在Facebook出现了泄露用户资料的丑闻事件后,网际间的安全问题又一次抛到人们的现实生活中。
现在,还要另外一项网络服务需要你更换新的密码了。
Twitter于两周前公布,宣称他们发现了一个bug,其主要问题是“被存储的密码以纯文本形式存在于其内部的日志中”,而且没有经过任何常规的加密处理。尽管Twitter声称没有任何迹象表明有人窃取或利用了这些密码,但他们还是建议大家修改一下密码防患于未然。
Twitter
在此,还是给出一些有关账户密码安全方面的小提示,不管你的密码是否泄漏过,了解一下总不是坏事。
增加复杂性
千万不要尝试将"password"这样的内容当做你的密码。在选择密码时应该尽量回避一些常用的单词(或中文字词对应的拼音),因为利用软件可以很容易的进行密码猜测,而这只需要配合一个词典即可。
不过,你可以通过组合更多的单词来提升密码的健康度,比如"rocketcalendar"。如果能够再随意加入一些数字和标点符号,并且确保有些字面是大写形式的,那么你的密码就变得非常健康了。所以,把"rocketcalendar"修改成"rocket44!calendaR"会更好。(但是,请你不要再使用这个密码了。任何以明文出现在媒体上的密码,都应该已经成为黑客破解密码的数据库中所收录的内容了。)
我们也经常看到一些网络服务在设置密码时会提示密码的健康度。比如,你在Twitter输入一个新密码的时候,相关服务会提示你“太明显了”或“较弱”。我们最后做到“非常强壮”。
密码安全
保持密码的鲜活
在每个互联网应用上使用一个唯一的密码。如果你使用了"rocket44!calendaR"作为Twitter的密码,那么就别再用它作为Facebook的密码了。一旦某个黑客破译了你在某个应用服务上的密码,那么他也就获得了你在其他应用服务上的密码了。当年CSDN密码泄露后,可是给大家造成相当一阵的坐卧不安。
比较明智的做法是每个应用上使用一个新密码。有个相对简单一些的办法,就是在密码开头或末尾追加上当前应用服务的前三个字母,比如在Twitter上用"rocket44!calendaRtwi",而在Facebook上用"rocket44!calendaRfac"。
你也可以使用专门的密码管理软件来帮助自己管理和使用各种密码,不过这要确保你选用的管理软件本身不存在安全问题。如果你是采用电子表格或计算机上的其它类型文档来辅助你记录密码的话,请务必给这个文档本身进行加密处理。比如,Office本身就提供了为文档添加打开权限密码的功能。而且,一定不要将这个文件命名为"密码"或"passwords"这样的文件名,可以给它命名为"badmovies"或一些无关紧要的内容。
重置和更新
很多安全方面的专家都会建议你频繁更换你的密码,不过我们也要谨慎的面对这条建议。这里可能有个谬误,密码是不存在年龄问题的,它是两个月前新生的密码还是两年前创建的密码,并不是问题的根本所在。但如果你经常更换密码,你忘记密码的风险就会增高,然后你为了不再容易忘记,很有可能又会启用那些简单脆弱的低安全级别的密码。这才是最可怕的。
更好的保障措施
你可以忽视前面所有的建议而只采纳下面这个就足够了:开启双重身份验证。
在Twitter中这被称为"login verification"(登录验证)。每次更换新设备或浏览器进行登录时,你都会获得一个新的生成码。所以,即便是黑客获得了你的密码,他也做不了什么,除非他把你的手机也偷走了(不一定是真的拿到手里,只要他能拦截那个生成码就可以了)。
手机验证
当然,如此一来给你的手机加个访问密码就显得非常必要了,就算你的手机丢了或被偷了别人也看不到那个生成码。
本文大部分内容翻译自《Techlife News》2018/5/12
网友评论