网站搜索

您的密码很糟糕,是时候采取一些措施了


新的一年即将来临,我们中的数百万人仍在使用绝对糟糕的密码。它不一定是那样的。您将使今年成为优秀密码的一年,我们将向您展示如何做到这一点。

你怎么知道我的密码很糟糕?

我们知道您个人的密码很糟糕吗?不。您可能是少数了解良好密码卫生重要性的人之一,并实际实施了一个系统来实现这一目标(对您有好处)。我们是否知道总的来说,普通人群使用糟糕的密码?是的,是的,我们有。

我们怎么知道呢?因为有些公司从每年(相当不幸)发生的所有数据泄露中收集所有密码转储并分析密码。这些密码转储通常包含数十万到数百万个密码,很容易全面了解人们使用的密码类型(以及他们对密码安全的重视程度)。

一家名为 SplashData 的公司(SplashData 个人密码管理器和 TeamID 企业密码管理系统的制造商)自 2011 年以来一直在编制和发布人们最常用的密码列表。以下是 2011、2012、2013、2014 年的列表和 2015 年。虽然您可以自己查看所有列表,但我们冒昧地为您并排列出了每年的前十名:

没错:过去五年最流行的密码是“password”和“123456”。此列表中的条目甚至都不是尝试好的密码,它们只是纯粹的懒惰。更糟糕的是,随着时间的推移几乎没有变化。 (虽然有趣的是,龙在五年的时间里已经超过了猴子。)

鉴于自 2011 年以来发生了多少引人注目的数据泄露事件,您会认为您至少会看到 边际 朝着更好的密码方向发展。但很明显,数以百万计的人仍在使用如此简单的密码,你甚至不需要使用高级工具来破解它们;你可以猜出他们就像你是 90 年代写得不好的电视节目中的一个过于聪明的黑客。

您可能正在查看列表并拍拍自己的背,因为您没有使用如此荒谬的简单密码,但您的密码真的更好吗?在任何人开始过分恭喜自己之前,让我们回顾一下什么是好的密码。

什么是好的密码?

良好的密码卫生规则并不复杂,而且随着时间的推移它们也不会发生太大变化。尽管如此,很少有人真正忠实地追随他们。这是一个好的密码的组成部分:

长度。好的密码很长。作为一般规则,密码越长,使用暴力和字典方法破解就越困难(当然也更难猜到)。您应该始终努力超过最小密码长度。如果该网站说您需要一个至少包含六个字符的密码,请延长密码。

复杂性。作为一般规则,您应该避免使用简单的词。避免使用字典单词、地名和专有名词。你的中间名、你的狗的名字、州名、流行音乐家,都是可怕的密码组成部分,因为它们很可能已经在密码破解者使用的表格和文件中。如果您确实在密码中使用“dog”、“house”或“blue”等字词,您应该在同一个密码中至少使用其中的四个字词,并以减少出现这种情况的方式可能会受到暴力攻击,例如“MyDog$House!sBlue”。

独特性。这是最重要的,也是大多数人被绊倒的地方。比仅仅拥有一个好的密码更重要的是为您访问的每个网站设置不同的密码。您可以拥有世界上最好的密码,一个如此神奇的密码,超级计算机需要数十年才能破解它,但如果公司的整个系统遭到破坏并且黑客发现了它,他们就会知道,并且他们可以访问任何帐户你用它。

我们怎么强调这部分都不为过。如果您在多个网站上使用相同的密码,并且这些网站中一个被盗用,那么一个不务正业的人可以像您一样登录这些网站中的任何。如果您在多个网站上使用了相同的密码并且该密码也是您用于电子邮件地址的密码,那么您将陷入痛苦的境地。您的个人电子邮件不仅会(而且很可能会)被泄露,而且攻击者还可以重置您拥有的任何帐户的密码。在这一点上,你几乎已经给了攻击者众所周知的你家的钥匙。

现在您可能会嘲笑您甚至可以满足我们上面概述的基本要求的想法。您访问的每个 站点的长、复杂且唯一的密码?但是有很多网站!你怎么可能把 100 个不同的密码都整理好?这将我们带到密码卫生改造的下一步:使用密码管理器。

你需要一个密码管理器

曾几何时,您可能有几个密码需要在您的大脑中玩弄。您在家里和工作时都记录了您的计算机登录信息,也许在在线购物的早期兴起期间跟踪了 Amazon 和 eBay,当然还有您的银行登录信息。只需很少的密码,就可以轻松记住一些强密码。

然而,那些日子早已一去不复返了。从账单支付到购物再到产品注册和软件更新,各种在线服务的激增确保即使是临时用户也有数十个登录名和密码需要保持正确。在某些情况下,它甚至有数百个(目前我的个人收藏中有超过 300 个登录名/密码)。地球上没有任何人可以跟踪数百个唯一密码。哎呀,我认识一些只有一对夫妇的人,但偶尔还是会忘记他们。 (“让我们看看,是 monkey! 还是 monkey1?还是 monkey 中有一个大写的 M?呃,我再重新设置一下。”)

在当今时代,一个好的密码管理器至关重要。密码管理器可以快速解决困扰现代密码使用的所有问题。使用像 LastPass 这样的密码管理器可确保您可以轻松地为您使用的每项服务创建、使用和调用长、强且唯一的密码。事实上,一个好的密码管理器可以在您的计算机和手机上运行,并且无需您动一下手指就可以自动让您登录所有内容,因此您无需再次输入密码。它方便并且安全。

考虑到我们都需要跟踪的登录次数、数据泄露的频率以及因重复使用相同密码(尤其是敏感网站)引起的问题数量,没有理由不使用密码管理器来生成和存储安全密码。如果您不熟悉密码管理器的概念,或者您担心使用完全基于云的系统,请查看您的指南为什么应该使用密码管理器以及如何开始使用。

您需要双因素身份验证

因此,您已经安装了密码管理器并为您使用的每个站点生成了唯一的复杂密码。你是摇滚明星。但是,在新的一年里,您应该优先考虑密码安全难题的最后一块:双因素身份验证。

双因素身份验证很简单:它仅意味着您需要两种不同类型的身份验证才能登录站点。带密码的帐户具有单因素身份验证:您只需要密码即可获得访问权限。具有双因素身份验证的帐户需要两件事:您的密码,输入公司发送到您手机的 6 位数 PIN。这使得人们更难侵入您的帐户。即使您的密码被泄露,他们也无法登录您的帐户,因为他们没有您的手机。

双因素身份验证在银行网站、大型零售商(如亚马逊)以及 LastPass 等面向安全的网站和服务中变得越来越普遍。如果您使用的服务提供双因素身份验证,通常没有理由不利用它。至少,您需要对任何服务(如您的银行或密码管理器)的妥协使用双因素身份验证,这些服务会造成严重困难或身份盗用风险。查看我们的双因素身份验证指南,了解有关如何设置它的更多信息。这是保护帐户安全的最佳方法之一。

良好的密码习惯并不光鲜亮丽,但却非常必要。不要再过了一年,你发现自己为电子邮件登录和银行输入了完全相同的密码,同时想着“伙计,我真的应该停止对所有事情都使用相同的密码。”明年,当又一轮数据泄露产生另一份最糟糕的密码清单时,你甚至不应该感到一丝担忧。因为您的所有密码都将被平方:长、复杂且独特。

图片来源:Automobile Italia。