创建与保存强密码
目录
...加载目录...密码是保存你的数据和身份安全的重要工具。不幸的是,攻击者也很清楚这件事,并且他们有很多种方法来获取你的密码。
但你可以通过运用一些重要的工具和策略,来防范这些把戏。
保护你的密码
- 访问你的账户和管理敏感信息(包括密码)时,请始终使用安全的、最新的、受保护的和可信赖的设备。请阅读关于手机和电脑的指南,以了解如何确保你的设备安全。
- 使用密码管理器。为了确保所有设备和账户的安全,你需要很长的、随机的且独特的密码,但是没有谁的大脑厉害到能够生成并记住这些密码。密码管理器为你生成并存储这些密码,并通过加密保护它们。要了解你可以使用哪些密码管理器以及如何使用它们,请查看我们的密码管理器指南。
- 使用双重身份验证(2FA或MFA)。双重身份验证(2FA),也称为多重身份验证(MFA),为您的登录系统增加了第二个身份验证因素。通过使用2FA,您可以确保即使有人设法猜到您的密码,他们也无法登录,因为他们仍然需要一个更难获取的第二个验证因素。要了解如何以最安全的方式使用2FA,请阅读我们的双重身份验证指南 。
阅读以下内容,详细了解如何保护您的密码和账户免受常见攻击。
创建一个强大的密码
简而言之,我们建议你使用离线密码管理器 创建所需的所有密码,密码管理器及其生成的数据库将存储在你的设备上,你只需保留几个能记住的长密码短语,用于解锁设备本身即可。
如果你更喜欢手动创建所有密码,那么为了确保密码足够强大,以下是我们建议你应该遵循的最低要求:
- 创建一个长密码——12个字符是你应该追求的最低标准,14个字符更好。
- 使用字母、数字和符号。
- 请注意,以下策略单独使用并不能使你的密码安全。然而,你可以将它们添加到一个强密码中,以使其更加复杂。
- 用相似的符号或数字替换字母(例如,将“a”替换为“@”或将“e”替换为“3”)。这是一种古老的策略,对于懂得如何破解密码的人来说非常常见。
- 在末尾添加感叹号、数字或其他标点符号——这也是一种已知的策略,可能会被试图破解密码的人猜到。
- 每个单词首字母大写——这也是一种已知的策略,破解你密码的尝试中可能会包含这种方式。
还请记得以下建议:
- 不要使用任何字典里面都有的单个词语。
- 不要使用常见的短语,例如引用名人名言、歌曲歌词或者著名诗句。
- 不要使用与你或你周围的人和组织相关的单词或数字,例如:
- 人名、宠物名或者组织名称,
- 生日、重要纪念日或者假期,
- 电话号码或者地址,
- 或任何其他一个人通过调查你和你周围的人就能找到的信息。
- 请记住,你不必频繁更改密码。要决定何时更改密码,请阅读何时更改密码 。
记住一些安全密码
即使使用密码管理器,你仍然需要记住几个安全密码,因为你要用它们解锁安装密码管理器的设备,以及解锁存储密码的密码管理器数据库。
- 使用骰子法 生成你可以记住的强密码:
- 如果你没有骰子,但需要生成一个你能记住的密码,你可以通过KeePassXC生成它。
- 或者,你可以使用“书本法”:
- 随机拿一本书,其内容最好与你的主要活动无关。
- 随机翻到这本书的某一页。
- 闭上眼睛,将手指放在打开的页面上,随机选择一个词语。
- 像这样重复6次,以获得由6个随机词语组成的密码短语。
- 请注意,这种方法安全性较低,尤其是如果你用的是办公室的书,因为它生成的密码短语随机性较差。但如果你不想安装软件,而且你真的用了一本随机的书或杂志,这样做倒也不失为一种好的替代方案,它至少能为你生成一个可以记住的长密码短语。
了解我们推荐这样做的理由
你必须记住几个重要密码,包括登录你安装密码管理器的设备密码,以及你的密码管理器主密码。骰子法可以帮助创建易于记忆但极难猜测的密码短语,即使对于那些拥有大量时间和技能并知道如何使用“密码破解”软件的攻击者来说,这样的密码短语也很难猜测。
