一、为什么我们需要密码
信息系统的密码就好比你家的锁。几乎应该没有人会说,我家不需要锁。但是在公司里,你经常会听到有些人这样说,“我的电脑里什么秘密都没有,随便看。所以有没有密码对我无所谓。用不着这么复杂的密码。”
真的是这样的吗?实际上,任何文件都会有一定的阅读范围。对你而言,某个信息可能算不上秘密,但是对于其他想要知道该信息但又不能知道的人,就是秘密了。举个例子,公开招标时参加招标企业的信息在开标前就是需要保密的信息;大部分企业人员的工资奖金信息,对于企业员工而言就是需要保密的信息。仔细想一想,你电脑中有这样的信息吗?
二、你的密码够“强”吗
密码的强和弱是相对的。
我们先来看看什么是弱密码,它也叫“弱口令”。
举几个例子,111111、123456、password、admin、88888888,这些都是弱口令,中枪了吗?
百度百科关于弱口令的定义:
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
我们可以看到,是否是弱口令的关键在于,该口令是否可以容易的被别人猜测到或者被暴力破解。对你个人而言,与你相关的常见元素如生日、账户名,虽然它可能也很长,但它很容易被猜测到。111111、123456则因为容易被暴力破解,显得很“弱”。
看一下下图“不同密码的破解时间”。以下破解采用的平台是配置双核处理器的普通计算机,横向是密码构成方式,纵向是破解时间。对于不同强度的口令,破解时间最短的几乎秒破,最长的则是22小时。如果暴力破解者使用的工具强大,则破解的时间相应更少。
百度一下“密码被暴力破解时间表”,你可以看到更多的介绍。
什么口令够“强壮”
满足一定的长度、复杂度,并避免与你相关的常见元素如生日、账户名,就可以称作强口令了。
1、密码长度不小于8位;
2、密码中不能包含用户名;
3、同时包含数字、小写字母、大写字母、特殊符号其中任意三种组合
4、定期更换,并且修改时不得与前五次重复
如何制作便于记忆的强口令
满足上述要求的口令的确足够强壮了,但是按照这样规则生成的密码,不是很好记忆。接下来就介绍两种密码生成方法,给你参考:
密码生成方式1(固定密码)
使用自己喜欢的诗歌其中的一句,取首字母构成基础密码,例如“国破山河在,城春草木深”,gpshzcccms,这时候没有大写字母,可以将首字母大写,没有特殊符号,可以加入感叹号或者问号,Gpshzcccms!
密码生成方式2(可变密码)
可变密码由基础密码加上可变部分两部分组成。其中基础密码可以按照上述方法生成;或者采用其他任意的好记的密码。
可变部分是与一个变量,是个特殊信息,你可以按照下列办法制作:例如当前访问的网站名,然后把它向左移1位,取这个值,再加入一个特殊字符。
对于百度网站,在注册账号设置密码时,我们就可以取“国破山河在”为基础密码,首字母大写,Gpshz,然后加入百度的关键词baidu,向左移位一位即是aidub。再加入特殊字符感叹号。最后的密码就是Gpshzaidub!
练习:对于搜狐网站Sohu,请你自己按照上述规则试一下创建一个密码。
制作定期更换的、便于记忆的强口令
如果你的更改周期是三次,可以选定4个基础字符作为可变部分,这部分可以是数字,也可以特殊字符。假如你的更改周期是6次,即不能与前五次密码重复,那么就需要准备六个基础字符。
以更改周期是三次为例,我们准备这样4个字符:1,2,3,4或者! @ # $(PC键盘上对应的1,2,3,4)
将该部分作为你的口令的变动部分,如果当前是一季度,你就选用1或者感叹号!
如果是二季度就用2或者艾特符号@,依次类推。
这样制作的口令,有一定的强度,同时还符合定期更换的要求,而且你一定能想的起来。
三、如何管理我们的口令,让你的信息更加“安全”
到目前为止,相信你已经可以设置一个强壮的口令了。
但是你有没有听说过“Csdn拖库”事件?
