VPS    微软    Win10    苹果    Office2016

建立自己安全可靠好记的网络密码体系!个人密码安全设置策略建议与技巧

 思考讨论, 技术教程, 杀毒安全       2015-10-22
建立自己安全可靠好记的网络密码体系!个人密码安全设置策略建议与技巧

随着网络时代的发展,大家不可避免地都会注册各种网站、邮箱、游戏、通讯、生活服务,甚至是电商购物、网上银行、理财等各种各样与现实生活/金钱挂钩的账号,安全性似乎越来越重要。

而最近网易邮箱和之前 CSDN 等大规模的账户密码泄露事件也给人们敲响了警钟,日益频繁的密码和个人信息泄漏事件,加上互联网上越来越成熟和体系化的黑色产业链,很难说下次自己的帐号会不会遭殃。因此,我们非常有必要为自己的账户安全设计一套既容易记忆又难以被破解的密码体系,尽可能地远离风险和麻烦……

不要放任你的密码成为 “万能钥匙”!

在现实生活中,我们都会选择 “一把钥匙开一扇门”,谁都不希望自己的家门、车门、公司门、宿舍门、所有的抽屉、甚至是保险箱都用同一把钥匙吧?因为如果这把 “万能钥匙” 一旦丢失,损失将会非常惨重!!然而,在网络上,大多数人却贪图方便,一直使用 “万能钥匙” 的密码策略——几乎所有场合都设置成同一个密码,安全隐患极为巨大!

密码安全

因为这样,无论你将密码设置得多么的复杂,只要有一个网站出事泄露出来,你几乎所有注册过的网站和服务都会全部沦陷。黑客们一扫描,很快就发现这个帐号密码组合能用于多个网站,人家肯定愉快地拿着你的帐号想尽办法“善加利用”了,这危险完全可以想象得到。

因此,「绝对不要将所有网站设置成同一密码」可以说是账户安全中的最重要也是最基本的原则!只有使用不同的密码,你其他的账户才不会受到连累。不过,很多人也觉得,为每个网站每个账户都设置一个不同的密码好像不太现实,毕竟会大大增加记忆的负担。其实,我们可以利用一些「密码设置技巧」来帮助你记忆的,下面我们会提到。

怎样的密码才够安全并难以破解?

在谈论设置安全的密码体系之前,我们先归类一下那些常见的“不安全”的密码设置,如果你犯了以下的“错误”,强烈建议你认真看完本文并更换全部的密码。

不安全的密码举例:

  1. 使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等  (易因个人信息泄露被猜解)
  2. 与帐号名称/网站名称相同或仅仅加上几个简单字符 (如注册的帐号为 iplaysoft,密码设置为 iplaysoft123)
  3. 简单的密码,如:000000、888888、123456、qwerty、aaaabbbb、abc123、abcdef
  4. 长度少于6位的短密码 (和简单密码一样,太容易被暴力破解或字典破解)
  5. 使用简单的英文单词、纯英文、纯拼音、纯数字、顺序排列的字符、键盘连续排序的字符等

设置一个高强度好密码的原则 (难以被猜解的密码)

  1. 密码长度尽量设置为8位或以上
  2. 使用英文+数字且包含英文大小写,如果网站允许,请务必尽可能加上特殊符号 (如 !@#$%^ 等)!!!
  3. 密码没有明显的规则和组成规律
  4. 好的密码是自己能轻易记住,但别人看起来是毫无意义的乱码 (防止被别人轻易记住)

优秀密码生成技巧:要够复杂够安全,还必须好记!还不能都一样!!

