密码管理的几个建议

最近的密码泄露风波让大家对密码安全有了更深一层的认识。不仅如此，密码安全更是全世界人们都必须重视的东西。根据英国卫报消息，美国战略预测公司网站遭到黑客攻击，85万注册用户信息遭泄密。其中221名英国国防部军官和242名北约官员邮件地址遭泄露，密码均可轻易破解。更多美国军方人士个人信息也遭泄密。美国前副总统丹-奎尔以及前国务卿基辛格的个人信息竟然也在其中。密码安全好似相处已久的恋人，平时虽无特别的感受，但等到不得不分手时才感到追悔莫及。

通常来说，密码安全性受个人技术能力，社会工程学知识，管理习惯等因素影响。不过好的密码管理习惯可以有效的增强密码安全性强度，甚至在密码发生泄露之后最大程度的减少损失。这里我们就来谈谈如何养成好的密码管理习惯。

密码创建

密码的创建非常重要，他是有效保护账户安全的第一步。强密码应该使用由数字和大小写英文字符组成，长度应该至少在 8 位以上，如此一来，该密码的可能组合至少为 10^6×24^2×7×8 种，使用暴力破解的方式代价极大。除此之外，密码字符应该尽可能多，甚至参杂标点符号。同时密码中不能出现有意义的单词，与个人生日、姓名有关的字符或者各类电话号码，总之不能是其他人能够轻易获取到的任何个人信息，密码应该只对你自己有意义。遗憾的是，通过分析 CSDN 泄露出的密码数据库，使用 123456789 作为密码的用户居然有 23 万之多，可见的密码安全在很多人心中的地位并不重要。

创建了强密码之后是否就意味着一劳永逸呢？当然不是的，你密码不应该是唯一的，理想情况下，每个账户都应该使用不同的密码。不过遗憾的是人类的大脑并不如电子记忆体一般，能够一次保存，永久读写，因此建议采取分级密码管理的方式为重要程度不同的账户创建不同的密码。比如，普通论坛账户对于安全性的需求较低，对于黑客来说也不会有特别大的价值，因此可以采用较为简单密码。而银行账户、电子支付账户和重要联系工具，比如电子邮箱、即时通讯账户则应该使用强度非常高的密码进行保护。在最近的 CSDN 密码泄露事件中，有不少用户的在注册邮箱中使用的密码和 CSDN 密码完全相同，导致了不可估量的后果。由于邮箱和大量 ID 绑定，各种 ID 都可以通过邮箱找回，因此一旦邮箱丢失，相当于丢失了所有采用此邮箱注册的 ID 。

密码使用

临时使用了旅馆的计算机之后，我朋友的 QQ 遭到盗窃，并向所有好友借钱。这是现在仍然流行的一种诈骗方式。由此可见，哪怕你有长达 18 位的标点，数字与字母混合密码，正确的使用方式仍然十分重要。密码使用时的第一个要点就是不要在不熟悉的计算机上输入密码。这些计算机可能安装有特殊的键盘记录程序，可以记录每一次击键输入。即便不得不使用密码，也可以采取以下措施：

使用屏幕键盘

不要记住登录状态且使用完毕后完全退出

回到自己的计算机上修改密码

密码在使用时还需要考虑到一些其他因素。除了老生常谈的“不要将密码泄露给他人”之外，有些用户的密码泄露居然是因为遭到了旁窥。在实际操作中，也应该使用额外的安全措施降低密码在使用中泄露的机会。除了为自己的计算机安装安全软件，用户还应该谨慎分辨要求输入密码的场合是否有异常，以免被钓鱼网站利用。有些网站提供了密码输入控件和额外的验证服务，比如短信验证码等，都是不错的安全加强手段，我们稍后会仔细谈一谈。

密码维护

除了日常使用以外，密码也需要定期的维护。维护密码最常见的一个目的就是防止遗忘。这个 ID 我已经多久没有使用了？我还记得他的密码吗？这个 ID 是在哪个网站注册的？他还有效吗？这些都是密码维护过程中需要注意的问题。除此之外，密码维护也包含了对密码的定期更换。谁都无法保证在密码使用过程中的绝对安全，因此定期对关键密码进行更换也是十分重要的。通常来说，新更换的密码应该从未在任何地方被使用过，且无法从已有的密码中被类推出来。密码维护还包含一个非常重要的步骤，就是检查已有的密码是否已经发生泄露。常见的检查方式就是通过网站的账户记录检查工具查看账户是否有异常的登录信息或者操作记录，依此确认密码是否发生了泄露。

密码维护能够使得密码安全性得到显著加强，是必不可少却常被人们忽视的一个步骤。

特殊密码（身份凭据）

QQ 令牌，淘宝手机密令， Google 身份验证工具，以及魔兽秘宝卡/安全令牌和各大银行的短信登录验证码/ USB Key 都是强度很高的额外身份验证工具，通常来说，他们的安全性强度排列如下：

令牌（动态密码，安全性最强）= 短信验证码 > USB Key > 秘宝卡