如何平衡高安全密碼的必要性和輕鬆呼叫所有密碼的實用性?唯一安全的密碼是你記不住的,但有時你不能使用密碼管理器,需要依靠你的記憶。
這篇文章最初出現在Buffer部落格上。
每次發生安全漏洞時,我都會考慮這個問題。當Heartbleed漏洞在去年春天被髮現時,要求每個人立即更改所有密碼。它還在我的待辦事項清單上。一想到被駭客入侵,我就畏縮,一想到要花時間和精力徹底修改我最喜歡的密碼,我也畏縮。
聽起來像你嗎?
如果你碰巧有一個系統來管理你獨特的,隨機的,不可破解的密碼,那麼我的帽子你。據估計,在不重覆使用密碼的使用者中,有8%的使用者是受良好保護的。
我們其他人仍在尋找解決辦法。我們知道建立一個安全的密碼是最重要的,但是如何建立和呼叫我們需要的所有基本的、隨機的密碼呢?寫這篇文章是為了讓我的密碼一目瞭然。下麵是我學到的關於如何建立一個安全的密碼,你可以記住。
密碼越長,破解就越困難。考慮12個字元或更長的密碼。
避免使用姓名、地名和字典中的單詞。
混為一談。使用大寫、拼寫、數字和標點符號的變體。
這三條規則使得駭客破解你的密碼變得更加困難。密碼破解者所採用的策略已經發展到了一個難以置信的高效水平,所以對於你建立的密碼來說,必須與眾不同。下麵是一個來自安全專家Bruce Schneier的例子,說明密碼破解程式已經取得了多大進展:
餅幹使用不同的字典:英語單詞,名字,外來詞,語音模式等為根;兩位數字、日期、單個符號等等。他們用不同的大寫字母和常用的替換詞來執行字典:“$”代表“s”,“@”代表“a”,“1”代表“l”等等。這種猜測策略很快就能破解大約三分之二的密碼。
最近在Adobe等網站發生的密碼洩露事件表明,我們的許多密碼是多麼不安全。以下是Adobe漏洞中出現的最常見密碼列表。可能不用說:避免使用這些密碼。
如果你想知道你選擇的密碼是否安全,你可以透過一個線上的密碼檢查器來執行它,比如OnlineDomainTools。為了強調冗長、隨機、唯一的密碼的重要性,線上檢查器有特定的欄位來顯示您的密碼在字元中的變化、在字典中的出現以及暴力攻擊破解密碼所需的時間。
提出一個隨機的、不可破解的密碼唯一的問題是,隨機密碼很難記住。如果你只是在沒有韻律和理由的情況下輸入字元——這是一種真正隨機的方式,那麼你很可能很難記住它,就像有人破解它一樣。
所以使用一個看似隨機的密碼是有意義的,一個破解軟體幾乎不可能識別的密碼,但對你來說有意義或熟悉。這裡有四種方法可以嘗試。
安全專家bruceschneier早在2008年就提出了一種密碼方法,現在他仍然推薦這種方法。它的工作原理是這樣的:把一個句子變成密碼。
這句話可以是任何個人和難忘的你。從句子中提取單詞,然後縮寫並以獨特的方式組合成密碼。下麵是我整理的四個例句。
求愛!TPwontSB=嗚呼!包裝工隊贏得了超級碗!
PPupmoarT@O@tgs 請在雜貨店多買些烤麵包。
1tupuupshhh…imj=我把釦子襯衫塞進牛仔褲裡。
W?ow?imp::ohth3r=我的梨在哪裡?哦,那裡。
管理比特幣錢包需要高度的安全性和對安全密碼的極大依賴。進入Electrum。Electrum錢包提供12個字的種子,讓您可以訪問所有比特幣地址。種子作為你的比特幣的主密碼。
這種型別的密碼也稱為密碼短語,它代表了一種新的安全思考方式。你可以用冗長的短語代替難以記住的字串(註意:Bruce Schneier警告說,密碼破解者現在會在猜測中把常用的字典單詞放在一起,因此如果您嘗試使用pass-phrase方法,請盡可能長一些。)
在xkcd的這本漫畫中,傳遞短語的概念被很好地捕捉到了:
你怎麼能創造一個自己的12字種子?聽起來很簡單。想出12個隨機單詞。
你可以從一個短語開始,比如“即使在冬天,狗也會拿著掃帚和鄰居的Kit Kats聚會”,只是要確保這不是一個簡單的短語或從現有文獻中摘取的短語。你也可以隨機抽取12個詞:“配餐室鴨子棉花球帽紙巾飛機打鼾槳聖誕水坑原木魅力。”
當放入密碼檢查器時,上面的12個單詞的密碼短語顯示,暴力攻擊需要238378158171207萬億年才能破解。
記憶技術和助記裝置可能會幫助你記住一個牢不可破的密碼。至少,這是卡內基梅隆大學電腦科學家提出的理論,他們建議使用Person-Action-Object(PAO)方法來建立和儲存無法破解的密碼。
保羅在約書亞·福爾的暢銷書《與愛因斯坦月球漫步》中大受歡迎。方法如下:
選擇一個有趣的地方(拉什莫爾山)的影象。選擇一張熟悉或著名人物(碧昂斯)的照片。想象一些隨機的動作和一個隨機的物體(碧昂斯在拉什莫爾山開著一個果凍模具)。
PAO記憶法具有認知優勢;我們的大腦能更好地記住視覺上的、共享的線索和奇怪的、不尋常的場景。一旦您建立並記住了幾個PAO故事,您就可以使用這些故事來生成密碼。
例如,你可以從“driving”和“Jello”中提取前三個字母來建立“driJel”。對其他三個故事也可以這樣做,把你編造的單片語合在一起,你就有了一個18個字元的密碼,在你熟悉的其他人看來完全是隨機的。
我對我的個人密碼系統產生了一點興趣,我用它來建立一些奇怪的,不尋常的,隨機的密碼。我的方法依賴於幾個有用的記憶工具:語音和肌肉記憶。其工作原理如下:
一次一個,在最常用的網站上更改密碼。在你完全記住新密碼之前,輸入這些新密碼需要一兩段時間,但是輸入足夠的密碼應該會使你的大腦更加牢固。基於這種方法,我仍然記得多年前的密碼。
在建立超級安全的密碼之後,還有一個非常重要的步驟:永遠不要重覆使用同一個密碼。
噢。我想很多人都會被這部分結束通話。建立和記住一個唯一的密碼本身就很有挑戰性,更不用說重覆多次了。我似乎每天都要註冊一個新的網站或服務。一個月有30個新密碼,恐怕我的大腦無法承受這些。
如何建立唯一的密碼,從不重覆使用單個密碼,並且仍然快速高效地登入(並且不點選“忘記密碼”連結)?