上面的几点原则已经告诉我们怎样才算是一个优秀靠谱的密码了,譬如这个:$aMYcy94gHwz!On#,它既包含了8位以上英文大小写+数字+符号,符合上面说到 “4要5不要 ” 的安全要点,没有明显的组成规律,对他人看来毫无意义,只不过是一组无厘头的奇葩字符串,而我却能轻易看懂并能轻松记住!下面我们来解释一下吧。

密码安全

我们都知道,大脑如果要记忆大量不同的密码肯定会鸭梨山大。但如果我们全部的密码都遵循一套 “由自己制定且只有自己知道的密码生成规则”,那么记忆起来就容易得多了。我们举个简单例子,首先选取一个用于记忆的基础密码 (称为记忆密码),然后根据网站名称的不同,为记忆密码套用如下的规则:「网站名前两字母的小写与大写 + 记忆密码 + 网站名后两字母的大写与小写」。

譬如,我的基础记忆密码是「 Ycy94gHwz!」,亚马逊 名称为 Amazon (前两字母为 aM,后两字母为 On),那么生成的密码就应该是「aMYcy94gHwz!On」、苹果帐号 Apple 的密码就是「aPYcy94gHwz!Le」、异次元网站 iPlaySoft.com 的密码就是「iPYcy94gHwz!Ft」以此类推……然后,我们还可以适当加一些符号来将密码包围起来,比如亚马逊最终的密码是这样: $aMYcy94gHwz!On#

不夸张地说,只要你不把这规则告诉他人,这种密码就算被有心人偷瞄几眼,基本他也不会记得住,而根据测试,暴力破解也起码要3千9百万年!想破解想偷窥?我不怕不怕啦……

密码安全

当然,有人会有疑问为什么我要把这个规则设置得这么奇葩?简单点用「记忆密码+网站名缩写」不就好了吗? 你想想看,如果某人百度账号的密码甚至为 abcd123_baidu,那么请问他的谷歌密码是多少?如果规则简单到别人一看就能猜出来,你的密码策略就没有安全可言了,不是吗?

看到这里你可能会说:道理我都懂,规则可以奇葩,但上面的记忆密码「 Ycy94gHwz!」也太难记了吧?OK,如果我告诉你这个密码是取自于「异次元就是个好网站!」的拼音头字母+数字谐音「异(Y)(c)(y)(9)(4)(g)(H)(w)(z)!」,你还觉得难记吗?

设定容易记忆且足够复杂的密码的方法技巧

其实,设置一个容易记忆但又足够奇葩的高强度密码并不难,你大可以找一首喜欢的歌名或像上面一样用任意一句话来构造自己的记忆密码,下面就列举一些可供你参考的密码设置技巧吧,如果你有更好的点子,不妨留言分享一下。

  • 选取自己喜欢的某歌名、歌词、一句话的拼音或英文单词首字母组合:如歌名《Never Had A Dream Come True》可选取为「nhAdct」,「异次元值得推荐!」可选取为 「YCYzdtj!」,你还可以适当变化大小写或加入数字、符号。
  • 将拼音或英文句子的顺序反转或变换,如 「Yes,Good!」 变成 「!dooG,seY」
  • 将数字或符号按一定的规律插入到密码中,如 iPlaySoft 与 7-1>5 拼凑,每隔两个字母插入变成 「iP7la-yS1of>t5
  • 如果你打五笔,也可以将某个词语的字根进行拼凑
  • 选一个简单的单词,然后将手指在键盘上向上移一格。比如基础密码是「yesno」,按键盘时就变成了「63wh9」
  • 终极大招:将上面的各种方式融会贯通,并继续发挥想象力,找出更加“无厘头”又好记的“终极密码”

到此,只要你能制定好一个自己私人的密码生成规则,并且确立一个足够强度但又易记的记忆密码之后,你就可以轻松地实现“一把钥匙开一扇门”的密码策略了,而且还不会给记忆造成负担。于是,从此我腰不疼腿不酸,整个人都变好了……

安全密码

借助第三方密码管理软件保存并高效地使用密码

当然,由于按照规则生成的密码很多时候可能需要“思考”才能想出密码来,因此登录输入时效率可能稍低。其实,我们可以借助一些靠谱的密码管理工具来管理、保存、搜索、并提高输入密码的效率,下面是一些在异次元上推荐过的密码软件,大家可以根据自己的喜好选用:

