“12345”真的很糟糕:您的密码安全终极指南

已发表: 2022-01-29

我们一再提醒您,存储和使用密码的唯一安全方法是依靠密码管理器,但有些人并没有在听。 在 PCMag 对密码的调查中,只有 24% 的人表示使用过密码管理器。 你们其他人在做什么? 使用简单的密码,如密码或 12345678? 记住一个复杂的密码并在任何地方使用它? 听着,注意密码安全并非小事,但考虑到风险的巨大规模——如最近的 Collection #1 泄露事件所示,泄露了 7.73亿个被黑的电子邮件地址——你需要尽一切努力保护你的密码安全的。

即使您使用的是最好的密码管理器,它也不能保证您帐户的安全——如果您使用密码管理器来记住那些相同的旧密码,那就不行了。 你必须深入战壕,将坏密码换成新的、更强大的密码。

上述调查显示,35% 的 PCMag 读者从不更改密码,除非因违规而被迫更改。 一般来说,并不是一件坏事。 美国国家标准与技术研究院不再建议每 90 天更改一次密码。 NIST 现在建议使用长密码短语,例如“Correct-Horse-Battery-Staple”,并仅在必要时更改它们。 但是,如果您使用的是糟糕的密码,“必要时”意味着现在

是什么造成了错误的密码? 我们将看看糟糕密码的一些属性,然后我们将为您提供一些关于如何正确使用密码的指导。

远离字典

每隔几个月,一家或另一家新闻媒体就会发布一份最糟糕的密码列表。 我们看到很多易于键入的选项,例如 123456 和 12345678 以及 qwerty。 你容易吗? 当然。 但也容易被黑客破解。 其他常见的(和较差的)密码由简单的字典单词组成。 我们已经在最差密码列表中看到了棒球、猴子和星球大战。 这些也很容易破解。

错误密码

一些安全网站在尝试输入一定次数的错误密码后会被锁定,但许多网站不会。 对于那些没有猜错锁定的人,黑客可以将电子邮件地址列表与流行密码列表交叉,并设置一个自动化流程来不断尝试组合,直到他们进入。

适当保护的网站不会将您的密码存储在任何地方。 相反,它通过散列算法运行密码,这是一种单向加密。 相同的输入总是产生相同的输出,但没有办法从生成的哈希中返回原始密码。 如果您键入的密码与存储的值相同,则您可以访问。 即使黑客捕获了该网站的用户数据,他们也不会获得密码,而只是获得哈希值。

但是聪明的黑客可以破解弱密码,即使他们被散列,如果他们知道网站使用什么散列函数。 他们首先通过散列函数运行一个巨大的常用密码字典。 然后他们在捕获的数据中寻找生成的哈希值。 每场比赛都是一个破解密码。 具有最佳安全性的站点使用一种称为盐渍的技术来增强哈希函数,这使得这种基于表的破解成为不可能,但为什么要冒险呢? 只是远离字典。

不同的想法

一位朋友曾经告诉我她的完美密码:1qaz2wsx3edc4rfv。 她只需用手指在键盘的四个倾斜列上滑动就可以“输入”它。 它是如此完美,她到处都在使用它。 这是一个很大的错误。

几乎每周都会有一些公司或网站出现违规的消息,暴露出成千上万的用户名和密码。 聪明的受害者会立即更改密码。 那些忽视这个问题的人可能会在黑客重置密码后发现自己被锁定在自己的帐户之外。

安全观察

那些黑客知道有太多人会回收他们的密码。 一旦他们找到一个有效的用户名和密码对,他们就会在其他网站上尝试相同的凭据。 您可能不会那么担心无法访问您的企鹅俱乐部帐户,但如果您在银行网站上使用相同的登录名,您就会遇到大麻烦。

它变得更糟。 如果其他人控制了您的电子邮件帐户,他们可以首先通过更改密码将您锁定。 然后,他们可以通过将密码重置链接通过电子邮件发送到该帐户来侵入您的其他帐户。 还担心吗?

不要个人化

使用个人信息作为密码的基础非常诱人,但这是个坏主意。 您的狗的名字很有可能出现在黑客用于暴力攻击的字典中。 其他可能性,例如家庭成员的姓名首字母和出生日期可能不会落入暴力攻击,但如果有人想专门破解您的帐户,则该个人数据可能会助长试错猜测攻击。

不要以为您的个人信息是私密的。 人们可以使用几十个网站来查找任何人的详细信息:地址、出生日期、婚姻状况等等。 您的社交媒体帖子可能是个人信息的另一个来源,尤其是在您没有妥善保护您的帐户的情况下。 一个坚定的黑客(或一个爱管闲事的邻居)可能会猜出您根据自己的数据构建的任何密码。

关闭后门

如果您没有使用密码管理器,那么您肯定经历过忘记网站密码的经历。 这太常见了,这就是为什么几乎每个登录页面都包含“忘记密码?”的原因。 关联。 有些网站会向您的电子邮件地址发送重置链接,而其他网站则允许您在回答安全问题后重置密码。 这为任何想要破解您的帐户的人打开了后门。

安全问答

大多数网站都为安全问题提供了糟糕的选项。 你妈妈的娘家姓什么? 你在哪里读高中? 你的第一份工作是什么? 如前所述,您的个人生活对于任何具有互联网搜索技能的人来说都是一本开放的书。 如果可能,请忽略预设问题。 创建您自己的问题,并提供一个您将永远记住但其他人无法猜到的独特答案。

如果网站不允许您定义自己的问题,那就更难了。 在这种情况下,你最好的选择是使用一个令人难忘的答案,这完全是一个谎言。 我母亲的娘家姓是奥巴马。 我在共产烈士中学上学。 我的第一份工作是驯狮师。 有一个风险因素,因为你可能会忘记你选择了哪个谎言。 我建议将这些奇怪的答案作为安全说明存储在您的密码管理器中……但如果您使用的是密码管理器,它会为您记住密码。

关心你现在该做什么

我希望我已经说服您使用通用密码是一个糟糕的想法,就像从个人信息中构建密码一样。 如果你到处使用它,即使是最好的强随机密码也会成为一种负担。 如果您准备好采取行动,以下是一些起点:

  • 使用密码管理器。
  • 切换到更好的密码管理器。
  • 为您的密码管理器记住一个极其安全的主密码。
  • 利用随机密码生成器升级您的旧密码、错误密码。
  • 您甚至可以在 Excel 中创建自己的随机密码生成器。
  • 尽可能启用双因素身份验证。

如果安全站点不注意安全性,您仍然可能会因数据泄露而丢失该站点的凭据,但是通过使您的所有密码长、强且唯一,您已尽一切努力保护您的在线帐户。

嘿! 既然您在安全方面处于领先地位,请考虑添加虚拟专用网络或 VPN。 为安全网站使用强密码意味着其他人无法侵入您的帐户; 添加 VPN 意味着任何人都没有机会拦截您与这些安全站点的连接。