北风专栏:你的密码有多坚强

采用自己的名字生日及几个简单的数字做密码组合?所有的需要使用密码的地方都用同一个密码?把密码写在一个文件里保存在电脑里,或是只记在一个小本子上?你有没有这么做?这些都是非常常见和非常严重的安全隐患。

每一个使用电脑及上网的人手里都有一堆密码和账号,如何记录保存这些东西成了大问题。密码管理,有几个大原则:一是不要采用简单组合的密码,二是定期更换,三是分级管理。

弱密码
简单组合的密码,一般称之为弱密码,也可以理解成容易被猜到或被暴力拆解的密码。弱密码主要有以下几种:

一是顺序或重复的字符,如:“12345678”、“888888”这些组合。中国的一些银行的银行卡都曾经用“888888”作为默认密码。

二是键盘上的相邻字母,或“qwertyr”、“asdfg”这种组合。

三是密码是登录名的一部分或完全和登录名相同;中国一些网络接入商提供ADSL宽带上网服务时,就曾把接入账号和密码都设置成该用户的电话号码,资费又只与接入账号挂钩,于是出现盗用他人账号上网的情况出现。

四是与自己相关的常用数字或字母:比如自己或家人的姓名、所在地地名、生日日期、证件编号等。

五是把上面的四种情况再加以组合,“qwert12345”,或是对其中个别字符作相似替换,如123A5678。

密码安全鉴定
可以使用“密码安全鉴定器”来鉴定自己设定的密码是否安全,例如使用网站 http://www.passwordmeter.com/ 来鉴定。在这个网站输入你的密码,由弱到强系统会提示“Very Weak、 Weak、 Good 、Strong、 Very Strong”(很弱、弱、良、强、很强)五个等级,不同的要求需要的强度不一样,重要的应用建议达到“Very Strong”的等级。

换密码成习惯
定期更换密码要成为一个习惯,多长时间更换密码要视使用密码的服务的重要性来决定,一般来说,最重要的密码,不要超过三个月。可以在日历里设定下一次的密码更改时间,中国资深网络专家毛向辉先生就设置成定期自动发布一个推特来提醒自己更改密码。

更换密码要注意不能是多个密码轮换使用,要彻底进行更换。更换时的变化不要过于简单,例如只改变密码组合中的几个字符或数字。不能只更换密码不更换规则,如果密码都是用名字加数字加特殊字符这样同一个规则或思路产生,也容易被人找到规律。

密码管理器
密码换来换去确实容易记不住,有人会将密码抄到笔记本或保存在电脑的一个文档里,把鸡蛋装在一个篮子里可不是个好习惯,一是容易遗失,二是容易被盗。如果使用的是Gmail,又开启了两步验证,把密码保存在草稿箱里是一个可以考虑的办法。当然,可以先保存成一个加密文档,再上传到草稿箱里会更好。

想要安全可靠保密密码,密码管理器就派上了用场,密码管理器不仅能帮助记录密码,也可以帮助生成密码。“KeePass”和“1Password ”这类的密码管理器都是不错的选择,可自行搜索使用教程。

密码强度分级
不同应用或服务所要求的密码强度并不一样,建议首先对自己的应用或服务进行分级。一般来说,按重要性由高到低,依以下序列设置密码强度:本地系统> 密码管理器> 主要邮箱> 网银网购应用> 一般应用> 中国国内服务。更重要的服务,密码需要设置得更复杂一些,更换的周期也要更短一些。

稍作解释一下,进入自己电脑系统的密码自然是重中之重,特别是有不信任的人可以接触到自己的系统的话,就更需要注意这个密码的安全性。在Ubuntu之类的操作系统中,主目录可以同时通过这个密码加密,如果电脑不幸遗失,别人如果没有密码将无法查阅存储在硬盘主目录中的内容。如果是放在家里的电脑,确保没有陌生人可以接触,主密码可以简单些 。

中外分密
密码管理器作为统领和管理其他密码的钥匙,密码当然要安全可靠。主要邮箱往往用于申请其他应用和服务,资料、社交联络都与主邮箱紧密相关,这个密码安全需要高度重视。网银自然不必多说,涉及资金的安全。

需要特别提醒的是,千万不要将任何中国国内互联网服务的密码和其他重要的密码采用相同的密码或相同的密码设置规则。这一点对于异议人士尤其重要。有司往往会向境内各网络运营商索取特定用户的密码,再分析其密码及组合规律,用于其境外重要服务密码的破解。

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。
Type the characters you see in this picture. (使用语音验证)
填入上图所示的数字或者单词;如果你看不清,点击保存按钮,系统会为您重新生成您新的图片。不区分大小写。