如何給自己各種帳號編一個安全又不會忘記的密碼?
不久前在知乎上看到一個問題:“如何給自己各種帳號編一個安全又不會忘記的密碼?”,這種問題下怎麼能少了祕跡同學呢,來吧朋友們,讀科普長知識的時間到了:
問題
如何給自己各種帳號編一個安全又不會忘記的密碼?
問題描述
如題,各種網站註冊時起個暱稱想半天,輸入密碼還得就結半天:所有帳號都用同一個密碼不安全,編新密碼又怕忘了。雖然我是個苦逼理科男,但對什麼密碼字典之類的真的一竅不通啊,我就是問下怎麼管理生活中的各種密碼。看了諸多答案後的確有些靈感,目前我採取的方法是銀行卡密碼單獨用,QQ、微信、163郵箱共用一個密碼。遊戲及各種社交帳號均繫結郵箱及固定手機號。其他的不重要的就用一個通密碼。
不論釣魚與否,題主為密碼提問的態度就為廣大網際網路使用者做了一個好的示範,這裡非常感謝題主。
先說結論,最好的方式就是用 密碼管理器 ,但是為了說清楚其中的原因,還得詳細的從隱私保護開始說起。雖然文章有點長,但是讀完以後,你會對隱私保護的重要性、密碼與網站的關係以及小白是否能保護好自己等問題有更清晰的認識。
貓奴們都知道,貓每次如廁以後都會把它的排洩物埋起來,而老虎獅子就不會。這不是因為貓在貓科動物裡更愛乾淨,而是中小型的貓科動物需要隱藏自己的行蹤。而食物鏈頂端的貓科動物反而利用排洩物來宣告自己的領土。這個事情細思極恐...那些不埋排洩物的小型貓科動物都已經被大自然淘汰了。我們人類的祖先也是如此,他們必須隱藏自己的行蹤來躲避猛獸的攻擊。 為什麼要保護隱私,因為 對隱私的需求,是深深地刻在你我基因裡的。
而你最需要保密的資料有可能是密碼,因為這些密碼是開啟其他資料大門的鑰匙。 當你還在為自己的密碼規則沾沾自喜的時候,你的郵箱密碼、iCloud密碼、銀行卡密碼卻可能早已洩漏。當黑客攻擊你、詐騙集團忽悠你、廣告主們騷擾你的時候,他們根本不關心你是誰,你只是一行資料。為了將隱私保護在自己手裡,我們最起碼要把密碼管好。
怎麼證明你是你?全靠密碼。 我們向網際網路網站申請服務時,網站不能見面交易,也不能隨時查你身份證,需要找到辦法確定提交申請的人是你。身份認證技術,是為了在計算機網路中確認操作者身份而產生的有效解決方法,你的賬號和密碼就是其中一種。身份識別的手段很多,比如靜態密碼、生物識別(面部識別或指紋識別)、簡訊密碼、動態口令等。但目前來看,由於靜態密碼的操作成本和財務成本都相對更低,所以靜態密碼還是身份認證的主流方式。
多數長輩在使用網路服務的時候都會擔憂這個問題:“我的個人資訊放到網上不會被人看到嗎?”
網際網路的發展給我們帶來了大量的靜態密碼需求,也正是為了滿足這些需求,才會有題主的疑惑。在這個問題底下,已有相當多的人進行回答,而題主也採取了他認為安全的方法—— 分層使用不同的密碼。 這個方法在10年前可能還有用,但在當下恐怕再難奏效。
題主目前使用的方法
假設祕跡同學有三個密碼,按安全性排列可分為廢鐵、青銅和王者,祕跡同學根據對各個網頁的認知來進行管轄區域劃分。
王者級,用於那些涉及社交、金融、購物、儲存個人資料的重要網站,丟了搞不好是要跳樓的。
青銅級,用於那些有一些我的個人資訊,不會影響到錢財等重要資料的網站。
廢鐵級,用於那些丟了對我也沒影響,網站安全很差可能隨時會洩露的網站。
這種分層使用不同密碼進行管理的弊端,就在於我們很難做好分級, 網站可能會自己去升級,尤其是在青銅區和廢鐵區的網頁。
以一些小眾的票務平臺為例,這類不常用的網站容易被忽視,我們本以為它只有訂單管理功能,廢鐵級密碼管理足矣,但為了免密支付,在網站留下銀行卡號、身份證後,這個網站就應該在王者管轄區域裡。仍用廢鐵密碼管理這個網站,是一件有著巨大安全隱患的事情。同樣,有部分網站在多年前確實用廢鐵密碼管理就足夠,但是隨著網站功能完善,電子支付、金融、實名認證功能上線,他們都需要在密碼的層級上升級。如票務網站可以付款,甚至有免密付款許可權,購物網站有其他金融業務繫結銀行卡或者甚至可以提供欠款功能的。像百度這樣看著只是搜尋服務,其實還能提供資訊儲存、還有金額服務,而你設定的百度的賬號密碼呢?是王者級的嗎?
