3. 如何创建与维护安全密码

目录

...Loading Table of Contents...

    很多让我们使用数码技术来轻松管理重要事务的安全服务,从登录计算机、发送电子邮件,到加密与隐藏敏感数据,都会要求我们记住密码。这些秘密的单词、短语或杂乱无章的字符串,往往提供了第一道,甚至有时候是唯一的一道安全屏障,用来防止别人未经您的许可就读取、复制、修改或销毁您的敏感资料。别人能通过多种方法得知您的密码,但您可以采取一些特定的策略、使用一个安全密码数据库工具安全密码数据库工具,如KeePass,来抵御他们。

    设定场景

    Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。Magda 最近在尝试登录她私人电子邮件帐户时发现她的密码被修改了。在重置密码后,她能成功登录,但当她打开收件箱时她注意到有几封新邮件被标记为“已读”。她怀疑某个有政治动机的入侵者可能知道或猜到了她同时用于若干个网站的密码。她正在与比她电脑经验更少的 Mansour 会面,打算要说明情况并表明她的忧虑。

    您将从本章节学到的内容

    • 一个安全密码的要素
    • 记住长而复杂的密码的一些诀窍
    • 如何使用KeePass 安全密码数据库来储存密码,而不用再记住它们。

    选择与维护安全密码

    一般来说,当您想要保护某个东西,您会用钥匙把它锁起来。房子、汽车和自行车的锁全部都有实体钥匙;受保护的文件有加密钥匙,银行卡有PIN码,电邮账户也有密码。所有的这些“钥匙”,无论是实体的还是电子化的,都有一个共通点:它们落到别人手上时也能同样有效地打开对应的锁。您可以安装高级防火墙、保护电邮账户和加密 硬盘,但如果您的密码太弱,或者密码落入别人手里,那您采取的措施都于事无补了。

    一个高强度密码的要素

    一个密码应该要很难被计算机程序猜解出来。

    • 加长:一个密码越长,电脑程序在一定的时间內把它猜解出来的可能性就越小。您应该尽量创建十位或以上的密码。有些人使用不止一个单词的密码,中间可能包含空格,这叫密码短语。这是个很好的主意,只要您使用的程序或服务允许您选择如此长的密码。

    • 复杂化:除了长度之外,密码的复杂性也能帮助预防自动的“密码破解”软件猜出正确的字符组合。如有可能,您应该在密码中使用大小写字母、数字和符号,例如标点符号。

    一个密码应该要很难被别人猜出。

    • 实用性:如果您因记不住密码而不得不把它写下来,那您就可能面临另外的危险,任何人,只要能看清您的桌面或者能暂时进入您家、接触到您的钱包甚至您办公室外的垃圾箱,都有可能对您造成危害。如果您想不出来一个长而复杂又能记得住的密码,以下的记住安全密码可能会对您有所帮助。否则,您还是应该选择安全的密码,但需要借助一个安全密码数据库来记录密码,例如KeePass。其他受密码保护的文件,包括微软 Word文档,都不应被信任用于此用途,因为通过互联网上随意获取的工具就能很快地破解它们。

    • 避免个人化: 您的密码不应该跟您个人相关。不要用您的名字、身份证号码、电话号码、小孩的名字、宠物的名字、生日,或别人稍作调查便可得知的其他信息来选择单词或短语作为密码。

    • 保持私密性: 除非确实有必要,否则不要与任何人分享您的密码。还有,如果您必须把一个密码分享给朋友、家庭成员或同事,您应该先改成一个临时密码再分享,等他们使用完了再把它改回来。通常还有一些分享密码的替代方法,比如可以为需要访问的个人另外创设一个单独的帐号。保持密码的私密性也意味着必须注意当您输入密码或通过安全密码数据库查找密码的时候,有没有人在您的背后偷看。

    如果有人知道了密码,要另外选择一个密码以减少损失。

    • 独特化: 避免把相同的密码用于一个以上的账户。否则,任何人得知密码后就可以获取您更多的敏感信息。这点尤为正确,因为有些服务很容易就能破解出密码。例如,假如您给 Windows账户和Gmail账户设置相同的密码,那么能实际接触到您的计算机的人,就可以通过破解前者的密码来获取后者的访问权限。同理,把一个密码倒过来拼写再用于另一个账户,也不是个好主意。

    • 定期更新: 定期更改您的密码,最好至少每三个月一次。有人会对某个特定的密码情有独钟而从来不更改。这不是一个好主意。您使用一个密码越久,别人把它推算出来的机会就越大。还有,如果有人能够使用您已经外泄的密码来访问您的资料,而您却毫不知情,那他们会一直偷窥,直到您更改密码。

    Mansour: 如果我相信某个人呢?那我把我的密码告诉他也没问题,对吧?

