“12345”真的很糟糕:您的密碼安全終極指南

已發表: 2022-01-29

我們一再提醒您,存儲和使用密碼的唯一安全方法是依靠密碼管理器,但有些人並沒有在聽。 在 PCMag 對密碼的調查中,只有 24% 的人表示使用過密碼管理器。 你們其他人在做什麼? 使用簡單的密碼,如密碼或 12345678? 記住一個複雜的密碼並在任何地方使用它? 聽著,注意密碼安全並非小事,但考慮到風險的巨大規模——如最近的 Collection #1 洩露事件所示,洩露了 7.73個被黑的電子郵件地址——你需要盡一切努力保護你的密碼安全的。

即使您使用的是最好的密碼管理器,它也不能保證您帳戶的安全——如果您使用密碼管理器來記住那些相同的舊密碼,那就不行了。 你必須深入戰壕,將壞密碼換成新的、更強大的密碼。

上述調查顯示,35% 的 PCMag 讀者​​從不更改密碼,除非因違規而被迫更改。 一般來說,並不是一件壞事。 美國國家標準與技術研究院不再建議每 90 天更改一次密碼。 NIST 現在建議使用長密碼短語,例如“Correct-Horse-Battery-Staple”,並僅在必要時更改它們。 但是,如果您使用的是糟糕的密碼,“必要時”意味著現在

是什麼造成了錯誤的密碼? 我們將看看糟糕密碼的一些屬性,然後我們將為您提供一些關於如何正確使用密碼的指導。

遠離字典

每隔幾個月,一家或另一家新聞媒體就會發布一份最糟糕的密碼列表。 我們看到很多易於鍵入的選項,例如 123456 和 12345678 以及 qwerty。 你容易嗎? 當然。 但也容易被黑客破解。 其他常見的(和較差的)密碼由簡單的字典單詞組成。 我們已經在最差密碼列表中看到了棒球、猴子和星球大戰。 這些也很容易破解。

錯誤密碼

一些安全網站在嘗試輸入一定次數的錯誤密碼後會被鎖定,但許多網站不會。 對於那些沒有猜錯鎖定的人,黑客可以將電子郵件地址列表與流行密碼列表交叉,並設置一個自動化流程來不斷嘗試組合,直到他們進入。

適當保護的網站不會將您的密碼存儲在任何地方。 相反,它通過散列算法運行密碼,這是一種單向加密。 相同的輸入總是產生相同的輸出,但沒有辦法從生成的哈希中返回原始密碼。 如果您鍵入的密碼與存儲的值相同,則您可以訪問。 即使黑客捕獲了該網站的用戶數據,他們也不會獲得密碼,而只是獲得哈希值。

但是聰明的黑客可以破解弱密碼,即使他們被散列,如果他們知道網站使用什麼散列函數。 他們首先通過散列函數運行一個巨大的常用密碼字典。 然後他們在捕獲的數據中尋找生成的哈希值。 每場比賽都是一個破解密碼。 具有最佳安全性的站點使用一種稱為鹽漬的技術來增強哈希函數,這使得這種基於表的破解成為不可能,但為什麼要冒險呢? 只是遠離字典。

不同的想法

一位朋友曾經告訴我她的完美密碼:1qaz2wsx3edc4rfv。 她只需用手指在鍵盤的四個傾斜列上滑動就可以“輸入”它。 它是如此完美,她到處都在使用它。 這是一個很大的錯誤。

幾乎每週都會有一些公司或網站出現違規的消息,暴露出成千上萬的用戶名和密碼。 聰明的受害者會立即更改密碼。 那些忽視這個問題的人可能會在黑客重置密碼後發現自己被鎖定在自己的帳戶之外。

安全觀察

那些黑客知道有太多人會回收他們的密碼。 一旦他們找到一個有效的用戶名和密碼對,他們就會在其他網站上嘗試相同的憑據。 您可能不會那麼擔心無法訪問您的企鵝俱樂部帳戶,但如果您在銀行網站上使用相同的登錄名,您就會遇到大麻煩。

它變得更糟。 如果其他人控制了您的電子郵件帳戶,他們可以首先通過更改密碼將您鎖定。 然後,他們可以通過將密碼重置鏈接通過電子郵件發送到該帳戶來侵入您的其他帳戶。 還擔心嗎?

不要個人化

使用個人信息作為密碼的基礎非常誘人,但這是個壞主意。 您的狗的名字很有可能出現在黑客用於暴力攻擊的字典中。 其他可能性,例如家庭成員的姓名首字母和出生日期可能不會落入暴力攻擊,但如果有人想專門破解您的帳戶,則該個人數據可能會助長試錯猜測攻擊。

不要以為您的個人信息是私密的。 人們可以使用幾十個網站來查找任何人的詳細信息:地址、出生日期、婚姻狀況等等。 您的社交媒體帖子可能是個人信息的另一個來源,尤其是在您沒有妥善保護您的帳戶的情況下。 一個堅定的黑客(或一個愛管閒事的鄰居)可能會猜出您根據自己的數據構建的任何密碼。

關閉後門

如果您沒有使用密碼管理器,那麼您肯定經歷過忘記網站密碼的經歷。 這太常見了,這就是為什麼幾乎每個登錄頁面都包含“忘記密碼?”的原因。 關聯。 有些網站會向您的電子郵件地址發送重置鏈接,而其他網站則允許您在回答安全問題後重置密碼。 這為任何想要破解您的帳戶的人打開了後門。

安全問答

大多數網站都為安全問題提供了糟糕的選項。 你媽媽的娘家姓什麼? 你在哪裡讀高中? 你的第一份工作是什麼? 如前所述,您的個人生活對於任何具​​有互聯網搜索技能的人來說都是一本開放的書。 如果可能,請忽略預設問題。 創建您自己的問題,並提供一個您將永遠記住但其他人無法猜到的獨特答案。

如果網站不允許您定義自己的問題,那就更難了。 在這種情況下,你最好的選擇是使用一個令人難忘的答案,這完全是一個謊言。 我母親的娘家姓是奧巴馬。 我在共產烈士中學上學。 我的第一份工作是馴獅師。 有一個風險因素,因為你可能會忘記你選擇了哪個謊言。 我建議將這些奇怪的答案作為安全說明存儲在您的密碼管理器中……但如果您使用的是密碼管理器,它會為您記住密碼。

關心你現在該做什麼

我希望我已經說服您使用通用密碼是一個糟糕的想法,就像從個人信息中構建密碼一樣。 如果你到處使用它,即使是最好的強隨機密碼也會成為一種負擔。 如果您準備好採取行動,以下是一些起點:

  • 使用密碼管理器。
  • 切換到更好的密碼管理器。
  • 為您的密碼管理器記住一個極其安全的主密碼。
  • 利用隨機密碼生成器升級您的舊密碼、錯誤密碼。
  • 您甚至可以在 Excel 中創建自己的隨機密碼生成器。
  • 盡可能啟用雙因素身份驗證。

如果安全站點不注意安全性,您仍然可能會因數據洩露而丟失該站點的憑據,但是通過使您的所有密碼長、強且唯一,您已盡一切努力保護您的在線帳戶。

嘿! 既然您在安全方面處於領先地位,請考慮添加虛擬專用網絡或 VPN。 為安全網站使用強密碼意味著其他人無法侵入您的帳戶; 添加 VPN 意味著任何人都沒有機會攔截您與這些安全站點的連接。