概述
帐号密码为什么而生?帐户为了确认身份,密码为了确保安全。
只要你活在现代社会,你就离不开帐号密码,帐号还不止一个,密码也不会只使用一个吧,如果是一个的话,这个密码就不是密码,和明码无异了。问题是你的一生会有多少帐号密码?在一生中,我们要经历不同的阶段,要和不同的人打交道,要处理个人/家庭/公司/团体的不同事务,财务信息,个人信息,朋友联络簿等等。随着网络发展的今天,我们得社会角色也多元化,使用不同的网络服务来处理生活事务,让生活更精彩。我们活得很累,为了生存要攒够每天吃喝拉撒奶粉钱,为了生活出质量,加班也得当房奴。脑子够累的了,面对网络,我们被它吸引为之痴迷的同时,还要记帐号密码。最简单的,我们要与银行打交道,银行卡/信用卡有个pin码;在公司里,你要登陆电脑干活;在家里,玩个网络麻将/三国杀;在手机上,玩个QQ,也要个密码。
密码的形式多种多样,有使用键盘的/有手势的;有的是字符串的/有的是数字的(比如借记卡的)/还有图形的;有的自己设定/有的需要其它辅助,卡片或口令卡,U盾等等。有的好记,有的好用,有的很变态,总之,无法回避帐户密码。本文希望通过如下的叙述,一方面为自己平时习惯作个小结,也给大家一个大概的思路,如何设定帐号密码,让它更安全也好用。
帐户分类:
好多网络服务是无关紧要的,有的是“生命攸关”得,基于帐户得基于重要程度,咱门给帐号大致分分类。
- 至关重要的:级别10。私人有关的,比如银行/信用卡/股票帐号等关系个人财务的;主email信箱的;公司团体的,根据你在公司的角色不同,可能你的帐号关系到你的职位/生意,一旦密码丢失,丢失工作或生意都有可能。这些帐户的特点是,一般在特定的电脑上使用,不会随意变更。总之就是,一旦丢失死的心都有,一旦被窃损失惨重的后悔莫及伤痛欲绝,都归此类。
- 重要的:级别8。私人邮箱,Facebook, Twitter,微博,云服务;公司密码;职能手机。这些也很重要,一旦被窃取,大的可能影响声誉。
- 普通的:级别5。家里的电脑登陆密码,QQ,或者其他可以方便地取回/重置密码的服务,或者会在其它不确定是否安全的机器上登陆使用的。之所以把QQ列在这里,是因为QQ等帐号一般都保存在移动设备上,平时用不到。
- 随意的:级别1。临时的帐号,可以丢弃的密码。比如我要进去看一个东西,非要注册,注册完看了就多少年不会回来的。这种情况,一般都需要一个email信箱,那么一个最不紧要的。
密码强度:
每个帐户都有一个密码与之对应,密码是否安全,决定着这个帐号的安全。根据密码是否容易被猜测和暴力破解,确定一个密码的强度,强度越高的,越不容易破解,越安全。
一般的原则是,强度高的密码应该具备:字符长度长,没有规律,不包含常用词语,混合使用多种字符,大小写混用,这样的密码就安全,强度也越高,因为这样的密码最不容易被猜测出来和破解。
有一些软件/网站帮助你来确认一个秘密的安全度,比如注册gmail的时候,它会告诉你密码强调,比如网站PasswordMeter,OS X操作系统也提供密码强度提示;或者KeePass/RoboForm软件。
帐户密码:
每当我们给帐户一个密码的时候,首先考虑这个帐号的重要级别,越重要的,就要使用强度越高的密码。
现在email信箱成为了注册帐户和通讯的一种重要方式,而针对不同类别的服务,最好也使用不同的email,以保护自己。比如你确信安全/信任的服务商,或者需要自己身份认证的,比如银行/政府等机构的服务,最好使用自己主要email注册,这个email的安全级别也要提升为至关重要的级别,因为它和其他的至关重要事务密切相关,一旦失手,其他关键事务也会被牵连。为了方便应对生活中的不同事务,多注册几个email信箱是不可避免的了,每个信箱也可以根据用途分类使用。多个email邮箱,可以是在一个emial供应商注册多个不同的邮箱,或者在不同的email提供商注册同一个邮箱名;甚至是混用前面两个方法。为了混淆,你可能需要把每个邮箱记下来,以免混了。
由于每个服务商对密码的限制可能不同,有的限制字符类别,比如不能有符号,有的对密码长度有要求,比如不能少于8个,不能多余23个等等,这个是造成使用不同密码的另外一个因素。
有的服务会绑定一台电脑,这样如果使用另外一台电脑/系统被更新,那么可能需要重新认定。这样也会造成些许麻烦。
服务提供商应该提供一种方便而保险的方式,让用户更容易地取回/重置密码。不是所有人都可以提供注入银行级别的服务,不可能有它的覆盖面广,所以无法做到面对面的客户服务,通过网络是最常见的,比如,让用户可以自己设定几个保密问题及对应的答案,比如问题是你最喜欢的中学老师是谁,你记忆最深刻的度假地点,你的第一个宠物的名称等等,这个答案是客户根据自己的生活经历自定的,可以方便回忆起来,而且不易被猜到。
选择密码:
如何选择一个好记又安全的密码。嗯,当然不能使用生日,手机号,地址等明显和自己身份相关的。可以考虑一个场景,一个自己最喜欢的故事情节,或者一个终生难忘的度假地等等,反正就是与自己亲身经历相关排他的,组合一个短小的词,如果忘了密码,那么想起那个情节,会很容易想起这个词,使用该词的拼音/英文,变换其中的字母为数字和符号,再加上1个或两个后缀字符,构成自己的密码。比如度假去过的Redium Hot Springs in BC,旁边有一小树林(Woods),有条小溪(Stream)穿过,我家狗(Emily)差点丢在那里。于是密码:RediumWoodStreamAmily。在变换一下,可以是:R@diumW00dStr32m@m1&y8。这个可是相当的不易被猜测出来的了,还不算变态吧。