如果這個網站或平臺沒有付費功能,那是不是就可以放心使用青銅或廢鐵的密碼進行管理?也不一定。再簡單的網站資料也能幫助拼湊出你的個人關鍵資訊,小的電商工具就有你的地址,任何網站都有你的電話。手機id(比如小米、Apple ID)、郵箱類的密碼由於具備接受驗證碼和重置密碼資訊的功能,也需要用王者級密碼進行管理,但目前大部分人還沒有意識到這一點。
這就意味著,排除掉密碼長度有限定、密碼內不能有特殊字元的, 幾乎所有的網頁都要使用王者級密碼才足夠安全。
那我們可以用其他答主提供的思路來進行有趣好記又安全的密碼設計了吧?還是不行。
當需要使用強密碼的網站從個位數擴充套件到百位數,如果所有網站使用同樣一個強密碼,同樣是不安全的。 此時你的密碼足夠安全,但並不是所有網站的安全性都值得信賴,如果你引以為傲的強密碼被安全性弱的網站洩漏出去,通過撞庫,其他網站也就在所難免了,這種全軍覆沒式的洩漏更讓人難以接受。
撞庫:黑客通過收集網際網路已洩露的使用者和密碼資訊,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登入的使用者。
據統計,每個中國使用者平均安裝了50多個應用程式,既要保證密碼強度都能到王者級,又要保證不使用同一個密碼,還要保證自己能記住每個賬戶對應什麼密碼,敢問哪位最強大腦僅靠自己就能做到?因此,在祕跡看來,給自己各種帳號編一個安全又不會忘記的密碼, 只有使用密碼管理器這一種方法。
密碼管理器成為必要,可以幫助使用者生成不同強密碼、儲存密碼、還有密碼填充。但因此,密碼管理器也成了和以前郵箱、手機id一樣重要的資料,會成為以後黑客的目標。攻擊是會不斷升級的,我們需要選擇一個 明天仍然安全的密碼管理器 。
1、 最好選擇有自動填充功能的密碼管理器。 如果沒有自動填充的功能,密碼需要從管理器裡複製貼上到網頁上,由於剪貼簿的開放性很高,就有被木馬從剪下板獲取密碼的隱患。
2、 最好選擇無法重置密碼的密碼管理器。 我們把密碼交給密碼管理器了,它的身份認證就最為重要。如果密碼管理器有密碼重置功能,一方面意味著密碼管理器公司是有你密碼的備用鑰匙,如果他們被攻破就可能讓你的所有祕密洩露,另一方面,他人也有機會重置你的管理器的密碼(比如收取簡訊驗證碼、給郵箱傳送驗證郵件、回答特殊問題),那麼密碼管理器的所有密碼都有可能被他人獲取。
市面上已有數量不少的密碼管理軟體,那麼密碼管理哪家強?祕跡無法評價其他密碼管理器,但可以擔保自家的管理器足夠安全,而且相比國外的軟體也更容易上手,你願意來試試嗎?(可在各大應用市場搜尋“祕跡app”)
如何用祕跡app來管理密碼:
1、下載並安裝祕跡app
2、為了防止你使用曾用過的&容易破解的密碼,祕跡會生成一套有12個漢字的恢復金鑰,這就像是一個無法重置的根密碼,如果你解除安裝重灌祕跡app,除了輸入12個漢字以外,就別無他法來找回你曾經放在保險箱的密碼了。
3、記錄好這12個漢字以後,點選下一步,設定好鎖屏密碼,再按順序輸入一次12個漢字確認身份,就可以進行密碼記錄了。在保險箱頁面點選右上角“+”號新建密碼,即可儲存你的密碼。
4、建完密碼卡以後,跨屏登入和自動填充這兩個神器一定要用起來。登入無需複製貼上賬號密碼,輕點按鈕就可搞定。
跨屏登陸:在官網leakzero.com下載外掛,在瀏覽器裡安裝外掛以後,在app裡掃碼進行連線,就可以使用外掛的功能了。可以在手機上跨屏登入,也可以在外掛裡直接發起跨屏登入的請求。
自動填充:用於移動端,圖中以ios端為例進行了演示
而有關於祕跡的安全性,歡迎有興趣的小夥伴可以看一下我們的白皮書,就不在這裡贅述了。迴歸問題,如何給自己各種帳號編一個安全又不會忘記的密碼,用祕跡就對了。
感謝閱讀
圖片來源:pixabay
資料參考:
2018年中國App下載量排名全球第一:佔全球50%
http://tech.huanqiu.com/internet/2019-01/14088085.html?agt=25458