    Magda: 首先,您相信某个人而把密码告诉他,不代表着他就能好好保管密码,是吧?尽管我不会滥用您的密码,但我有可能把它写下来或者遗失了。这也许就是我陷入现在这个困境的原因!而且,这不仅是信任不信任的问题,如果您是知道密码的唯一一个人,当您的帐户被闯入,您就不需要花时间去烦恼应该责怪谁。好比现在,我就能确信是有人猜到了或破解了我的密码,因为我从来没有把它写下来或分享过给任何人。

    选择与维护安全密码

    一般来说,当您想要保护某个东西,您会用钥匙把它锁起来。房子、汽车和自行车的锁全部都有实体钥匙;受保护的文件有加密钥匙,银行卡有PIN码,电邮账户也有密码。所有的这些“钥匙”,无论是实体的还是电子化的,都有一个共通点:它们落到别人手上时也能同样有效地打开对应的锁。您可以安装高级防火墙、保护电邮账户和加密 硬盘,但如果您的密码太弱,或者密码落入别人手里,那您采取的措施都于事无补了。

    一个高强度密码的要素

    一个密码应该要很难被计算机程序猜解出来。

    • 加长:一个密码越长,电脑程序在一定的时间內把它猜解出来的可能性就越小。您应该尽量创建十位或以上的密码。有些人使用不止一个单词的密码,中间可能包含空格,这叫密码短语。这是个很好的主意,只要您使用的程序或服务允许您选择如此长的密码。

    • 复杂化:除了长度之外,密码的复杂性也能帮助预防自动的“密码破解”软件猜出正确的字符组合。如有可能,您应该在密码中使用大小写字母、数字和符号,例如标点符号。

    一个密码应该要很难被别人猜出。

    • 实用性:如果您因记不住密码而不得不把它写下来,那您就可能面临另外的危险,任何人,只要能看清您的桌面或者能暂时进入您家、接触到您的钱包甚至您办公室外的垃圾箱,都有可能对您造成危害。如果您想不出来一个长而复杂又能记得住的密码,以下的记住安全密码可能会对您有所帮助。否则,您还是应该选择安全的密码,但需要借助一个安全密码数据库来记录密码,例如KeePass。其他受密码保护的文件,包括微软 Word文档,都不应被信任用于此用途,因为通过互联网上随意获取的工具就能很快地破解它们。

    • 避免个人化: 您的密码不应该跟您个人相关。不要用您的名字、身份证号码、电话号码、小孩的名字、宠物的名字、生日,或别人稍作调查便可得知的其他信息来选择单词或短语作为密码。

    • 保持私密性: 除非确实有必要,否则不要与任何人分享您的密码。还有,如果您必须把一个密码分享给朋友、家庭成员或同事,您应该先改成一个临时密码再分享,等他们使用完了再把它改回来。通常还有一些分享密码的替代方法,比如可以为需要访问的个人另外创设一个单独的帐号。保持密码的私密性也意味着必须注意当您输入密码或通过安全密码数据库查找密码的时候,有没有人在您的背后偷看。

    如果有人知道了密码,要另外选择一个密码以减少损失。

    • 独特化: 避免把相同的密码用于一个以上的账户。否则,任何人得知密码后就可以获取您更多的敏感信息。这点尤为正确,因为有些服务很容易就能破解出密码。例如,假如您给 Windows账户和Gmail账户设置相同的密码,那么能实际接触到您的计算机的人,就可以通过破解前者的密码来获取后者的访问权限。同理,把一个密码倒过来拼写再用于另一个账户,也不是个好主意。

    • 定期更新: 定期更改您的密码,最好至少每三个月一次。有人会对某个特定的密码情有独钟而从来不更改。这不是一个好主意。您使用一个密码越久,别人把它推算出来的机会就越大。还有,如果有人能够使用您已经外泄的密码来访问您的资料,而您却毫不知情,那他们会一直偷窥,直到您更改密码。

    Mansour: 如果我相信某个人呢?那我把我的密码告诉他也没问题,对吧?

    Magda: 首先,您相信某个人而把密码告诉他,不代表着他就能好好保管密码,是吧?尽管我不会滥用您的密码,但我有可能把它写下来或者遗失了。这也许就是我陷入现在这个困境的原因!而且,这不仅是信任不信任的问题,如果您是知道密码的唯一一个人,当您的帐户被闯入,您就不需要花时间去烦恼应该责怪谁。好比现在,我就能确信是有人猜到了或破解了我的密码,因为我从来没有把它写下来或分享过给任何人。

    延伸阅读