  • 花密:一款免费实用的密码生成工具,和本文提到的思路非常相似,它利用(记忆密码+网站名)的组合再进行加密来为每一个网站生成一个复杂难以破解的密码,如 hello + iplaysoft 的最终密码是 Ab7C8CdD23bb785f,虽然足够复杂,但唯一的缺点就是你记不住,每次都需要借助它来计算密码,好在它在所有平台都能用。另外,它只负责计算密码,不负责保存管理。
  • 1Password:非常值得推荐的密码管理器!跨平台支持 Win / Mac / iOS / Android,可以管理和保存你所有的密码,并加密后保存在本地,不同设备间可通过 Dropbox / iCloud 同步数据,在电脑浏览器或手机浏览器上都提供有插件,可以一键自动填写用户名密码,实现电脑和手机上的一键登录网站或一键登录支持 1Password 的 APP,也是小编目前最为推荐的密码管理软件。
  • LastPass:和 1Password 功能类似,不过 Lastpass 是一个云端的服务,提供网页版以及客户端下载,你所有密码数据都保存在 Lastpass 的服务器上,想要使用或查询密码必须联网。Lastpass 也提供了浏览器插件,能实现一键登录功能。
  • Keepass:开源免费的密码管理工具,可以在本地储存各类密码信息,也足够的安全。但由于开源,不同平台不同版本的统一性不强,自动填写密码之类的功能需要另外下载插件实现,但好处是插件众多!
  • iCloud Keychain:苹果 Mac OSX 和 iOS 系统下自带的密码自动填写功能,使用 MaciPhoneiPad 等苹果系设备的同学可以使用,缺点是没有 Windows 版,不能在苹果以外的设备使用。

另外,很多人喜欢使用纸条或小本子来记录各个网站密码,有些人甚至还将它们放在办公桌上,这点非常不可取。因为这很容易被别人有意无意地看到你密码,而即便“安全”地放在家里的抽屉,也试过有人家里失窃后被小偷顺走了密码本,后果可想而知;而使用明文文本如 txt 、doc、xls 或者在一些笔记类软件里面记录密码同样容易泄露和丢失。

因此,合理使用可信的密码管理器软件不仅可以大大减轻你对密码的记忆压力,也能很大程度上保护你的密码不易被盗,而且还能帮助你快速搜索、调用你的密码进行一键登录而无需动脑筋,让你每天上网更轻松。

开启二步验证,为密码以外增加一道额外的安全防线!

话说至此,咱们设置好复杂安全的密码就足够了吗?不!我们还能为账户再加上一道安全防线——它就是「二步验证」(又叫动态密码或两步验证)。如今越来越多重视安全的网站开始提供二步验证功能了。简单来说,它就是在你输入正确用户名密码之后,还要求你输入正确的手机验证码、或其他形式的验证信息才能登录。

二步验证

在开启二步验证后,即便黑客在盗取到你的用户密码,他也因获取不到你的手机验证码从而无法成功登录你的账户。因此,在一些比较重要或比较常用的网站上,如果有提供二步验证功能,我们强烈建议你不要嫌麻烦,请务必开启它!开启它!开启它!重要事情说三遍!因为它真的能非常有效地保护你的账户安全!

以我常用到的帐号为例,淘宝天猫苹果 Apple ID微软帐号、Google 帐号、印象笔记DropboxSteam 等等这些服务都已提供二步验证了,只要进入账户安全设置里面就能找到相关的选项。总之一句话,谁不开谁吃亏……

安全问题和安全回答功能也需重视!

密码够复杂了,每个帐号都不一样了,二步验证也开启了,这样够了吧?还不!!除了帐号和密码以外,我们常常还会忽略一个非常容易被黑客利用的破解入口——「忘记密码 / 取回密码」功能。在部分网站上,即便没有邮箱访问权的情况下,还是可以通过“回答安全问题”这一功能实现修改密码取回帐号的。

而大多数网站通常提供可设置的安全问题类别很少又很常见,譬如你的出生地、你的生日、父亲的名字等等。黑客们可以在某个网站泄漏出你的部分个人信息中猜测出问题答案 (譬如从你的快递收货地址猜测出生地、或者你本来就填写在某网站上的生日日期等),又或者身边不幸遇到“有心人”刚好又了解你的背景,那么还是不能排除这一途径夺取帐号的可能。

密码保护

因此,我们还是得在问题答案上花点功夫。不过你也不用想得太麻烦,其实只要按照上面提到的 “密码生成大法” 如法炮制不同网站的回答内容即可,这样就已经比较全面地保护好我们各种帐号的安全了。如此执行之后,你的整个密码体系也变得相对可靠和安全了!

