费,但上手难度高。LastPass 虽然也免费,但要在多个设备上同步就需要付费了,LastPass 的这种免费策略可以理解为一种变相的收费策略。
还有一个问题就是,在一些安全性要求高的网站,密码工具的自动填写功能会失效,也无法直接复制粘贴密码,这时你需要手动输入一长串随机的复杂字符,想必你一定会抓狂吧。
所以,使用基础密码变形为主,密码管理工具为辅的密码管理方法更为明智。
原文地址 https://www.runningcheese.com/password#read