1. 前言
在我們的生活中,有各種網站、應用都需要註冊和登錄。這些網絡訪問通常需要 「賬戶」 + 「密碼」 的認證方式,於是幾乎我們每個人手上都有幾十個甚至上百個賬號。
一般而言,我們設定和記住密碼的方式,就是生日、紀念日、姓名、身份證等等核心內容,然後再加上特定規律。甚至爲了便於記憶,很多人習慣只用一個常用的密碼。這是非常危險的行爲。因爲只要有一個網站出現安全事故,密碼被泄露,那麼幾乎所有註冊過的網站和服務都會淪陷。但如果使用多個密碼,又很可能因爲密碼過多,在登錄的時候出現賬號和密碼對應不上的情況,極爲不便。
那我們應該怎麼設置密碼,才能做到相對安全,並且方便記憶和使用呢?
2. 密碼是如何被泄露的?
在考慮如何設置密碼前,我們先來討論一個問題:我們的密碼是如何被泄露的?
一個賬號密碼的背後,往往涉及到大量的個人信息。如果一旦被泄露或者被破解,黑客會比你爸媽更加了解你自己。
通常來說,密碼泄露的位置主要有三個地方:本地、網絡傳輸、遠程數據庫。
舉個例子:你在瀏覽器上某網站上輸入了賬號和密碼,這個賬號在你登錄之前,只存在於你 本地電腦 中。一旦你點擊了登錄按鈕,瀏覽器就會將你的登錄名和密碼打包成爲一個登錄請求,發送給遠程服務器。這個階段,你的密碼會在 網絡傳輸 過程中經歷一段非常短暫的旅程。如果你是第一次註冊,那麼你的密碼還將會以某種形式存儲在該網站的 遠程數據庫 中。
下面來說一下這些常見的密碼泄露情況:
2.1 本地泄露
本地電腦上的密碼被泄露通常是因爲電腦中病毒,被植入了惡意木馬,鍵盤收到惡意程序監聽,黑客會在惡意程序後臺,將你的個人信息發送到黑客自己的服務器中。
過去破解密碼常用的一種手法是使用鍵盤記錄器等工具,記錄下鍵盤的每一次操作,然後在後臺發給黑客。在曾經網吧最紅火的年代,經常有人在網吧電腦裏安裝這類工具,用於盜取網吧其他玩家的遊戲賬號密碼,偷走遊戲裏的裝備,或者虛擬 Q 幣。
2.2 網絡傳輸過程中泄露
網絡傳輸中的密碼被泄露可能是因爲網站沒有有效的對密碼進行加密,導致密碼明文傳輸,或者非加密傳輸,黑客通過一些工具,攔截登錄請求包,就能直接看到你的密碼。
在 WiFi 普及之後,黑客可以採用 WiFi 中間人攻擊的方式,僞造一個與合法 WiFi 接入點同名的無線信號,騙用戶接入後,在用戶登錄的時候,偷走用戶的賬號密碼、郵箱、手機號等信息。
2.3 遠程數據庫泄露
遠程數據庫中的密碼被泄露,往往是因爲我們所使用的網絡服務提供商不可靠,對密碼明文保存,未經二次加密,或者加密措施有漏洞,如果服務提供商的數據庫泄露(常稱爲 「拖庫」),那麼我們的密碼也會變得不再安全。
之前提到兩種密碼破解方式一次只能獲取一個賬號密碼的方式,對於黑客而言效率還是太低了。所以技術高明的黑客會選擇直接入侵網站的服務器,直接竊取存儲用戶賬號信息的數據庫,一次性獲取數百萬甚至上千萬人的信息。比如 2011 年 12 月,CSDN 網站遭遇拖庫,600 萬用戶的賬號密碼被明文泄露。
更嚴重的是,拖庫還會影響你在互聯網上的其他賬戶。這是因爲黑客在拖庫之後,還會進行 「洗庫」,將你的個人信息進行變現,比如盜取遊戲裝備和虛擬 Q 幣。或者將你的身份信息變賣給垃圾廣告公司,之後你將會不斷地收到各種推銷騷擾電話。