总结:

至此,相信你看完本文之后你也会开始考虑建立属于你自己的密码体系了吧,这很好!不过请记住,这世界上没有绝对的安全,一个优秀的密码策略可以尽可能地降低风险,但它并不能将风险降为零,平常上网的一些安全习惯也很重要,譬如不随便打开来路不明的程序、尽量选择靠谱的邮箱服务、不要在 QQ微信 或其他聊天工具上发送你的密码等等,当然这又能写一篇长文章了,我们择日再谈吧。

最后,还有一点,请尽可能教会自己的家人/女朋友/老婆,让她们也了解并重视密码安全,你以后肯定会少很多麻烦。至于好基友么,请把这篇文章分享给他们吧……

  • 不愧是大神,看完后受益匪浅!

    6 10
     
  • 好文必须点赞!对我很有用,看来密码全部要“升级换代”了

    10 10
     
  • 挺像我现在的密码方式,咱们看来是想到一块去了。以前用过花密,后来还是觉得密码要自己记得住才更方便。

    10 10
     
  • 其实可以简单一点:每个网站注册的时候名字不一样,可以简单的把网站名加在基础名的后面,比如 ABi_iplaysoft,然后就可以都用统一的密码了,你觉得呢?

    10 10
     
    • 那你网易的密码估计就是ABi_163了

      9 10
       
    • 然而楼上你并不知道用户名,哈哈

      10 10
       
  • 好久没有回复的冲动了,小编这次用心了!个人觉得工具软件终究还是鸡肋,小编提出的记忆方法借鉴下。。我一直用的是我信用卡的卡号,记起来很累,不过也有方便的地方,问别人要钱向当地方便,哈哈

    7 10
     
  • 如果对网站域名用某种规律进行编辑再作为密码也是可以的

    6 10
     
  • 目测回复里面有水军!

    7 10
     
  • 没必要那么复杂, 不常用的统一一个密码,如各种论坛,各种常见要注册的。邮箱用统一一个密码。和金钱挂钩的账户,用复杂的密码。就差不多了。

    8 10
     
    • 然而各种社工库针对的就是你这种密码

      10 10
       
  • 首先设定一个记忆密码,然后用手机9键代入,再在最后加上一个手势密码,密码签字取网站域名首尾1-2各字母,密码组合完成

    6 10
     
  • 密码:cptbtptpbcptdtptp

    吃葡萄不吐葡萄皮不吃葡萄倒吐葡萄皮

    10 10
     
  • 受益匪浅!

    7 10
     
  • 网络时代,有些涉及金钱帐号的密码是必须保存在纸上的,因为这些密码只有你自己知道,但是一旦遇到不测,那么这些帐号上的钱财便永久地被遗忘了

    10 10
     
  • 密码:while(1)Ape1Cry&&Ape2Cry
    (两岸猿声啼不住)

    密码:doWhile(1){LeavesFly();YangtzeRiverFlows();
    (无边落木萧萧下,不尽长江滚滚来)

    密码:for_$n(@RenSheng)_$n+=”die”
    (人生自古谁无死)

    9 10
     
    • 这个强啊。

      6 10
       
  • 好文章,很有启发

    8 10
     
  • 然而各大银行只能6位纯数字密码……

    6 10
     
    • 真心是这样。。。。

      10 10
       
  • 把密码分3个情况
    1. 无关紧要,临时注册的,被盗号也无所谓的哪种,就直接固定用户名加简单密码
    2. 相对比较重要,就算被盗号也能找回,也没有损失的,就用固定用户名加固定密码
    3. 非常重要,一旦泄露,无法挽回的,特殊用户名,特殊密码.
    小X说的非常符合第三种情况.

    8 10
     
  • 网站改名了咋办…

    7 10
     
    • 那就惨了,不过好在现在的网站都有密码找回功能。

      8 10
       
    • 这个问的太好了!

