创建与保存强密码

更新11 November 2021

目录

...加载目录...

    密码是保存你的数据和身份安全的重要工具。不幸的是,攻击者也很清楚这件事,并且他们有很多种方法来获取你的密码。

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    检验你的密码是否泄露

    • 搜索"Have I Been Pwned"来检查你的账号是否被报道过泄露事件。
      • 如果有任何账号泄露的报道,请立即按照下面有关设置密码管理器的介绍来修改你的密码。
    • 即使泄露报道里没有任何你的账号,你也应按照下面的介绍去做,因为很多账号的泄露还没有被报道过。
    了解我们推荐这样做的理由

    攻击者会寻找已被泄露到网上的密码。他们会不断尝试使用各种密码来登录你的账号,直到登录成功。因此,重复使用同样的密码尤其隐患重重。在Have I Been Pwned上检索你的密码是否在攻击者使用过的泄露名单里。

    避免常见的弱密码策略

    攻击者获取你密码最为常见的方法是:

    1. 他们可以通过如下方式猜测你的密码:
      • 利用你的个人信息,例如重要的日期、姓名,以及你喜欢的名人名言、歌曲,或是作家
      • 利用字典
      • 略微修改你曾使用的密码
      • 利用软件来暴力破解你的密码(利用穷举的方式逐一测试密码的排列组合直到找到正确的密码)
    2. 他们可以通过以下方式寻找到你的密码:
      • 你有可能把密码写下来保存的地方(例如你桌上的笔记)
      • 你在键盘上输入密码留下的痕迹
      • 其他网上已经泄露的密码
    3. 他们可以也可以通过以下的诱导方法来获得你的密码:
      • 安装一个恶意程序来记录你的密码
      • 采用钓鱼的方式制作一个假的登录页面引导你输入密码
      • 假装是售后服务人员或你认识的人来诱骗到你的密码(这也被称为社会工程)
    4. 他们也可以利用安全漏洞来获得你的密码:
      • 黑进存有你密码的网站
      • 盗取你浏览器里保存的密码
      • 从你手机上的应用程序盗取你的密码

    按照如下的指导方针来保护你免于受到这些攻击:

    • 只使用干净、时时进行软件更新的、受保护的设备来登陆你的账号,或者打开你的敏感信息。

    • 请注意,如果只单独采取以下策略的话,不能保证你的密码安全:

      • 用与你或你周边的人事物有关的词语或数字设密码,例如:
        • 你认识的人、宠物,或者组织
        • 生日、纪念日,或节假日
        • 电话号码或住址
        • 以及任何只要接触你或你身边人就能获得的信息
      • 用常用语设密码,例如名人名言、歌词,或诗句。
      • 将某个字符替换成类似的字母或符号(如将“a”替换成“@”等)
      • 用感叹号、数字,或其他标点符号做密码的结尾
      • 密码使用大写字母开头
      • 使用字典中的一个词
      • 常常修改密码

    按照如下的指导方针来保护你免于受到这些攻击:

    使用密码管理器

    • 下载KeePassXC (适用于Linux,Mac,以及Windows系统), 下载KeePassDX (适用于安卓系统), 或者下载StrongBox (适用于iOS系统).
    • 不要重复使用密码。
    • 使用密码管理器生成和保存较长的、随机的,独一无二的密码用于你的每一个登陆账号。
    • 你也许会想和你的同事一起开始设置和使用密码管理器。你们可以互助互勉。
      • 你也许会想熟悉一下如何安全地共享密码的流程。但是,只要条件允许,请为每一个平台或服务的户头单独分立登陆账号,因为这样做比多人共用一个账号共享密码安全。
    • 阅读我们的的KeePassXC and KeePassDX指导手册。
    • 如果你需要一个在线的密码管理器,请参考下一个部分的内容。
    了解我们推荐这样做的理由

    保护设备和账号安全需要既长、又随机,又独一无二的密码,但没有任何人的大脑能够完全记住这些密码。密码管理器能够为你生成和保存符合要求的密码,并且通过加密来确保其安全。

    我们推荐KeePassXCKeePassDX,和StrongBox。这些密码管理器可以免费使用,并已经通过了社群内专家的安全认证,且持续更新维护。它们将密码保管在本地,意味着你可以决定密码存储位置以及方式。

    备份你的密码管理器数据库

    了解我们推荐这样做的理由

    不管是遗失单一的某个密码,还是同时遗失一组密码,都会对你造成可大可小的影响,大到失去和全部联系人的联络或者受到经济损失。请定期备份你的密码数据库。

    记住一些安全密码

    • Diceware密码生成法来生成密码管理器的访问密码或者其他你需要记住的密码(如设备解锁密码):
      • 首先你需要已编号的词汇列表和几枚骰子。
      • 摇五次骰子来得到一个五位数字(例如,6,2,5,1,1)。
      • 从列表里找到这些数字对应的词语。
      • 再重复五次。然后将这五组词语连起来得到一个登陆密码短语。
        • 不要在其他地方重复使用这个密码短语。
      • 接下来,利用密码短语里的这些词联想一些意象,注意词语的排列方式,这可以帮助你记忆密码短语
    • 试着定期输入这些密码,首先每天输入密码帮助记忆,之后至少每周一次。不断重温可以帮助你牢记这些密码。
    了解我们推荐这样做的理由

