一、為什么我們需要密碼
信息系統的密碼就好比你家的鎖。幾乎應該沒有人會說,我家不需要鎖。但是在公司里,你經常會聽到有些人這樣說,“我的電腦里什么秘密都沒有,隨便看。所以有沒有密碼對我無所謂。用不著這么復雜的密碼。”
真的是這樣的嗎?實際上,任何文件都會有一定的閱讀范圍。對你而言,某個信息可能算不上秘密,但是對于其他想要知道該信息但又不能知道的人,就是秘密了。舉個例子,公開招標時參加招標企業的信息在開標前就是需要保密的信息;大部分企業人員的工資獎金信息,對于企業員工而言就是需要保密的信息。仔細想一想,你電腦中有這樣的信息嗎?
二、你的密碼夠“強”嗎
密碼的強和弱是相對的。
我們先來看看什么是弱密碼,它也叫“弱口令”。
舉幾個例子,111111、123456、password、admin、88888888,這些都是弱口令,中槍了嗎?
百度百科關于弱口令的定義:
弱口令(weak password) 沒有嚴格和準確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”等,因為這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險,因此不推薦用戶使用。
我們可以看到,是否是弱口令的關鍵在于,該口令是否可以容易的被別人猜測到或者被暴力破解。對你個人而言,與你相關的常見元素如生日、賬戶名,雖然它可能也很長,但它很容易被猜測到。111111、123456則因為容易被暴力破解,顯得很“弱”。
看一下下圖“不同密碼的破解時間”。以下破解采用的平臺是配置雙核處理器的普通計算機,橫向是密碼構成方式,縱向是破解時間。對于不同強度的口令,破解時間最短的幾乎秒破,最長的則是22小時。如果暴力破解者使用的工具強大,則破解的時間相應更少。
百度一下“密碼被暴力破解時間表”,你可以看到更多的介紹。
什么口令夠“強壯”
滿足一定的長度、復雜度,并避免與你相關的常見元素如生日、賬戶名,就可以稱作強口令了。
1、密碼長度不小于8位;
2、密碼中不能包含用戶名;
3、同時包含數字、小寫字母、大寫字母、特殊符號其中任意三種組合
4、定期更換,并且修改時不得與前五次重復
如何制作便于記憶的強口令
滿足上述要求的口令的確足夠強壯了,但是按照這樣規則生成的密碼,不是很好記憶。接下來就介紹兩種密碼生成方法,給你參考:
密碼生成方式1(固定密碼)
使用自己喜歡的詩歌其中的一句,取首字母構成基礎密碼,例如“國破山河在,城春草木深”,gpshzcccms,這時候沒有大寫字母,可以將首字母大寫,沒有特殊符號,可以加入感嘆號或者問號,Gpshzcccms!
密碼生成方式2(可變密碼)
可變密碼由基礎密碼加上可變部分兩部分組成。其中基礎密碼可以按照上述方法生成;或者采用其他任意的好記的密碼。
可變部分是與一個變量,是個特殊信息,你可以按照下列辦法制作:例如當前訪問的網站名,然后把它向左移1位,取這個值,再加入一個特殊字符。
對于百度網站,在注冊賬號設置密碼時,我們就可以取“國破山河在”為基礎密碼,首字母大寫,Gpshz,然后加入百度的關鍵詞baidu,向左移位一位即是aidub。再加入特殊字符感嘆號。最后的密碼就是Gpshzaidub!
練習:對于搜狐網站Sohu,請你自己按照上述規則試一下創建一個密碼。
制作定期更換的、便于記憶的強口令
如果你的更改周期是三次,可以選定4個基礎字符作為可變部分,這部分可以是數字,也可以特殊字符。假如你的更改周期是6次,即不能與前五次密碼重復,那么就需要準備六個基礎字符。
以更改周期是三次為例,我們準備這樣4個字符:1,2,3,4或者! @ # $(PC鍵盤上對應的1,2,3,4)
將該部分作為你的口令的變動部分,如果當前是一季度,你就選用1或者感嘆號!
如果是二季度就用2或者艾特符號@,依次類推。
這樣制作的口令,有一定的強度,同時還符合定期更換的要求,而且你一定能想的起來。
三、如何管理我們的口令,讓你的信息更加“安全”
到目前為止,相信你已經可以設置一個強壯的口令了。
但是你有沒有聽說過“Csdn拖庫”事件?