密码策略:
密码强度再高,如果因为保存不当或者使用不当而泄露,那也是功亏一篑。所以使用密码更是要注意的。下面是有个建议:
- 别使用名字姓氏,生日,住址,车牌,电话号码(119, 120),身份证号,单位名等常用的个人信息。
- 不要使用重复字符,比如8888,gogogo等,避免使用曾经使用过的密码。
- 键盘顺序密码,比如:qwerty, lkjhg。
- 系统默认密码,比如多种品牌路由器的默认密码是admin。
- 常见的密码,比如p@ssw0rd,g0ldf1sh。
- 密码强度要与帐户重要程度匹配,低级别的帐号,可以使用强度低的密码。
- 每个级别的密码千万别混用,一旦混用,被窃/丢失的可能性将会大大的增加,可能为你的生活带来大大的损失。
- 相关联的帐户,不使用相同的密码,比如银行帐户密码与注册使用的邮箱密码不能相同;或者Facebook的密码与使用其注册的邮箱密码。不相关的同级别帐户,有时为了方便以及,可以共享帐户。
- 没有一个密码可以伴随你一生都是安全的,经常定期更换密码也是必要的,尤其是对至关重要的帐号,比如每3个月更换。
- 使用至少8个字符的密码,辅以大写字母,数字和符号混合方式。也有软件可以辅助生成不同安全要求的密码。
-
重要的帐户,千万别在无法确定是否安全的机器上使用,特别是公用电脑,原因很简单,容易被盗;除非是特别紧急情况,处理完后,可别忘了回去尽快变更密码。
保管密码:
面对如此众多的密码,仅凭记忆,非常人所能掌控的,当然,记忆力超好的伤不起。找到一个适合自己的密码保管方式,写在纸上?留在智能手机里?使用密码软件?
如果你选择存放在手机里,那么手机密码就变得最最重要的了,而保存也不要使用明码保存,找个软件;即便使用明码保存,最好也变换一下,比如在最后加个随意字符,或者把一个固定位置的字母改变一下大小写,即便手机丢失,也不会被轻易破解。当然手机信息的定期备份那就变得更加重要了。
如果使用软件,那么你需要记住一个主密码,这个主密码一定要选择特别好记也特别安全的。一般的密码保管软件会使用相当强化的加密措施,以防被解密窃取,所以选择之前考虑它的加密算法的强度;另外,最好是支持多种操作系统和硬件平台的,比较好的有完全免费的KeePass, 提供免费版本的LastPass,也有在线密码保管服务商,比如Mitto, 不过要慎重选择。如果使用的电脑很有限,也可以使用操作系统提供的功能,比如OS X上的钥匙链,钥匙链可以在OS X系统上方便地迁移/备份/使用。
密码处理过程:
你的密码是如何被处理储存在服务器上的呢。
你设定密码确认后,服务系统得到你的密码,如果是稍微谨慎点的服务商,都会把你的密码加密后,得到原加密密码再存储起来。下次你登陆的时候,服务器使用最初设定密码时相同的加密过程,把你的密码加密后,再和系统储存的原加密密码比较,相同就通过认证。这个加密过程一般使用稀疏矩阵算法,这个过程时不可逆的,也就是说,你几乎无法将加密后的密码,逆向转换得到你原始密码明码。这样的好处是,即便是加密后的密码丢失,也不会造成你的原始密码被泄漏,缺点是,用户无法取回原密码,不过这个不是问题,确认客户身份后,让用户重新设一个新密码,比得到老密码要安全。
至于,很疏忽的服务商,把客户密码明码保存,或者使用任何可逆加密储存,都会给用户带来明显的危险。
帐户被窃:
有过不少的知名企业曾经被骇客攻击,丢失用户信息的,不仅为用户带来损失和不便,也为消耗了自己声誉。
2011年美国银行曾经被骇客窃取85000信用卡资料(1)。同年索尼下属的新力电脑娱乐, PlayStation Network, 简称PSN,被骇客攻击,有7千7百万用户资料,可能包括信用卡,地址,帐单,用户名,密码等信息被窃取,造成全世界PS玩家无法网络联机使用,从4月20日开始,直到6月才完全恢复服务(2)。
最近发生的,7月,苹果开发者网站被入侵,苹果公司及时关闭了该服务,过了4天后,给每个开发者用户信箱中发了一份简短的声明。直到现在,还没有恢复,也没有任何时间表,具体细节不得而知,大家都在猜测。
虽然说,这些事件与用户自己管理账户密码无关,不过,我们可以这样来理解,这些大公司会投入很多财力人力保证系统的安全,他们都无法完全阻止黑客的入侵,那么我们个人电脑被入侵的可能性会只能是高得很多。通过其它方式在保护电脑安全得同时,我们好好保护自己的账户密码是安全的第一步。他人尤其是企业泄露了你的隐私你还可以声明索赔,自己不小心只有哑巴吃黄连了。
注:
(1) http://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history
(2) http://en.wikipedia.org/wiki/PlayStation_Network
最后
以上就是爱听歌眼睛为你收集整理的跟随一生的帐号密码的全部内容,希望文章能够帮你解决跟随一生的帐号密码所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复