如果你需要共享密码
- 只要条件允许,就请避免共享密码:
- 如果你真的想与别人共享密码,你可以设置KeePassXC以便进行协作使用。请参阅KeePassXC文档以了解如何操作。
了解我们推荐这样做的理由
每次你共享密码时,就像是制作了一把额外的房屋钥匙并将其赠送出去:这会增加其他人丢失那把钥匙的风险。实际上,甚至比这更危险,因为你的“房子”可能会被远处的设备轻易访问,而你却没有察觉。你应该尽量避免共享密码,以减少这种“攻击面”。
检验你的密码是否泄露
- 搜索 “我是否被泄露?”网站,查看你的帐户是否被报告为已泄露。
- 一旦在该网站上发现你任何帐户,立即更改它们的密码,并按照使用密码管理器的说明进行操作。
- 即使你的帐户没有显示在这里,你仍然应该遵循本指南中的说明,因为许多帐户泄露并未被报告。
了解我们推荐这样做的理由
攻击者会寻找已经被泄露并在网上可用的密码。他们会尝试你的帐户密码,直到找到正确的密码以便登录。因此,重复使用相同的密码特别危险。请搜索“我是否被泄露?”网站,查看你的密码是否出现在攻击者使用的任何列表中。
了解攻击者如何猜测你的密码
以下是攻击者找到你的密码的最常见方法:
- 他们可以通过如下方式猜测你的密码:
- 通过使用你的个人信息,例如重要日期或姓名,或者你喜欢的名人名言、歌曲或作者,
- 通过使用字典,
- 通过稍微修改你之前使用过的密码,
- 通过使用软件,尝试所有可能的组合来解锁你的帐户。
- 他们可以通过以下方式寻找到你的密码:
- 你用手写方式记录密码的地方(例如,桌子周围的便条),
- 你输入密码时所键入的内容,
- 已经被泄露到网上的可用密码。
- 他们可以也可以通过以下的诱导方法来获得你的密码:
- 安装恶意软件来记录你的密码,
- 通过网络钓鱼让你在假的登录页面输入密码,
- 假装是客服人员或者你认识的人,骗取你的密码或其它信息(这也称为社会工程学)。
- Read more on how to recognize attempts at pressuring you to act quickly or appeal to your emotions in our guide on malware.
- 他们会利用漏洞:
- 攻击他们想要用你的密码登录的网站,
- 如果你的密码保存在浏览器里,他们会窃取这些密码,
- 从你的手机应用程序中窃取密码。
如果你收到索要密码的邮件、电话,或者短信,不要给出你的密码
- 查看那些发出索要密码消息的网站或应用程序,确认密码请求的确是来自平台本身。
- 请阅读我们的指南,了解在使用社交媒体时如何保护自己和你的数据,以查找不同服务可能发送给你的警报记录。
- 如果索取密码的信息看上去来自于你认识的人或者办公室,请使用另外的渠道直接与他们取得联系,以确认消息来自本人。
- 例如说,如果消息来自于邮件,请与本人打电话确认。
- 不要回复邮件或点击邮件中的链接。
- 请注意,当一条消息试图让你感到恐惧、好奇,或者让你觉得机会难得,或者以其它方式促使你迅速且不加思考地行动,这很有可能是网络钓鱼尝试。请暂停一下,保持冷静,并寻找其它方法来验证此类消息。
了解我们推荐这样做的理由
攻击者常常会假装诸如银行客户经理或是技术售后部门代表之类的人来诱骗你的个人敏感信息。攻击者特别擅长利用你情绪上的弱点和常人的本能来得到你的密码。
如果你收到电话、电子邮件或其它消息,要求你提供密码或其它敏感信息;或者,如果电子邮件、短信包含一个链接,要求你点击以提供以上敏感信息,这些都很可能是有人在骗你。
Read more on how to recognize attempts at pressuring you to act quickly or appeal to your emotions in our guide on malware.
