很多人的账号被黑,密码币被盗,都是因为密码管理的问题。
一般来说,有三种情况:
- 有人为了方便记忆,采用很简单的密码。这些密码早已经在黑客的字典库中,轻易就被破解了。
- 有人把一个复杂的密码写在纸上,但是过一阵就忘记了。于是重新修改成为简单的密码。然后……同第1步一样,密码被破解了。
- 有的人的密码很复杂,但是为了方便记忆,所有网站都是用同一个密码。但是有的网站被黑客攻破,所以密码丢失。于是,对于个人来说,他/她的所有网站都被破解了。
近来,关于密码的设定标准,已经有了新的修改。过去我们认为一个完全随机的长密码是最好的,但是这样的密码无法记忆,所以很难让每个人在每个账户上使用安全密码。有句玩笑说,经过20年的训练,我们已经成功地让每个人都采用人类难以记忆、而计算机很容易猜出的密码!
现在的标准认为,攻击密码的主要是计算机暴力破解,所以密码是否随机无关紧要,只要足够长就可以抵御攻击。所以,建议大家使用pass phrase,也就是一句常常的句子来作为密码,好记又安全。
现代专家建议四种设置密码的方式:
- Bruce Schneier's Method:把一个句子转变为一个密码。
- The Electrum Method:用随机的单词组成密码。比如,我曾经用“duck can not fly”作为密码,我能记住,但是别人很难猜到,熵值也足够高,让计算机也很难猜。这种方法近年来有失效的趋势,因为黑客也开始采用以单词为单位的暴力攻击了。
- The PAO Method:讲故事,要有一个人物,一个动作,和一个对象(person-action-object)。所以,找一幅图片,然后根据图片编一个故事,作为你的密码。记住是那幅图片即可。
- 肌肉记忆法:设定一个随机密码,不要用大脑记忆,而是在键盘上反复输入n遍,直到你的肌肉记住密码为止。如果群众需要,我可以开发一个训练程序,设定一个时限和正确率,帮助大家训练。
但是最重要的原则是,每个网站的密码一定要不同,所以无论采用怎样的方式,都会带来很大的记忆负担。
比如,我有400多个网站有密码和用户名,还有注册邮箱信息。事实上,无论如何,我都不可能把所有密码记住。
所以,我们需要密码管理器。
我不推荐商业产品,只是介绍我现在使用的密码管理器:lastpass。lastpass有免费版的,但我总是使用付费版,一个月2美元,等于我在超市结帐的时候顺手拿了一盒口香糖。
即使免费版,也可以帮助你保存密码、生成强密码、浏览器插件自动填写密码、手机app同步等等功能。如果不放心,也可以将所有密码导出到本地保存,lastpass就变成一个本地密码管理器。
但是,我喜欢将密码保存在云端,这样随时都可以访问所有网站,又有足够的安全性。
只要认真使用,lastpass可以大大提高我们上网的安全性。
当然,1password或者别的自由软件系列也行。只有到了这一步,我们才能修改vps的root密码,更换登录端口,禁止root登录,采用pk方式登录等等,增加vps的安全性。
这是下一篇要讨论的内容。
测试从 steemthat发布。