不久前 163 出现大规模密码安全事件,加上之前的 CSDN,不断有大型网站被脱裤,最简单的办法不是使用各种密码管理软件,而是拥有一套自己的密码体系,针对不同的网站创建不同安全程度的密码。@Appinn
密码分级
就 @Ender 个人而言,对于需求不同的网站,密码各不一样,主要有以下几类:
- 只为下载资源的各种不知名网站/论坛
- 一般的网站/论坛
- 重要的网站/论坛
- 购物类网站(淘宝/京东/亚马逊)
- 邮箱/常用社交软件
- 银行/支付软件
针对第一种,一般来讲并不注册使用,而是通过类似 10minutemail(十分钟邮箱) 之类的一次性邮箱注册,密码也是采用最基本的 6 位数字密码,使用完即丢弃。
至于经常访问的网站和论坛以上分级,都采用最高安全的 数字+字母+特殊字符 形式的密码。
密码创建
基本规则:基本密码+网站辨识+特殊符号
比如对于小众软件来说,密码可以设为 A_bWnycyz0807n ,取网站域名第一个字母和最后一个字母作为网站辨识符,中间为基本密码,最好也不要采用生日之类让人很容易猜出来的密码,可以使用一句诗(薄雾浓云愁永昼)+特殊数字(比如脱单的日子)。
特殊符号可以根据不同的网站进行分类,比如 3 类的统一使用 “_”,4 类的使用 “!” 等等。
而那些不太重要的网站基本统一使用中间的 通用密码+Lastpass 管理即可。
二次验证
对于比较重要的账号,一定要开启二次验证,微信,QQ 都可以通过腾讯的 QQ 安全中心进行管理,而大多数常用邮箱,比如Gmail,Outlook,都可以通过 Google Authenticator 进行管理。这样等于多了一层密码,让邮箱远离被盗的可能。
至于银行密码,如果这个都记不住,也许需要去看看医生了。
update: 以下为青小蛙同学的密码管理经验:
还是基于前面的想法,如果决定使用如 KeePass、LastPass、1Password 以及 Intuitive Password 等在线密码管理工具,首要原则是一个网站对应一个密码,因为使用了密码管理,密码全部由随机生成。
并且密码位数尽可能的长,最低标准也要在 12 位以上,尽量包含大小写、特殊字符和数字,比如上图的密码,想通过穷举或者密码字典几乎不可能破译。而一个网站对应一个密码,对于撞库(由于密码相同,A 网站泄露的密码被成功登录 B 网站)也能成功幸免。
最后了,快去找个时间改密码吧。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/162559.html