阅读监控自我防卫指南:如何避免钓鱼攻击,了解更多关于网络钓鱼的信息。
何时修改密码
如果出现以下情况,请马上修改你的密码:
- 你的帐户和设备,或者你的同事以及周围的人似乎已经成为数据泄露受害者。
- 你在一台共享的、公共的、不可信的设备上面输入过密码(这台设备可能被安装了恶意代码)。
- 你担心有人看到你输入密码。
警告其他可能也受到影响的人,以减少损失。
如果你收到你使用的服务发出的可信警告,提示有未经授权的设备或位置尝试登录,请考虑更改你的密码。在这种情况下,请按照以下步骤确定你的密码是否可能已被泄露:
- 查找有关数据泄露的新闻报道。
- 如果你通过电子邮件或聊天消息收到警报,请在服务提供商的官方网站上仔细确认他们是否发送了该警报。切勿点击电子邮件、短信或聊天消息中的链接。
请参阅我们关于社交媒体的指南,以及以下基本安全指南,获取有关如何更改设备密码的说明:Android、iOS、Linux、macOS和Windows。
了解我们推荐这样做的理由
研究表明,频繁更改密码并不一定能提高安全性。当人们被要求经常更改密码时,他们往往只会对密码进行小幅修改,而不是想出一个全新的密码。有关此研究的更多信息,请阅读 Bruce Schneier 关于为何频繁更改密码不是一个好主意的文章。
发生数据泄露时,更改密码更为重要。我们并不知道数据何时会被泄露,因此建议每几个月到每一年更改一次密码,这对于在线服务尤其必要。或者,当你有理由相信密码可能已被泄露时,立即更改密码。
注意你所在的位置,以及谁能看到你输入密码
- 如果你在公共场所输入密码,请注意是否有人可以在背后看到或录下你的操作。
- 查看四周是否有人偷看你在键盘或者手机上键入密码。
- 使用防窥膜来保护屏幕,让他人难以看到你输入的内容。
了解我们推荐这样做的理由
对手可以监视并记录你输入密码的过程。如果移动设备被当局没收,即使他们没有解锁密码,他们也可以研究设备所有者的日常活动,寻找可能拍摄到设备所有者及其输入解锁密码时屏幕的监控录像。
请避免使用生物识别信息(如指纹或人脸解锁)
了解我们推荐这样做的理由
使用个人生物特征,例如指纹或面部识别,可以更快访问你的设备,然而这是一种较不安全的锁定设备和帐户的方式。与密码不同的是,你无法随时更改你的指纹。许多人在机场、政府办公室等地方被要求提供生物识别信息,这带来了潜在风险,可能会有人在未经你同意的情况下访问你的帐户。如果对手对你进行身体约束或强迫,那么使用生物识别技术解锁你的设备可能比使用密码更容易。
何时使用以及如何使用通行密钥
有些在线平台可能会建议你使用通行密钥(passkey) ,而不是你的用户名和密码。
通行密钥提供了更强的防钓鱼保护,但它很大程度上依赖于生物识别技术和云共享,而我们不建议在处理任何敏感信息时使用这些技术,更不用说用于登录账户的凭证。然而,如果你认为自己可能面临高级钓鱼攻击,那么你可以在不使用生物识别或云共享的情况下使用通行密钥,保护自己免受威胁。
要激活通行密钥,你需要一个支持通行密钥的密码管理器,或者一个安全密钥,或者内置于计算机或手机中的高安全芯片。在大多数情况下,人们会通过使用基于云的密码管理器或设备锁定方法来解锁他们的通行密钥,这些方法可能基于生物识别技术,如指纹或面部识别。
但这并非绝对必要。在大多数情况下,你可以用更安全的方式存储通行密钥:要么使用物理安全密钥,要么使用内置于计算机或手机中的高安全性芯片。我们建议使用密码短语进行锁定,而不是通过生物识别技术。
你还可以通过启用 KeePassXC 浏览器集成 来存储通行密钥,但由于该解决方案依赖于浏览器,因此可能会受到基于浏览器的攻击,安全性应被视为低于依赖硬件设备和高安全性芯片的其他解决方案。
设定更安全的账号恢复问题
许多网络服务在你创建账户时会要求提供“安全问题”或“恢复问题”。为了降低他人猜测这些问题的可能性,你可以使用以下策略:
- 提供假的、不相关的答案。
- 你甚至可以使用由密码管理器生成的另一个随机、唯一的代码。
- 确保将你的回答保存在密码管理器中,以免忘记恢复问题而被锁定。
了解我们推荐这样做的理由
当平台怀疑你的账号安全受到威胁时,平台需要通过账号恢复问题来验证你的身份。如果你无法登陆自己的账号,你可以回答这些问题来重设密码。不幸的是,像“你的出生地”或“你宠物的名字”这种问题的答案在网上都很容易被找到。但是你可以在设置问题答案时使用虚假信息,这样攻击者就很难通过安全问题来劫持你的账号。
延伸阅读
监视自我防御手册(Surveillance Self-Defense),“创建强密码”
技术雷达(Tech Radar),“在工作中共享密码的危险性”
安全研究员Daniel Miessler编制了一份10,000个最常见密码的列表。你要避免使用列表中的任何内容作为你的密码。
维基百科上有关于密码、密码强度指南和攻击者如何访问你的帐户的详细文章。