這就是安全性和可用性的問題真正讓我明白的地方。幸運的是,有許多不同的方法可以用來解決這個難題。
密碼安全的最佳選擇是註冊LastPass或1Password之類的工具。這些工具將為您儲存密碼(甚至在需要時提供隨機的新密碼)。您所需要做的只是記住一個主密碼,它允許您訪問儲存的資料。輸入主密碼一次,其餘的由密碼管理工具完成。
其中一些密碼管理工具可以很好地整合在瀏覽器中,甚至可以整合在移動裝置上。加密的資料被安全地儲存(工具是安全的,因為你可以上網),密碼很容易檢索。在幾乎所有情況下,密碼管理器都是最好的方法,您可能只會在從外部裝置或無法訪問服務的位置(真正罕見的情況)登入時註意到不便。
我遇到的另一個策略是透過在大腦中儲存盡可能多的密碼來最大化你的記憶。在電子郵件、Facebook、Twitter和銀行等重要網站上使用原創網站。對所有不太重要的地方使用一個普通的(但很難破解的)密碼。
當然,這裡的風險是,如果你的一個不太重要的地方受到損害,他們都將處於危險之中。你所有重要的電子郵件,社會和金錢帳戶將是安全的,這是偉大的。你被駭客入侵的discus帳戶可能會釋出關於你有多喜歡acai水果的帖子,這可不是什麼好事。
如果你把這兩種方法混在一起呢?記住最重要和最常用工具的密碼,其餘使用LastPass或1Password。
你甚至可以把它分開,這樣你就可以記住你最常使用的密碼,比如說,LastPass和1Password是你經常登入的最不容易訪問的移動應用程式。
在一天結束的時候,重要的是要記住,即使是複雜的密碼也可能被洩露,你不應該僅僅因為你的密碼比尤利西斯長就認為你是完全安全的。它需要智慧和常識,以避免網路釣魚詐騙和其他常見的技術,可以損害你的帳戶,你應該始終啟用雙因素認證時,它是可用的。
如何建立一個安全的密碼,你可以記住以後:4鍵方法|緩衝區部落格
Kevan Lee是Buffer的一名內容**者,Buffer是一種在Twitter和Facebook上分享內容的更聰明的方式。
圖片改編自DVARG(Shutterstock)和Zeana(Pixabay)。xkcd插圖。照片由DanielSTL(Flickr)、Jean-Etienne Minh Duy Poirrier(Flickr)和J Brew(Flickr)拍攝。
想看看你在tl80上的作品嗎?給安迪發郵件。
...在本文中,您將瞭解在iPhone上安全快速地儲存密碼的主要方法。使用icloud鑰匙鏈在iphone上儲存密碼iCloudKeychain是一種工具,用於在所有蘋果裝置上儲存密碼、信用卡資訊和其他安全資訊。因此,無論何時需要登入網站或填寫Wi-Fi...
...們就有可能注意到你裝置的MAC地址。這將使得主動白名單方法有些無用,因為竊賊可以欺騙白名單裝置的MAC。 ...
...惡意使用者進入您的電子郵件、銀行和Facebook帳戶的唯一方法。因此,您需要安全的密碼來保護您的資訊,最好的方法是使用密碼管理器。 ...
擁有安全密碼的最佳方法是使用密碼管理器。它將為您的線上服務生成隨機的文字字串,然後您只需要記住一個密碼——您用於管理器的密碼。 ...
... 這就是這些應用程式的作用所在。使用不同的方法,你可以建立一個強大的密碼,你可以記住以後,只是測試有多安全,它是對你的當前密碼,最後更新主要的應用程式和服務與你的新密碼。 ...
...實說,您應該使用離線密碼生成工具,因為它是最安全的方法。在整個資訊系統中傳送如此敏感的資訊會讓你面臨各種各樣的問題。 ...
... 與KeePass相比的另一個優勢是能夠儲存四種不同型別的敏感資訊:登入憑據、借記卡或信用卡資訊、身份文件和安全筆記。您可以進一步按資料夾組織這些條目、新增收藏夾或搜尋資料庫。 ...
...機密碼。雖然有幾種程式可以建立安全的密碼,但有一種方法可以使用,這意味著您不需要任何花哨的工具或技術背景來提高帳戶的安全性。 ...
...存服務,使用256位AES加密;您可以執行所有常規任務,如建立資料夾、管理連結和共享私人文件。 ...