    有些密码你必须记住,包括密码管理器的主密码。有些手段可以帮助你设定又好记又难猜的密码,即使一个非常聪明的攻击者使用密码破解器也未必能猜到。

    如果你需要在密码管理器之外保存一些密码或者能让你找回账号的备份代码

    • 如果你不得不将密码记在纸上,请确保它们保管在安全的地方,如保险柜或者抽屉内。
      • 确保你的密码不会被路过的人轻易看到或者很容易被找到被复制极为重要。
      • 不要将密码保管 在你的钱包里。
    • 一旦你不再需要,请立即销毁记有密码或备份代码的纸张。
    • 或者你可以将这些密码保管在另外的设备上。你可以将它们隐藏在备忘录里,但要注意不要写注释。
    了解我们推荐这样做的理由

    长密码一般比较难记。密码管理器不能保存的密码(如设备解锁密码)请考虑写下来并用物理锁保管。

    如果你决定使用在线密码管理器

    • 请不要将高度敏感的账号信息(例如金融账号或找回账号的登录信息)保存于在线密码数据库里。
    • 使用双重因素身份验证来安全登录你的在线密码数据库。
    • 我们推荐Bitwarden这个在线密码管理器。
    了解我们推荐这样做的理由

    自动在不同设备上同步数据的在线密码管理器方便使用。它们将你的密码加密存储于服务器上。然而,在线密码管理器的风险更大,攻击者可以在你不知道的情况下破译并获得这些加密存储的数据库。

    我们推荐 KeePassXCKeePassDX,和StrongBox因为它们将你的密码存储于本地而不是线上。如果你决定使用线上密码管理器,我们推荐你进行如下措施来进行额外密码保护。

    如果你需要共享密码

    • 只要条件允许,就请避免共享密码:
      • 如果你不得不与某个朋友、家人,或同事共享密码,请使用临时密码。等到他们不再需要使用密码时,再重新设定更安全的密码。
      • 请考虑为同一户头分立登录账号,许多服务或操作系统都支持这种操作。你可以管理这些账号的访问和操作权限。这些基础安全指导手册可以让你了解如何操作:安卓系统iOS系统, LinuxMac系统,以及Windows系统
      • 通过设定使得你和其他人可以共用密码管理器。KeePassXC支持这种操作
    了解我们推荐这样做的理由

    每次你共享一个密码,就如同造了一把备用钥匙给别人,或是像给盗贼留了一扇开着的门或窗。事实上,这比给出去的备用钥匙和开着的门窗更危险,因为共享密码留下的后门可以被远端设备轻易利用,而你甚至不会察觉到。所以尽量避免共享密码,减少这些后门和受攻击的风险。

    如果你收到索要密码的邮件、电话,或者短信,不要给出你的密码

    • 查看那些发出索要密码消息的网站或应用程序,确认密码请求的确是来自平台本身。
    • 如果索取密码的信息看上去来自于你认识的人或者办公室,请使用另外的渠道直接与他们取得联系,以确认消息来自本人。
      • 例如说,如果消息来自于邮件,请与本人打电话确认。
      • 不要回复邮件或点击邮件中的链接。
    • 警惕那些让你提心吊胆、产生好奇,或是让你觉得你会错失良机、让你不细想赶快回应的消息。不要立即反应,而是要保持清醒,采取其他方式先来确认消息的真实性。
    了解我们推荐这样做的理由

    攻击者常常会假装诸如银行客户经理或是技术售后部门代表之类的人来诱骗你的个人敏感信息。攻击者特别擅长利用你情绪上的弱点和常人的本能来得到你的密码。

    如果你收到索取密码或其他个人敏感信息的电话、邮件,或短信,或者其中带有的链接让你点击提供这些信息,这很有可能是诈骗消息。

    何时修改密码

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    你可以告诫身边可能受到信息泄露影响的人来将伤害减到最小程度。

    请查阅我们的社交媒体指导手册和基础安全手册来了解如何在各设备上修改密码:安卓系统iOS系统Linux系统Mac系统,还有Windows系统

    了解我们推荐这样做的理由

    研究表明不断更新密码并不能提高安全性。当人们被要求经常性地更新密码,他们会下意识地只对旧密码做很小幅度的修改,而不是完全设定一个全新的密码。想要深入了解这些研究,可以阅读这篇文章

    当新的数据信息泄露发生时修改你的密码才比较重要。但是因为我们并不总是能知道信息泄露是什么时候发生的,我们还是推荐每几个月或每年更新密码,或是当你遇到前述的情况,有信息泄露的可能,需要立刻修改密码。

