如何选择完美的密码
2010字
2021-04-06 20:15
3阅读
火星译客

选择一个完美的密码归根结底是两个竞争的优先级之间的较量:创建一个安全的、冗长而独特的密码,以及创建一个你可以记住的密码。您可能会想,我已经有了比我需要的更多的密码!我已经设置密码很多年了!但是随着密码泄露的增加,以及更多与用户名相关的密码暴露,一个可靠的密码策略变得越来越重要。

我们将从基础开始:存储密码的最佳方式,以及如何避免使用流行的、容易猜测的密码。接下来,我们将深入研究有趣的东西:挑选复杂、难忘的密码的策略,这些密码在密码被破解后很有可能幸存下来,这样你就有时间去修改它。

如何储存你的密码

既然可以存储密码,为什么还要记住呢?你已经可以在主流浏览器和Microsoft Edge上免费保存密码了。这样做很容易,甚至很诱人,特别是当浏览器看到你输入密码并邀请你保存它们的时候。

另一方面,我的同事布拉德•查克斯(Brad Chacos)则认为密码管理器更好。我承认:密码管理器是更强大的工具——它们将你的密码存储在一个加密库中,最好的密码管理器也可以在你的电脑和手机上工作。这就是为什么我们警告你当LastPass改变它的自由层只允许一种类型的设备。

密码管理器和浏览器仍然需要一个主密码来解锁存储在其中的密码。(微软使用你的Windows密码在Edge中存储密码,而谷歌使用你与Gmail关联的密码。)即使你只有一个密码,它也必须是一个好的。

我的密码有多脆弱?

你会惊讶于简单的密码被破解的速度有多快……而破解更复杂的问题则需要数月甚至数年的时间。黑客以散列形式暴露了这些密码;任何有权限的人都可以尝试猜出你的密码,利用计算机能力每秒尝试数十亿次猜测。如下图(由专业密码破解公司Terahash开发)所示,你的密码至少需要十个字符才能安全,越长越好。

你有一些保护措施。除非攻击者是专门针对您的,否则大规模的密码入侵仍然会给您提供匿名性,使您成为众多潜在目标之一。(但是,如果密码以前和你的用户名关联过,你就容易受到攻击。)

攻击者还必须猜测您的全部密码,这是一个不小的壮举。黑客可以使用字典攻击,尝试以前被攻破过的常用单词和已知密码。他们可以使用面具、规则和程序生成的“彩虹表”,让暴力破解密码变得更加容易。

然而,网站和服务(通常)是站在你这边的。试着在你的银行网站上输入错误的密码太多次——你最终会被锁定,并被迫使用更多的信息进行身份验证。双因素身份验证(2FA)可以阻止攻击者,即使他们知道您的密码。我们强烈建议您使用2FA,只要它是可用的。

选择更安全密码的四条规则

你还能做些什么来保护自己呢?使用这些规则来选择更安全的密码。

规则1:密码应该尽可能长

如果你什么都不做,你的密码越长越好。如上所述,长度很重要:即使是由熟悉的短语组成的密码,如JackandJillwentupthehill,也比bT6$g2安全得多,因为第一个的长度较长。

我们采访过的一些专家,你可以就此打住。然而,我们仍然建议将密码设置得稍微复杂一些。

密码中的每个字符可以是一个小写字母,一个大写字母,一个数字,或者一个特殊字符,如%。仅使用小写字母,每个字符就有26种组合;加上大写字母、数字和特殊字符,每个字符可以增加到96个组合。因为破解密码的人可以通过编程来尝试只用小写字母进行猜测,所以只要输入一个数字或特殊字符就能破解密码。这就是为什么银行强制执行一些规则,比如使用混合的大小写字母、数字和特殊字符来选择密码,使它们成为特定的最小长度,并允许您为密码管理器选择更长的密码。

规则2:为每个网站或服务设置唯一的密码

如果您的其中一个密码被泄露,并与您的用户名相匹配,黑客可以使用该信息在其他服务上尝试相同的用户名和密码。这就是为什么使用唯一的密码是至关重要的,这样破坏就仅限于单个服务。

密码管理器将自动为您使用的所有网站和服务生成唯一的密码,为您解决这个问题。

规则3:如果密码不能被记住,那它就毫无用处

当然,你可以要求重新设置密码,但是如果密码真的很重要,你可能需要经历一个漫长的过程来证明你的身份。你要么需要一个容易记住的密码,要么需要一个你知道在哪能找到的密码。(稍后再详细说明。)

使用密码管理器的好处是你只需要一个长密码。如果你管理多个密码,你需要根据每个站点的密码长度和条件来调整它们——这意味着需要记住更多的密码。

不幸的是,还有第四条规则:

规则4:密码只有在不完美的时候才是完美的

泄露的密码对你来说是死路一条。一旦你得知有人入侵,尽快修改你的密码。

即使你没有被入侵,如果密码好几年都没有更新过,它也可能给攻击者提供一种进入你的数字生活的途径。不要让他们!经常更新密码以保持安全。

创建更安全密码的六种策略

既然您已经知道了安全密码的要求,那么让我们讨论一些可能的创建密码的策略。我们将从一个基本的密码策略开始,并逐步增加复杂性。

策略1:密码短语

对于许多人来说,一个优秀的初始密码策略是一个密码短语:一些单词或数字的长组合,可以在你的头脑中牢牢记住。它可以是你最喜欢的一句话或名言,也可以是对你有意义的一系列词语,比如你最喜欢的五种口味的冰淇淋。

Givemeliberty,orgivemedeath!