2011年12月21日,中國最大的軟件開發者技術社區CSDN(Chinese software develop net,中國軟件開發聯盟)后臺數據庫被黑客惡意發布到互聯網上并提供下載,此數據庫中包含了642萬多個用戶的帳號、密碼等信息,嚴重威脅了相關用戶的信息安全。此次事件之后,人人網、貓撲、嘟嘟牛、178游戲網等多家網站的部分用戶數據庫也紛紛被傳到網上并提供下載,甚至有媒體曝光國內十幾家大型門戶級網站的數據庫也已經被黑客“拖庫”,因此將2011年末的密碼危機推向了高潮。
此次事件,主要原因應該是黑客利用網站漏洞盜取了數據庫,這其中有存放數據庫網站的原因。
當然作為個人用戶,你也可以思考一下:如何降低自己的損失呢?
除了采用強口令,你還可以采用如下的策略:
按網站重要程度分層建立自己的密碼體系
很多人為了方便記憶,所有的網站都使用一樣的用戶名,并且使用同樣的密碼。這樣,在發上述拖庫事件時,別有用心的人通過被惡意暴露的一組賬戶名和密碼就可以嘗試你再其他網站的用戶名和密碼了。
其實對于我們日常訪問的網站,你可以按照你心中的重要程度,將不同網站設置不同密碼。例如,對于普通論壇、個人電子郵箱、網絡銀行、支付寶、網絡游戲、手機密碼、各類云盤、微信、網上購物、外賣平臺、及時通訊工具、慕課MOOC平臺、知乎等,你都可以考慮設置不同的密碼。
一個網站一個密碼,固然很好,但是很可能又記不住了。分類分層管理你的賬戶密碼,就是一個好的策略了。
你可以將經常訪問的網站分為3類,A類為核心服務,就是與你的“錢”或者信用關聯度最大的網站。例如銀行賬號,163電子郵箱,QQ,支付寶,微信;B類為重要服務,丟失后將影響到你生活的便利性;例如京東、亞馬遜等網上購物平臺,各類云盤,知乎等。C類為普通服務,丟失后不太會影響你的正常生活,例如普通論壇。每個人都不太一樣,你可以自己依重要程度調整。
對于不同的網站區分設置復雜密碼,密碼的構成中可以加入重要程度標志位即可。例如對于支付寶登錄密碼,你可以設置Agpshzcccms1,其中的A就用來表示是核心服務。
這樣在拖庫事件爆發時,你的信息就不至于“全軍覆沒”了。
盡早設置可靠的密碼恢復問題或者自助恢復手段
現在大的網站都會提供密碼恢復的途徑。例如密碼恢復問題,設置密保郵箱,設置密碼恢復手機號等。建議你根據你的實際情況,選用一種或多種密碼恢復方式。
良好的手機及電腦使用習慣
除了上述的策略外,良好的手機及電腦使用習慣也很重要。
1、不要在不可信的網站注冊賬號。或者在注冊時,使用與常用賬號名不一樣的賬戶名。
2、不要輕易使用“免費”WIFI。有的免費WIFI,可能就是一個“黑”WIFI,通過它來上網,雖然你可能節省了一些流量,但是你的賬號密碼信息很可能就被人“竊聽”了。
談談銀行卡密碼
因為歷史原因,銀行卡普遍只有6位密碼,需要提醒的是,千萬不要用自己或親人的生日來做密碼,因為太容易被人猜測到。
為什么有些口令也很弱,但是人們還可以使用,例如部分銀行在為單位客戶大規模發放定期存單時,會選擇設置存折初始密碼888888。但是你要知道,銀行系統采用了其他手段例如查驗身份證信息,來確保存折不被冒領。
銀行卡丟失,ATM試3次就會鎖定,從而確保你的密碼不被暴力破解。
四、結語
重視你的信息,并建立符合自己規則的密碼體系。當別人說“早知道”的時候,你已經做到了
關于密碼的那些事,先介紹到這里吧。
如果我的文章對您有用,您可以打賞。如果您希望轉發我的文章,請保留作者姓名以及以下版權聲明:本作品采用知識共享署名-非商業性使用-禁止演繹 3.0 中國大陸許可協議進行許可。
