这篇文章通过6个简单的技巧,帮助你打造安全、可靠、易于记忆的个人密码安全体系。
其中核心的规则是密码分组、密码加盐。
0 提高安全意识
网络时代,密码安全有多重要,无需赘述。提高安全意识主要表现在3个方面:
- 不要一个密码闯江湖 不同的网站应有不同的密码。所以,需要一个统一的密码规则。
- 不要使用弱密码和不安全密码 **弱密码(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如“123456”、“abc123”,“qwerty”等。 不安全密码指的是容易被猜到的密码,**如:
- 使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等 ?(易因个人信息泄露被猜解)
- 与帐号名称/网站名称相同或仅仅加上几个简单字符 (如注册的帐号为 tom,密码设置为 tom123)
- 定期更换密码 当然,能做到定期更换的人少之又少。
1 密码分组
首先,对网站(或应用)进行简单的分组。比如:
- 国内网站(腾讯、阿里、百度等)
- 国外网站(google、facebook、亚马逊等)
或者
- pc网站或应用
- 移动app
分组不宜过多,建议2-3个。因为太多,规则就复杂,不好记忆与操作。
就我自己而言,我用的一直是国内、国外网站2个分组。
与之相对应的密码串为:
- 国内网站 –> mzh.ren (码中人的拼音)
- 国外网站 –> matthew (英文名)
注意,mzh.ren/matthew 这只是密码的一部分。
2 密码加盐
先说一下什么是盐,维基百科是这样解释的:
盐(Salt),在密码学中,是指在散列之前将散列内容(例如:密码)的任意固定位置插入特定的字符串。这个在散列中加入字符串的方式称为“加盐”。其作用是让加盐后的散列结果和没有加盐的结果不相同,在不同的应用情景中,这个处理可以增加额外的安全性。
在大部分情况,盐是不需要保密的。盐可以是随机产生的字符串,其插入的位置可以也是随意而定。如果这个散列结果在将来需要进行验证(例如:验证用户输入的密码),则需要将已使用的盐记录下来。
简单来说是把你的密码分成两部分,一部分是不加盐的部分(这部分可以写在纸上),一部分是盐字符串(放在自己的脑海中),通过自己定的规则插入到不加盐的部分。
几个重点:
- 盐也可以应用前面分组原则
- 盐一定不要太简单,也不要太长。太长不利于记忆
- 盐的位置不固定,根据账号或密码的特性(如长度,数值)卡在不同的位置,这些规则你来定
- 盐可以有1-3个,不同类型网站不同盐,也可以同时使用多个盐
举例:
盐也可以应用前面分组原则
这里我应用的是网站、app的分组,所以密码盐为:
- pc网站或应用 –> site
- 移动app –> app
盐的位置问题
以我为例,我习惯在密码中带一个‘@’字符,这个‘@’字符是一个标志位,你可以换成别的。
盐的位置就可以放在这个@符号的前后,至于是前是后,这里也可以加上一条你自己的规则。
就我而言,是拿@字符后面的第一个字母与字符 ‘M’比较:
- 如果字符顺序在M前面,那盐就在@前面, 密码:Matthew@google.com 真实密码为 Matthewsite@google.com
- 如果字符顺序在M后面,那盐就在@后面 密码:Mzh.ren@pdd.com 真实密码为 Mzh.ren@apppdd.com
- 如果字符是M或数字,那盐就在整个密码的最后面: 密码:Matthew@500px.com 真实密码为 Matthew@500px.comapp
多个盐
大部分网站要求密码是字母+数字的组合,这里也可以搭配一个数字盐。
比如我喜欢在整个密码后面加一个数字23,为了方便记忆,这个数字不应用分组规则。
适当简写
好记忆不如烂笔头,有了盐这个东西,我们可以大胆的把这些密码写在纸上或onenote上。
首先,盐是不能写出来的。
再则,Mzh.ren/Matthew 我故意设置成同长度字符串,可以简写成M。所以,假如我们写在记事本上的密码为:
M20@pdd.com
那么实际是:
Mzh.ren20@apppdd.com23
这是一个非常复杂的密码,不知道规则的人是完全没办法猜到的。
3 账号密码同步及自动登录
当然,由于按照规则生成的密码很多时候可能需要“思考”才能想出密码来,因此登录输入时效率可能稍低。其实,我们可以借助一些靠谱的密码管理工具来管理、保存、搜索、并提高输入密码的效率,大家可以根据自己的喜好选用:
- 浏览器账号:现代浏览器都支持将历史记录、书签和密码等内容保存并同步到你的浏览器帐号中。这样一来,只要您在任何设备上登录相应的浏览器 帐号,即可访问这些内容。
- 1Password:非常值得推荐的密码管理器!跨平台支持 Win / Mac / iOS / Android,可以管理和保存你所有的密码,并加密后保存在本地,不同设备间可通过 Dropbox / iCloud 同步数据,在电脑浏览器或手机浏览器上都提供有插件,可以一键自动填写用户名密码,实现电脑和手机上的一键登录网站或一键登录支持 1Password 的 APP,也是小编目前最为推荐的密码管理软件。
- LastPass:和 1Password 功能类似,不过 Lastpass 是一个云端的服务,提供网页版以及客户端下载,你所有密码数据都保存在 Lastpass 的服务器上,想要使用或查询密码必须联网。Lastpass 也提供了浏览器插件,能实现一键登录功能。
4 双因素认证(Two-factor authentication,简称 2FA)
双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。
我们常用的双因素主要有:
- 密码 + 手机(短信验证码 或 微信扫码登录)
- PIN + 主机
所以建议重要的账号尽量使用双因素认证。能扫描的情况就尽量扫码,这样,你就会完全忘记原来的账号密码。
5 定期更改密码
如果应用程序不强制要求,能做到定期修改密码的少之又少。
写完这篇文章之后,我换了一套密码规则,修改了几个重要的密码。