就您的在线安全而言,强密码至关重要,您需要为每个社交媒体、银行账户、流媒体服务 和应用程序设置一个唯一的密码。但是由于要跟踪的帐户太多,很容易(而且非常容易)养成对所有内容都使用相同登录凭据的坏习惯。
如果您的数据遭到泄露,弱密码可能会造成严重后果,例如身份盗用。去年报告的数据泄露事件数量 创下新纪录,更不用说 2021 年泄露超过 5000 万客户个人信息的 T-Mobile 黑客事件了。
后密码世界的身份保护对我们大多数人来说并不存在。因此,与此同时,请尝试这些有助于最大程度降低数据泄露风险的最佳做法。继续阅读以了解如何创建和管理最佳密码、如何在密码被泄露时收到警报,以及让您的登录更加安全的重要提示。这里有三个旧的密码规则,但今天却变得愚蠢了。
使用密码管理器来跟踪您的密码
强密码长度超过八个字符,难以猜测,包含各种字符、数字和特殊符号。最好的可能很难记住,特别是如果您为每个站点使用不同的登录名(推荐)。这就是密码管理器的用武之地。
1Password 或 Bitwarden 等值得信赖的密码管理器可以 为您创建和存储强而长的密码。它们适用于您的台式机和手机。
需要注意的是,您仍然需要记住一个主密码来解锁所有其他密码。所以让那个尽可能强大(见下文以获得更具体的提示)。
谷歌 Chrome等浏览器也带有密码管理器,但我们的姊妹网站TechRepublic 担心浏览器如何保护它们存储的密码,并建议改用专用应用程序。
具有单一主密码的密码管理器当然是黑客的明显目标。密码管理器并不完美。LastPass 在 2019 年修复了一个可能暴露客户凭证的缺陷。值得赞扬的是,该公司对潜在的漏洞利用以及在发生黑客攻击时将采取的措施保持透明。
是的,您可以写下您的登录凭据。
我们知道:此建议与我们被告知的有关在线保护自己的所有内容背道而驰。但密码管理器并不适合所有人,一些领先的安全专家,如Electronic Frontier Foundation,建议将您的登录信息保存在纸上或笔记本上是跟踪您的凭据的可行方法。
我们谈论的是真实的、老式的纸张,而不是像 Word 文件或Google电子表格这样的电子文档,因为如果有人可以访问您的计算机或在线帐户,他们也可以访问该电子密码文件。
当然,有人也可能闯入您的房子并带走您一生的密码,但这似乎不太可能。在工作或家中,我们建议将这张纸放在安全的地方——比如锁上的办公桌抽屉或柜子——并且远离视线。限制知道您密码所在位置的人数,尤其是您的金融网站。
如果您经常出差,随身携带密码会在您放错笔记本的地方带来更大的风险。
查看您的密码是否已被盗
您无法始终阻止密码泄露,无论是通过数据泄露还是恶意黑客攻击。但是您可以随时检查您的帐户是否有可能被盗用的提示。
Mozilla 的Firefox Monitor和Google 的密码检查可以向您显示哪些电子邮件地址和密码已在数据泄露中泄露,以便您采取行动。Have I Been Pwned还可以显示您的电子邮件和密码是否已被泄露。如果您确实发现自己遭到了黑客攻击,请参阅我们的指南以了解如何保护自己。
避免在密码中使用常见的单词和字符组合
目标是创建一个其他人不会知道或能够轻易猜到的密码。远离“密码”等常用词、“我的密码”等短语和“qwerty”或“thequickbrownfox”等可预测的字符序列。
也避免使用您的姓名、昵称、您的宠物的名字、您的生日或周年纪念日、您的街道名称或任何其他人可以从社交媒体或从与飞机上或在飞机上与陌生人的真诚交谈中找到的与您相关的内容酒吧。
密码越长越好:8 个字符是起点
8 个字符是创建强密码的最佳起点,但登录时间越长越好。电子前沿基金会和安全专家Brian Krebs以及其他许多 人建议使用由三个或四个随机单词组成的密码短语以提高安全性。然而,由不相连的单词组成的较长密码短语可能难以记住,这就是您应该考虑使用密码管理器的原因。
不要回收你的密码,认真的
值得重申的是,跨不同帐户重复使用密码是一个糟糕的主意。如果有人发现了您为一个帐户重复使用的密码,他们将拥有您使用该密码的所有其他帐户的密钥。
修改通过添加前缀或后缀而更改的 root 密码也是如此。例如,PasswordOne、PasswordTwo(由于多种原因,它们都不好)。
通过为每个帐户选择一个唯一的密码,破解一个帐户的黑客无法使用它来访问所有其他帐户。
避免使用已知被盗的密码
黑客可以毫不费力地使用以前被盗或以其他方式暴露的密码进行自动登录尝试(称为凭据填充 )来闯入帐户。如果您想检查您正在考虑使用的密码是否已经在黑客攻击中暴露,请转到我是否被破解并输入密码。
无需定期重置密码
多年来,每 60 或 90 天更改一次密码是一种长期接受的做法,因为 人们认为 破解密码需要多长时间。
但微软 现在建议,除非您怀疑您的密码已被泄露,否则您不需要定期更改它们。原因?我们中的许多人,由于被迫每隔几个月更改一次密码,就会养成创建易于记忆的密码或将其写在便签上并贴在我们的显示器上的坏习惯。
使用双因素身份验证……但尽量避免使用短信代码
如果小偷确实窃取了您的密码,您仍然可以通过双因素身份验证 (也称为两步验证或 2FA)阻止他们访问您的帐户,这是一种安全保障措施,需要您输入只有您拥有的第二条信息(通常是一次性代码)在应用程序或服务登录之前。
这样,即使黑客确实破解了您的密码,但如果没有您的受信任设备(例如您的手机)和确认确实是您的验证码,他们也无法访问您的帐户。
虽然通过手机短信或固定电话通话接收这些代码很常见也很方便,但黑客很容易通过SIM 交换欺诈窃取您的电话号码,然后拦截您的验证码。
一种更安全的接收验证码的方法是使用Authy、Google Authenticator或Microsoft Authenticator等身份验证应用程序自行生成和获取它们。设置完成后,您可以选择注册您的设备或浏览器,这样您就无需在每次登录时都进行验证。
在密码安全方面,积极主动是您最好的保护。这包括了解您的电子邮件和密码是否在暗网上。如果您发现您的数据已被泄露,我们会指导您了解在黑客获得您的银行和信用卡帐户访问权限时该怎么做。