(插图:雷内·拉莫斯)
日本历史上的47个浪人在一次夜间袭击中以密码“山”(山)和副号“川”(河)互相识别。酷吧?现代的密码保护几乎没有那么有趣,但它同样重要。
存储正确密码的唯一安全方法是在密码管理器.那你为什么不用呢?几年前,在电脑杂志里调查的密码在美国,只有24%的人使用密码管理器。另外76%的人使用的密码一定是很容易被破解的,比如baseball或12345678,或者记住一个复杂的密码,然后到处使用。密码安全不是小事。考虑到这种风险的巨大规模,你需要尽一切可能保护你的密码安全。
即使你使用最好的密码管理器,它也不能保证你账户的安全——如果你使用密码管理器来存储相同的旧密码.你必须把旧的、弱的密码换成新的、强的密码。
上面提到的调查显示,35%的PCMag读者从不更改密码,除非是被迫更改。一般来说,这不是这样的一件坏事。国家标准与技术研究所不再建议每90天修改一次密码.NIST现在建议使用像“Correct-Horse-Battery-Staple(在一个新窗口中打开)只在必要的时候改变它们。但如果你使用了糟糕的密码,“必要时”意味着现在.
什么才是糟糕的密码呢?让我们看看糟糕密码的一些属性,然后给你一些关于如何正确设置密码的建议。
远离字典
每隔几个月,新闻媒体就会发布一份最糟糕的密码列表。我们看到很多容易输入的选项,比如123456和qwerty。方便做什么?当然。但也很容易被黑客破解。其他常见的(糟糕的)密码由简单的字典单词组成。我们已经看到棒球、猴子和星球大战在最糟糕的密码列表中。这些也很容易破解。
你的密码是如何被盗的一些安全的网站在输入一定次数的错误密码后就会被锁定,但很多网站不会。对于那些没有被恶意猜测锁定的邮箱,黑客可以在一份电子邮件地址列表和一份流行密码列表之间交叉,并设置一个自动过程,不断尝试组合,直到他们进入。
一个安全的网站不会把你的密码存储在任何地方。相反,它通过一个散列算法,是一种单向加密。相同的输入总是产生相同的输出,但是无法从产生的散列中返回原始密码。如果您输入的密码哈希值与存储的密码相同,则可以访问该密码。即使黑客获取了网站的用户数据,他们也得不到密码,只能得到散列。
但是,如果聪明的黑客知道网站使用了什么哈希函数,即使是经过哈希处理的弱密码也能破解。它们首先通过散列函数运行一个包含常见密码的巨大字典。然后,它们在捕获的数据中查找结果哈希。每一次匹配都是一个被破解的密码。具有最佳安全性能的站点使用一种称为salting的技术增强哈希函数,这使得这种基于表的破解不可能实现,但为什么要冒这个险呢?别再查字典了。
想法不同
一个朋友曾经告诉我她的完美密码:1qaz2wsx3edc4rfv。她只需将手指滑下键盘的四个倾斜的列,就可以“打字”。太完美了,她到处都用。这是一个很大的错误。
几乎每周都有一些公司或网站被入侵的新闻,成千上万的用户名和密码被泄露。聪明的受害者会立即更改密码。那些忽视这个问题的人可能会发现自己的账户在黑客重置密码后被锁定。
我们测试过的最好的密码管理器
见全部(4项)
那些黑客知道有太多的人会重复使用他们的密码。一旦他们找到一个可用的用户名和密码对,他们就会在其他网站上尝试相同的凭证。你可能不太担心失去你的企鹅俱乐部重写账户的权限,但如果你在银行网站上使用相同的登录名,你就有大麻烦了。
它变得更糟。如果别人控制了你的电子邮件帐户,他们可以先通过修改密码把你锁在外面。然后,他们可以通过电子邮件将密码重置链接发送到你的其他账户。担心了吗?
不要参杂个人
使用个人信息作为密码的基础是非常诱人的,但这是一个坏主意。不管你的狗叫罗孚还是卡丽熙,这个名字都可能出现在黑客用来进行暴力攻击的字典里。其他可能的信息,比如家庭成员的姓名缩写和出生日期,可能不会成为暴力攻击的目标,但如果有人想专门黑进你的账户,这些个人数据可能会引发试错猜测攻击。
不要以为你的个人信息是隐私。人们可以使用几十个网站来查找任何人的详细信息:地址、生日、婚姻状况等等。你的社交媒体帖子可能是另一个个人信息的来源,尤其是如果你没有妥善保管你的帐户.一个坚定的黑客(或者一个爱管闲事的邻居)很可能猜出你根据自己的数据建立的任何密码。
我们的编辑推荐
关上后门
如果你没有使用密码管理器,你肯定有忘记网站密码的经历。这太常见了,这就是为什么几乎每个登录页面都有一个“忘记密码了吗?”的链接。一些网站会向你的电子邮件地址发送重置链接,而另一些网站则会在你回答了安全问题后让你重置密码。这就为任何想黑进你账户的人打开了后门。
大多数网站为安全问题提供糟糕的选项。你母亲娘家姓什么?你在哪里上的高中?你的第一份工作是什么?如前所述,你的个人生活对任何有网络搜索技能的人来说都是一本公开的书。如果可能的话,忽略预设问题。创造你自己的问题,用一个独特的答案,你会一直记住,但别人猜不到。
如果网站不让你自己定义问题,那就更难了。在这种情况下,你最好的办法是使用一个令人难忘的答案,这完全是一个谎言。我母亲的娘家姓是福奇。我上的是More Science高中。我的第一份工作是排字打字员。这是有风险的,因为你可能会忘记你选择了哪个谎言。我将建议将这些奇怪的答案作为安全笔记存储在密码管理器中——但如果你使用密码管理器,你就不会在第一个地方遇到这个问题。
现在该做什么你在乎
我希望我已经说服您,使用通用密码是一个糟糕的想法,就像根据个人信息创建密码一样。如果你到处使用它,即使是最好的强随机密码也会成为一个负担。如果你已经准备好开始行动,这里有一些起点:
使用一个密码管理器.
切换到更好的密码管理器.
记得一个超级安全的主密码为您的密码管理器。
充分利用随机密码生成器升级你的旧密码。
你甚至可以创建自己的随机密码生成器在Excel中。
启用多因素身份验证无论可用。
如果一个安全的网站没有注意到安全问题,你仍然可能因为数据泄露而失去该网站的证书,但通过设置所有的密码长、强、唯一,你已经尽你所能保护你的在线账户了。
记住超级安全密码的简单技巧,嘿!现在你已经很顺利了,安全方面,考虑加一个虚拟专用网络,简称VPN你的工具箱。在安全网站上使用强密码意味着其他人无法侵入你的账户;添加VPN意味着任何人都不可能拦截你到这些安全网站的连接。