密码短语往往包括大写字母和特殊字符。那些包含数字的则会增加更多的复杂性。

Wrigley1060WAddisonSt.

不使用普通密码的一个理由是,你真的不知道一个骇客的把戏包里有什么。非常流行的短语可以用在字典攻击中,比如圣经中的段落。

策略二:外语

如果攻击者使用字典,他们可能会先尝试英语短语。混合和匹配语言不会有坏处,而且可能会增加复杂性:Qu 'est-cequec 'estBigMac,otaku?让你对可能性有个概念。

策略三:诗歌或历史

如果目标是一个容易记住的密码,诗歌是一个伟大的灵感来源。例如,刘易斯·卡罗尔(Lewis Carroll)的诗歌《Jabberwocky》(Jabberwocky)或苏斯博士(Dr. Seuss)的著作中就有一些无意义的词语。您的密码可以是任意一首诗的一行或两行—行与行之间有一个斜杠标记,以增加特殊字符的复杂性。如果你拿出你的《坎特伯雷故事集》或《贝奥武夫》,给你的密码短语增加中世纪英语或古英语的复杂性。

策略4:不要使用任何你能在Facebook上找到的东西

我读过的关于密码破解的一篇更有趣的概念性论文是来自北京大学的Ding Wang等人的论文,这篇论文研究了仅仅知道一些关于人名、性别、生日和电话号码的基本事实是如何极大地增加他们的算法猜出用户密码的几率的,对于现实世界中的违规行为,成功率高达73%。(这个比率使用了另一个网站上另一个泄露的密码和一些个人信息。)

答案吗?假设你在脸书、推特和Instagram上说的话会被用来对付你。

这是否意味着你不能用你的私生活作为密码?当然不是。只使用你知道而别人不知道的信息。不要用自己家人或宠物的名字,但可以用邻居孩子或宠物的名字。

策略5:混搭

Ars Technica公司2013年的一项密码破解研究显示,“通常情况下,大写字母在开头,小写字母在中间,符号和数字在结尾,”包括多个随机字母和数字的“后缀”附着在更常见的单词上。

所以混合一下。这个问题没有大写字母,但它和莎士比亚的那句名言有点相似。只要记住最终目标:长密码是最强的密码。

安全技术专家布鲁斯·施奈尔(Bruce Schneier)有一个类似的、甚至更复杂的方案,他把一句话抽象出来。“谁是为你我而生的乐队的领队?”“成为”W 'sTLotbW 'smade4u&me吗?Schneier写道:“如果你想让你的密码很难被猜出来,你应该选择一些这个过程会忽略的密码。”

一些人可能知道的一种较老的策略是“l33t-speak”,即用数字代替字母。密码破解者可以为此编程,所以它不再是一个安全的策略了。

策略6:整个世界就是你的密码

选择有意义的密码,可以像体育老师问候你时用的短语一样愚蠢,也可以像你每天看到的通往你家的高速公路出口的标志一样重复。

从书架上挑一个书名,越陌生越好。谁会想到一本叫《十二个月的修道院汤》的食谱呢?

你甚至可以用一本书作为密码的来源,然后把密码提醒放在你的钱包或钱包里。如果我在一张纸上写下“第69页,第2行”,然后把它放在我的钱包里,攻击者就会偷走我的钱包;了解信息的含义;知道我指的是哪一份文件或哪本书;获得一份与我的相同的副本;知道我指的是哪个词。

你应该写下你的密码吗?

写下你的密码听起来是所有人能做的最愚蠢的事。它是否真的是愚蠢的取决于具体情况。

在与你不一定信任的室友合租的公寓里,用手写的方式写出你的密码,似乎是个非常糟糕的主意。同样,永远不要把你的Windows密码贴在办公室用的电脑上。

在一个与家人或信任的人共享的家里,把密码写下来并存储在某处的争论变得更加引人注目。例如,将主密码存储在保险箱中,在你死亡的情况下,你的配偶就可以进入你的在线账户。

没有密码的未来

密码变得不那么重要了。我们已经在朝着这样一个未来前进:我们的面部、指纹、手机,或者这三者的某种组合,可以成为解锁个人电脑、电子邮件和银行网站的钥匙。不幸的是,这些替代方案还没有一个是通用的。只要我们还被密码困住,任何我们能做的让密码更难破解的事情都将有助于阻止黑客。

0 条评论
评论不能为空