最後,黑客還會利用你的賬號密碼信息進行 「撞庫」,也就是拿着你的賬號密碼,去嘗試登陸其他網站,如果你多個平臺使用的都是一個賬號密碼的組合。那麼,所造成的信息泄露和個人價值損失將不可估量。比如當年的網易郵箱數據泄露,Dropbox 密碼外泄,都會引起連鎖的賬號安全問題。
雖然因爲平臺原因導致的信息安全問題,我們好像看似無能爲力,但是一旦瞭解到密碼是如何被破解和泄露的,將有助於我們更好的設定自己的密碼,從而使個人的賬號密碼更加安全。
基於這三個地方的密碼泄露問題,我有一些關於密碼安全的建議如下:
- 儘量不在公共或有潛在安全風險的設備上進行密碼操作;
- 技術不足的情況,儘量不要越獄,對設備不進行 Root;
- 不安裝未知來源的(盜版)軟件。
- 不使用不可信的 WiFi 網絡,特別是公共場合的陌生、免費 WiFi。
- 如果可能,使用 SSL 加密訪問網站;
- 保持瀏覽器在最新版本;
- 檢查網站證書是否可信(一般瀏覽器都會有提示)。
3. 密碼制定要求和策略
3.1 密碼制定要求
總體來說,個人的密碼安全需要遵循以下幾個簡單要求:
- 密碼長度最好 8 位或以上,不宜過短 / 過於簡單(例如:abc12345);
- 沒有明顯的組成規律,儘量不要與個人信息相關(例如生日、身份證號);
- 儘可能的使用三種以上符號,比如「字母」+「數字」+「特殊符號」組合;
- 按照平臺重要程度,將密碼進行至少三級分類:普通密碼、重要密碼、安全密碼等等。
3.2 密碼級別分類
對於不同的平臺,我們應該使用不同的密碼,以免一個平臺賬號泄密,引起連鎖的賬號安全問題。
一個較好的做法是:對不同的平臺按照重要程度進行分類,不同重要程度的平臺使用不同層級的密碼。
對於支付寶、微信、網銀等涉及財產安全、可以信任的、安全的平臺,設定爲 「安全密碼」 級別;對於常用的網站、論壇、博客、雲盤,設定爲 「重要密碼」 級別;對於偶爾登錄的論壇、網站,或者一次性註冊登陸的賬號,可以設置爲 「普通密碼」 級別。如果自己對賬號還有其他需求,還可以設置更多級別的密碼,比如臨時給朋友分享的密碼可以設置爲 「臨時密碼」 級別。
通過對不同重要程度的平臺的賬號密碼進行分級,這樣至少我們在泄露一個密碼的時候,不會導致其他級別的密碼也跟着泄露,一定程度上保證了賬號安全。
此外,建議同一級別的密碼,也不要完全相同。推薦使用「基礎密碼」+「網站名稱」+「一套密碼變化規則」組合的方式,對同一級別不同平臺的密碼進行不同的設定。這樣,即便是一個平臺的密碼泄露了,也不會導致這一級別其他賬號密碼泄露。當然,一旦發生密碼泄露,最好的做法是立即修改本級別下的所有賬號密碼。
3.3 密碼制定方法
上邊我們講了密碼級別的分類,下邊我們來講解一下某一級別密碼的具體制定方法。
首先,密碼 「被破解難易」 跟密碼的 「長度和難易程度」 正相關。所以,強烈建議大家使用高強度的密碼。比如 Dr4%*DyaZoHPz^ 就是一個高強度的好密碼,只是記下來不大容易背。
網絡上的大神對制定密碼的策略和記憶密碼的方法有各種獨到有效的見解。比如下面幾個:
利用詩詞的密碼:
Fhl3yjsd10000j—— 烽火連三月,家書抵萬金利用順口溜的密碼:
cptbtptpbcptdtptp—— 喫葡萄不吐葡萄皮,不喫葡萄倒吐葡萄皮
但是詩詞和順口溜用的知道的人多了,也變得不那麼安全了。那有什麼方式,才能使密碼變得既安全,又方便記憶和使用呢?