2011年12月21日,中国最大的软件开发者技术社区CSDN(Chinese software develop net,中国软件开发联盟)后台数据库被黑客恶意发布到互联网上并提供下载,此数据库中包含了642万多个用户的帐号、密码等信息,严重威胁了相关用户的信息安全。此次事件之后,人人网、猫扑、嘟嘟牛、178游戏网等多家网站的部分用户数据库也纷纷被传到网上并提供下载,甚至有媒体曝光国内十几家大型门户级网站的数据库也已经被黑客“拖库”,因此将2011年末的密码危机推向了高潮。
此次事件,主要原因应该是黑客利用网站漏洞盗取了数据库,这其中有存放数据库网站的原因。
当然作为个人用户,你也可以思考一下:如何降低自己的损失呢?
除了采用强口令,你还可以采用如下的策略:
按网站重要程度分层建立自己的密码体系
很多人为了方便记忆,所有的网站都使用一样的用户名,并且使用同样的密码。这样,在发上述拖库事件时,别有用心的人通过被恶意暴露的一组账户名和密码就可以尝试你再其他网站的用户名和密码了。
其实对于我们日常访问的网站,你可以按照你心中的重要程度,将不同网站设置不同密码。例如,对于普通论坛、个人电子邮箱、网络银行、支付宝、网络游戏、手机密码、各类云盘、微信、网上购物、外卖平台、及时通讯工具、慕课MOOC平台、知乎等,你都可以考虑设置不同的密码。
一个网站一个密码,固然很好,但是很可能又记不住了。分类分层管理你的账户密码,就是一个好的策略了。
你可以将经常访问的网站分为3类,A类为核心服务,就是与你的“钱”或者信用关联度最大的网站。例如银行账号,163电子邮箱,QQ,支付宝,微信;B类为重要服务,丢失后将影响到你生活的便利性;例如京东、亚马逊等网上购物平台,各类云盘,知乎等。C类为普通服务,丢失后不太会影响你的正常生活,例如普通论坛。每个人都不太一样,你可以自己依重要程度调整。
对于不同的网站区分设置复杂密码,密码的构成中可以加入重要程度标志位即可。例如对于支付宝登录密码,你可以设置Agpshzcccms1,其中的A就用来表示是核心服务。
这样在拖库事件爆发时,你的信息就不至于“全军覆没”了。
尽早设置可靠的密码恢复问题或者自助恢复手段
现在大的网站都会提供密码恢复的途径。例如密码恢复问题,设置密保邮箱,设置密码恢复手机号等。建议你根据你的实际情况,选用一种或多种密码恢复方式。
良好的手机及电脑使用习惯
除了上述的策略外,良好的手机及电脑使用习惯也很重要。
1、不要在不可信的网站注册账号。或者在注册时,使用与常用账号名不一样的账户名。
2、不要轻易使用“免费”WIFI。有的免费WIFI,可能就是一个“黑”WIFI,通过它来上网,虽然你可能节省了一些流量,但是你的账号密码信息很可能就被人“窃听”了。
谈谈银行卡密码
因为历史原因,银行卡普遍只有6位密码,需要提醒的是,千万不要用自己或亲人的生日来做密码,因为太容易被人猜测到。
为什么有些口令也很弱,但是人们还可以使用,例如部分银行在为单位客户大规模发放定期存单时,会选择设置存折初始密码888888。但是你要知道,银行系统采用了其他手段例如查验身份证信息,来确保存折不被冒领。
银行卡丢失,ATM试3次就会锁定,从而确保你的密码不被暴力破解。
四、结语
重视你的信息,并建立符合自己规则的密码体系。当别人说“早知道”的时候,你已经做到了
关于密码的那些事,先介绍到这里吧。
如果我的文章对您有用,您可以打赏。如果您希望转发我的文章,请保留作者姓名以及以下版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 3.0 中国大陆许可协议进行许可。