    请注意修改密码的场合以及是否有别人能看到

    • 如果你在公共场合输入密码,请注意四周是否有监控。
    • 查看四周是否有人偷看你在键盘或者手机上键入密码。
    • 使用防窥膜来保护屏幕,让他人难以看到你输入的内容。
    了解我们推荐这样做的理由

    想要对你不利的人会监控你输入密码的操作。曾有一名社运人士因被诬告煽动叛乱而被没收手机。她的手机并没有解锁,且她拒绝提供解锁密码,但是检举方通过调查她的日常行为,获取到密码解锁了她的手机。他们注意到她住处的电梯有监控摄像头,通过调取监控记录找到了她的手机密码。

    使用双重因素身份验证(又叫做2FA或MFA)

    • 查看哪些平台支持2FA.
    • 为以下平台或服务设置2FA至关重要:
      • 你的银行或金融账号和应用程序
      • 你的邮箱账号、社交媒体账号,或者你用于登录其他应用的账号
    • 你的2FA选项也许包括:
      • 使用验证器应用程序或者软件,例如谷歌验证器、Okta验证器,或Duo验证器。我们推荐安卓用户使用Aegis,苹果iOS用户使用Raivo OTP
        • 当你使用验证器应用程序时,请特别注意不要让你的手机感染恶意软件。
      • 使用硬件设备——通常叫做安全令牌、加密狗,或者U盘钥匙——该设备让你可以插入计算机接口或通过近距离无线通讯技术(NFC)连接电子设备。
        • 一些主流安全令牌包括Yubikey,尼特罗基(Nitrokey),谷歌泰坦Key(Google Titan Key),以及Thetis Key
        • 硬件验证器也许不适用于手机和移动设备。
    • 你可以用同一个验证器应用程序或硬件验证器设置不同平台的账号,或者,你也可以为同一个账号设定多种2FA方式来加强保护力度。
    • 一旦你在设备上设置好2FA,以上两种2FA选项就不再需要网络连接才能生成验证代码。与此相对的,使用邮件的2FA需要网络连接。
    • 2FA的方式从安全级别来考量,验证器应用或者硬件验证器是最安全的,其次是邮件和短信。另外,如果你身在国外,或者手机无服务,你将无法收到验证短信。
      • 手机短信是未加密的,攻击者可以在你收到之前轻易拦截这些验证短信。
    • 设定好2FA以后,每次登录,除用户名和密码之外,你还要通过2FA来额外验证你的身份,也就是使用你的硬件验证器、验证器应用生成的验证码,或者邮件或短信发送的验证码。
    • 一旦你设置好2FA,请不要取消。有些平台或许会允许你停用2FA,虽然停用2FA也许有一时便利,但请考虑这对你的账号安全带来的影响。
    了解我们推荐这样做的理由

    登录任何账号都应该有多种保护措施。如果第一层保护被破坏,你还可以仰赖其他几层来保护你的数字资产。多重或双重因素身份验证(MFA或2FA)就是通过硬件、邮件等方式来实现的额外的保护层。虽然很多人认为手机短信验证最方便,但这种方式却是2FA之中安全性最薄弱的。

    使用2FA也许会带来额外的操作负担,但请牢记:如果这对你来说意味着麻烦,那么它对犯罪分子或试图窃取你账号的人就更加麻烦。从长远考虑,你的账号丢失、被黑,或被恶意人士监控才是最得不偿失的。

    请妥善保管2FA的备用验证码

    • 如果你启用的2FA提供了备用验证码,请将备用验证码保管于密码管理器中。
    • 理想情况下,这些验证码应该与其他账号登录信息分开保存。请于另外的设备上单独建立一个KeePassXC数据库。
    了解我们推荐这样做的理由

    当你第一次为你的账号启用2FA时,大多数互联网平台会给你一系列备用验证码。一旦你失去了2FA的验证设备,这些验证码将是你找回账号的唯一保证。这些验证码永远不会过期,因此特别需要妥善保管,否则任何人都可以使用这些验证码来进入你的账号。

    请避免使用生物识别信息(如指纹或人脸解锁)

    了解我们推荐这样做的理由

    生物识别信息可以让你快速刷脸或刷指纹登录设备。然而,大体上这种方式解锁设备或账号并不安全。不同于密码,你无法随时随地修改你的指纹。而政府或公共服务(如机场等交通设施)要求人们必须提供生物识别信息。这就给了想要不经你允许获取你账号的人一个可乘之机。如果想对你不利的人以物理方式胁迫你,以生物识别信息来解锁你的设备比获取你的密码来解锁设备更容易。

    设定更安全的账号恢复问题

    许多网络平台在你新建账号时要求你设置“安全问题”或“账号恢复问题”。请设置较为难猜的问题:- 设置答案时使用只有你知道的虚假信息或者不相关的信息。- 你可以用密码管理器来生成一个随机码来作为答案。- 将你的答案保存在密码管理器中,所以你不会因为忘记答案而无法登陆。

    了解我们推荐这样做的理由

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    延伸阅读