如何在信息泛滥的今天保护自己的密码

如何在信息泛滥的今天保护自己的密码

杂谈

有热血网友求助说:这两天某通这个泄密搞的挺厉害,能不能出点内容给大家科普下怎么管理密码。个人感觉完全没有管理,那些密码软件也不知道怎么去用,最怕的就是平台一旦泄密,要全部改一遍,痛不欲生。

正文

个人用过1password(付费),Lastpass,Bitwarden和Keepass。下面是这四个软件的下载地址

先说结论:

非常推荐用密码管理软件,能极大提高安全程度。各个软件的体验各不相同,1Password简单省心但收费,Bitwarden功能越来越完善,并且免费功能完全够用,Keepass开源、插件多但界面较老,适合注重安全和折腾的人群,KeepassXC是前者的变种,UI舒适但功能不全,也没有开源,Lastpass有免费功能但泄露过密码,按需选取。

说说几个方面的体会:

1. 软件体验:完善的密码软件一般支持主密码和跨平台。只需一个复杂的主密码,就能管理整个密码库。网站密码由软件生成,生成规则可以自己调整,生成的结果复杂而不重复,不用担心撞库。通过手机app,pc客户端,以及浏览器插件,所有密码可以实现跨平台管理。

2. 安全性:由于密码不重复,一旦发生泄密,改对应网站的密码即可,简单省心。1password支持一键跳转改密码(但主要支持国外网站)。很多软件还支持检查密码重复度,提示修改重复的、安全性弱的密码。如果对安全性有更高追求,可以本地或用私有云盘存储(Keepass+坚果云),并定期改密。

补充一点,有些网站支持双重验证(2FA),建议开启。网站会给一个独一无二的密钥,软件会根据时间和密钥生成一次性验证码(TOTP),密码+验证码双保险。即使泄露密码,问题也不大。

热血网友体验1password

两年前就开始全线转移密码至1Password,密码长度逐渐变更维持在16-24位间,且从未使用过相同密码,支持两步验证的网站也一一开启并记录在1Password中。

而在密码条目方面,除了基础的账户/密码/网址/应用外,还着重维护了邮件和手机号的绑定信息,起码我尽最大努力做到减轻更换邮箱手机时所带来的影响。而在这之外应用许可信息、银行卡、各类密钥证书等也是统统存进了1Password。而1Password的密钥(用来登录1password)则放进了onedrive的私人保险箱中。

密码管理这类应用,最基本的需求是脱离于单一平台,全平台可用,同时老牌且有着良好信用背书的产品方能放心。无法保证服务器安全和数据稳定,自然不会考虑如Bitwarden自建密码管理系统,同样的只支持单一平台的如小米密码填充这类,也是放弃。

苹果用户

使用Apple KeyChain的,能在iOS,iPadOS,macOS和Windows间同步密码

随机生成密码用脑子和手乱输(可以避免在密码生成算法上安后门),密码管理器用苹果的备忘录(上锁,会用输入的密码加密,可以用touch/face id解锁,安全性高,不输专用的密码管理器,苹果自带的更加可信)

问题:这种软件的安全性如何保证?

除了完全断网使用,没有绝对的安全,使用过程的各个环节都可能不安全。建议用知名/开源/付费的密码软件及相关插件,重要的密码定期主动修改。

比如你在pc端新建一条密码,并通过网络和服务器同步到手机APP上使用,又或者通过浏览器插件在网页上填充密码。那么pc端、手机端的加密/解密算法,网络传输与服务器安全性,以及浏览器插件的安全性,都是需要考虑的。

对我来说,虽然现在的密码软件达不到百分之百无感,但识别错误的只是少数。随着软件对更多网站的兼容,识别率会越来越高,密码填充将成为趋势,这是便签无法取代的。
某种意义上说,密码管理软件也是种专业化便签,它关联着不同类型的数据,自动填充只是它的一种功能。如果识别错误,从密码软件中复制粘贴与便签差别不大。为了提高识别率,你还可以自定义网站的数据填充方式,提高识别率。
总之,专业的事就交给专业的软件做吧。

支付宝

支付宝有个安全备忘,扫脸才能打开,可以试试看,支付宝如果哪天被攻破了,那企业的安全将不复存在。

信息泄露部分原因

一些库上的淘宝订单数据确实是泄漏了很少的一部分,不过不是淘宝技术安全问题,而是有两种方式导致的。
1.不知道你们有没有碰到一些商店商品卖0元或者一块,这种部分贪便宜的人会购买,然后自己订单信息会被整理出售。
2.线下快递店 大部分淘宝订单数据都是由这里被泄漏,很少是由店主泄漏,而是由被有心人派内鬼进去快递店工作植入病毒到电脑里而获取数据,弄到数据就辞职,这样不断的重复。

热心网友支招

分级密码

目前使用的密码大约有6个:
A类,纯数字:基本已经没有用了(软件不允许)
B类,字母+数字(1):普通不重要软件密码一般都用这个。
B类,字母+数字(2):上一条的替代品,用的较少。
B类,字母+数字(2):上两条的替代品,用的较少。
C类,字母+数字+特殊符号:重要账户密码(涉及钱的)
D类,大小写字母+数字+特殊符号:基本作为上一条的补充,有些网站必须要这么多类型。
不重要软件密码脱库一般不改,比如这次学习通密码属于B类,我就没改。如果确实造成影响(号被别人登了),那就改一个同类的。C类一般是通讯软件,支付软件,一般不会出现问题,出问题可以改成D类或者再想一个C类。

古诗类

密码基本都是一句诗词拼音首字母缩写,

比如黄鹤一去不复返,白云千载空悠悠 hhyqbff,byqzkyy

特征码

最简单的方法就是通过软件去记密码,比如QQ可以记成sbtengxun+特征码,微信记成zhangxiaolongmeima+特征码,酷安记成guanggaoruanjian+特征码[受虐滑稽],可以根据自己习惯来进行适当缩写,可以很大程度防止撞密码,不用密码管理软件,也不用当心密码泄露

大佬型

自己设计算法,然后根据软件算出自己的密码,这样就不怕啦

懒癌型

本地笔记其实挺好用的,就是手机如果丢了你就要被全线崩盘

总结

其实这些都要自己摸索,信息泛滥的今天,公民个人信息变得尤为重要,而保护自己的信息重要性不言而喻,没有一个人想在网上变成小透明。当然,如果你有更好的方法也可以发在评论区,让网友学习。网络安全的建设与我们息息相关。

没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。——国家主席习近平

© 版权声明
THE END
喜欢就支持一下吧
点赞19赞赏 分享
评论 共80条

请登录后发表评论