      8 10
       
  • 写的非常棒!让人受益匪浅!异次元是个好网站!

    6 10
     
  • 好赞,正想看这样的文章呢!

    10 10
     
  • 不错不错 长见识了,,,回头就改密码

    6 10
     
  • 个人感觉1Password的密码库不是更容易被一锅端吗?特别是在PC上,随便什么软件找到这个库,打包传走,同时再记录一下键盘,所有密码和机密信息都被干走了……

    8 10
     
  • 想了一个办法:建立一个安全笔记,里面增加了数个5M的MP3文件,以此增加整个密码库的占用大小,被偷走的过程也没几百K那么容易打包一锅端了吧……

    7 10
     
  • 额,不错的方法!我有自己的一套密码策略,呵呵~~

    9 10
     
  • 安利最棒的密码管理工具 passwordstore.org

    10 10
     
  • 我会告诉你们我所有的网站的密码都是一个动漫的拼音+110吗!!!经常很久没登陆过的网站,不记得是否注册过,随便一试这通用用户名和密码就登进去了,,,以前一个网站设置一个,刚开始还好,还记得,时间一久,不是经常登录就GG了,然后找回密码,修改为同意的就OK了~

    10 10
     
  • 受益匪浅,感谢。

    7 10
     
  • 当你写出来黑客就知道你的想法了。

    10 10
     
  • 我从未见过如此厚颜无耻的异次元233333

    6 10
     
  • 用excel记再加密可行么?

    9 10
     
    • 可以删掉扩展名,然后丢进加密压缩包

      6 10
       
  • 设置复杂不相同的密码,用个本子记下。不做任何密码同步。

    9 10
     
  • 很不错的文章 有启发性 谢谢小X了 😀

    10 10
     
  • 收到无数邮件提示改密码……Y?

    8 10
     
  • 5年前就开始使用密码生成规则了
    但是我认为最安全的,还是把重要的账户设置一个完全无规则的复杂密码,自己记下来,开启二步验证安全回答,才是最好的.

    7 10
     
  • 受益匪浅,这次一定要冒个泡回个帖!

    6 10
     
  • Keepass2Android 路过。。。

    8 10
     
  • 我的密码我自己都记不住。因为用的lastpass。当然,如果这个破了,也就没啥说的了

    8 10
     
  • 这波不亏

    6 10
     
  • 我都是用txt文本保存到自己电脑上,再用EFS加密,再把私钥保存好,偷走txt没用,偷走txt还偷走私钥也没用,只有我自己的电脑+自己的用户名和密码+私钥才能打开,这样够安全了吧。

    8 10
     
  • 请问『淘宝』也开通二步验证了吗?是短信的方式app的方式?

    8 10
     
  • 不错 获益匪浅

    10 10
     
  • 老大,感觉你跑题了。再复杂的密码,如果像网易那样用明文存储,那都是不安全的。
    就我所知,discuz系统,都是把用户密码加密后保存的,即使拿到了密码数据库,看到的也是一堆乱码。还有,linux系统,可以看到密码文件,但全都是乱码。
    所以我觉得,用户信息安不安全,主要在于系统设计的好不好。其次才是密码的复杂程度。

    7 10
     
    • 真理…

      9 10
       
    • 没认真看文章的吧…… 楼主这里并不是主要说密码的复杂程度,而恰恰本文就是说,当某个密码被明文泄露之后,防止其他网站的密码也遭殃的技巧。

      9 10
       
  • 谢谢楼主的奉献了!!!! 干货!!!!!!!!!!!!!!!!

    7 10
     
  • 真不愧为大神啊!!!!膜拜了,脑洞大开啊

    7 10
     
  • 现在用的密码就是这样的规则生成的
    也只有我自己知道记忆密码
    不过就是得把记忆密码写成纸条留给家人
    不然一旦挂了就各种银行、网贷的钱都不知道怎么取了

    8 10
     
  • 太牛了这个,评论里也有各种大牛规则,哈哈

    9 10
     





评论内容 (*必填):
Ctrl + Enter 快速提交