我推薦使用 「基礎密碼」 + 「網站名稱」 + 「一套密碼變化規則」 組合的方式。
1. 選取一個基礎密碼
首先,我們要選擇一個基礎密碼。這個基礎密碼可以是一句詩句,也可以是一句話,保證儘可能無規則。比如:「大臉貓愛喫魚」,取其拼音首字母組成密碼:dlmacy。
2. 對基礎密碼進行一些變化
接下來,我們要對基礎密碼進行一些變化。比如:「改變字母大小寫」、增加「特殊數字」、「特殊字符」等等。
- 改變字母大小寫後:
DLMacy - 增加特殊數字後:
DLMacy618 - 增加特殊字符後:
DLM#acy618
經過這些變化之後,DLM#acy618 就成爲了我們的基礎密碼,這也是一個強密碼。現在,這個密碼的被破解難度已經很高了,但是還不夠好,我們還可以在這個基礎上,增加不同網站的名稱,爲密碼增加一些變化。
3. 不同網站增加變化
不同網站應該增加不同的變化。比如:
-
DLM#acy*Zfb618:中間加了*Zfb,代表支付寶。 -
DLM#acy*Zh618:中間加了*Zh,代表知乎。
4. 增加密碼變化規則
上邊對不同網站簡單增加了一些小變化,但是根據一個網站密碼還是可以間接猜測到其他平臺密碼(可能性較小)。如果爲了更加保險,我們可以對「不同網站變化」的部分,再增加一層加密。比如對字母進行移位運算。假設我們自定義的規律爲:(字母 - 3) % 26,即每個字母向前移動三位。比如 Z 向前移動三位是 W,h 向前移動三位是 e。那麼 Zh 就變成了We,Zfb 就變成了 Wcy。這樣一來,我們的密碼就變成了這樣:
-
DLM#acy*Wcy618:支付寶密碼 -
DLM#acy*We618:知乎密碼
到此爲止,我們的密碼制定就結束了。單就密碼而言, DLM#acy*Wcy618 怎麼看也不像是一個好記的密碼。我們在輸入密碼的時候,可以這樣提示自己:「大臉貓愛喫魚」、「特殊字符」、「字母移位」、「特殊數字」。多練幾次,自然而然就記住了這套密碼體系。
這套密碼用的是強密碼,不同平臺之間的密碼既有規律,又有唯一性,安全性已經得到了保障。在輸入密碼的時候,也不需要再隨性地思考自己用的是什麼密碼了。
這樣我們就得到了一套既安全,又方便記憶的密碼體系。但是似乎使用起來還不是那麼方便。
因爲每次使用的時候,我們要先考慮平臺的密碼等級,然後再想想自己的密碼制定規則,最後如果密碼過於複雜的話,輸入還容易出錯。那麼有什麼方法,能使我們的密碼使用起來更加方便呢?
答案是:使用 「密碼管理工具」。
4. 使用密碼管理工具
說起密碼管理工具,最原始的管理工具是:「密碼本」。就是將個人的賬號密碼記錄在某一頁紙上,好好保存起來,等到忘記密碼的時候拿出來看看。這種方式看起來十分原始,但至少從物理上保證了密碼的安全性。只要沒有人知道你的密碼本放在哪裏,那麼它就是安全的。當然這種方法的缺點也很明顯,一個是記錄起來比較麻煩,二是使用起來也不太方便。比如說我在公司需要登錄一個賬號密碼,結果記錄賬號密碼的本子落在了家裏這種情況。
「密碼本」的升級密碼管理工具是 「電子文檔」。其實就是將以前存在紙上的賬號密碼保存在了 Excel 表格文檔中,或者一些筆記軟件類(例如印象筆記)。像 Chrome 瀏覽器中的密碼保存也可以歸爲這類工具。這樣保存密碼比起上邊提到的「密碼本」來說,確實方便了不少。用的時候隨用隨查就好了。但是,缺點也十分明顯。賬號和密碼都是明文保存,沒有進行二次加密。如果文件或者筆記泄露了,那麼記錄的所有密碼就都泄露了。這樣反而更加不安全。
專業的事情,就應該交給專業的人去做。 產品也是這樣,「密碼管理」 就應該交給專業的 「密碼管理工具」 去做。之前我們針對不同平臺設置了不同的密碼,這些密碼想要記住也並不是一件容易事,還好現在有許多專業密碼管理工具可以幫助我們記住這些密碼,並且還可以進行自動填充,以及跨平臺使用等等。
這些常見的密碼管理工具有:1Password、LastPass、Enpass、KeePass、Bitwarden。
密碼管理軟件的設計思路比較一致,你可以在軟件中添加記錄自己所有的密碼,然後爲軟件設置一個主密碼。你只需要掌握一個主密碼,所有其他密碼和重要信息都會被主密碼保護,並且能安全快速的訪問所有賬號密碼。同時,這些軟件還增加了一些好用的功能。比如:
- 跨平臺同步:你可以在多個不同設備(Mac、Windows、Linux、iOS、Android 等)之間無縫同步。
- 自動填充:不用再手動輸入密碼,一鍵自動輸入。
- 自動生成密碼:不用自己考慮怎麼制定密碼,軟件自動生成強密碼。
- 附件功能:可以添加文檔/文件,以及將其他的各種會員信息、社保號碼、路由器密碼、駕照護照、證件複印件交給密碼管理器保管。
這幾個軟件具體的區別如下表所示:
| 工具 | 費用 | 加密方式 | 支持平臺 | 數據存儲位置 | 附件功能 | 同步功能 | 密碼自動填充 |
|---|---|---|---|---|---|---|---|
| 1Password | 個人:2.99 美元/月;家庭版:4.99 美元/月 | AES-256 算法加密 | Mac、iOS、Windows、Android 及主流瀏覽器 | 本地數據庫模式 | 付費版可添加 | 支持 iCloud、Dropbox、1Password Account 同步、WiFi 同步、保險庫文件同步 | 支持 |
| LastPass | 個人:3 美元/月;家庭:4 美元/月 | AES-256 算法加密 | Mac、iOS、Windows、 Linux、Android、Windows Phone 及主流瀏覽器 | LastPass 美國服務器線存儲 | 可添加附件 | LastPass 美國服務器同步 | 支持 |
| Enpass | PC 端免費;手機端收費:173 元/年 | 348 元/終身 | AES-256 算法加密 | Mac、iOS、Windows、 Linux、Android 及主流瀏覽器 | 本地數據庫模式 | 可添加附件 | 支持 iCloud 同步、Dropbox 同步、Google Drive 同步、OneDrive 同步、WebDAV、box 同步 | 支持 |
| KeePass | 免費 | AES-256 算法加密 | Mac、iOS、Windows、 Linux、Android 及主流瀏覽器 | 本地數據庫模式 | 無法添加附件 | 支持 WebDAV、支持多種方式雲同步(具體看軟件) | 支持 |
| Bitwarden | 普通版免費;個人:10 美元/年;家庭:40 美元/年 | AES-256 算法加密 | Mac、iOS、Windows、 Linux、Android 及主流瀏覽器 | Bitwarden 服務器 | 無法添加附件 | Bitwarden 服務器同步 | 支持 |
我認爲一個最好用的密碼管理軟件,需要做的這幾點:
- 最好使用本地數據庫存儲;
- 最好使用安全的加密手段,例如 AES-256 算法加密,端對端加密;
- 最好可以自定義雲同步,而非使用軟件官方服務器存儲;
- 跨平臺設備支持越多越好;
- 支持自動填充;
- 使用方式要簡單,體驗要友好。
- 最好免費,其次是一次性購買後可永久使用,最差是付費訂閱制。
上面幾款軟件,做的最好的是 1Password,這也是用戶口碑最好的密碼管理軟件。但是 1Password 改成付費訂閱制之後,如果想要長期使用這款軟件,又是一筆不小的持續性投入。當然如果是不差錢,追求體驗的商務人士,優先選擇 1Password。
1Password 之後的替代選項是 Enpass。Enpass 採用的是 PC 端免費,手機端收費的模式。與 1Password 不同的是,Enpass 除了訂閱制之外,還增加了一次性購買的服務,以前便宜的時候是 9.9 美元/單一平臺終身,現在改成了 348 元/全平臺終身。手機端免費版支持 25 個密碼存儲,可以先下載體驗一下,再考慮訂閱購買或者直接買斷。
LastPass 免費版不支持多設備同步。之前又因爲國內應用商店下架,刪除了中文語言,導致使用起來並不方便,所以不再考慮。
當然,不考慮付費的話,我們可以選擇 KeePass。這是一款開源密碼管理系統,最大的優點就是完全免費,各個平臺也有不同開發者提供的相關軟件。當然,KeePass 的缺點就是有一定的上手難度,不建議新手嘗試。當然,如果你願意折騰,學會使用之後也會很方便。
免費版的另一個推薦是 Bitwarden,開源,免費,跨平臺,安全,好管理。不想折騰,又想免費,還想有個良好體驗的,可以選擇 Bitwarden。這裏有個小問題,Bitwarden 的密碼庫是存儲在 Bitwarden 服務器上的,雖說 Bitwarden 服務器存儲的密碼是經過 AES-256 算法加密的,保證了安全性,但是如果某一天 Bitwarden 倒閉了,或者服務器出問題了,那麼我們的密碼同步也可能會跟着受影響。不過好在 Bitwarden 還支持自定義部署。強烈建議有 NAS 或者服務器的朋友,在自己的私有服務器上部署 Bitwarden。
5. 總結
現在我們完成了個人密碼體系的制定和管理,既保證了賬號密碼的安全性,又保證了使用的方便性。大大提高了日常中對密碼的使用效率。
總的來說,你可以按自己記得住的規律 「設置密碼」,然後藉助軟件爲你 「加密保存、自動輸入」,把應付密碼的時間和精力省下來,去做別的更有價值和意義的事情。