在你日常条件反射般流畅输入密码的那一刻,会否怀疑过你的密码太过简单了呢?
国外就有一家名为“Splash Data”的密码管理安全公司,他们每年都会公布一个“最不安全密码排行榜”。
这些密码样本源于在过去这一年里、已遭泄密的 500 多万个密码数据。
虽然它们主要来自北美和欧洲的用户,但是这些“上榜明码”背后的设置动机和设计逻辑,对于我们同样有参考价值。
这些密码,已成“明码”
例如这前十名中,以简单数字序列居多。放在国内来看,就相当于 “8 个 8、6 个 6 、1314” 这类容易记忆又烂大街的密码。
剩下的除了“letmein”(真污)是新上榜外,“Password”、“football”等都是这个榜单上的“老油条”了(老外们是有多爱 football)。
而在接来下第 11~20 名里,虽然出现了“abc123”、“passw0rd”这类混合密码。
但是这种程度的替代变化,也就只能用来骗一骗注册时的安全程度验证机制。
在黑客的“暴力+字典破解”方法面前就和裸奔没有什么差别。
密码管理软件,真的万无一失吗?
因此想要降低泄密风险,用户首先应设立分层密码库(即多个账号不共用同一个密码);其次是采用混合型密码,增加密码的随机性。
要知道,仅是 8 位大小写英文加数字的密码,对于穷举运算来说大概有 200 万亿个结果。每增加一位破解难度自然也大大增加。
如果你担心密码太多、太长记不住,可以试试学霸君之前推送中介绍过的“1Password、oneSafe、Master Password” 等密码管理软件,只需记住一个主管理密码,就可以随时查看。
这种方法虽然方便,但如果你的电脑被植入病毒,又或是软件存在后门漏洞、遭到破解,那么这整一篮鸡蛋也是会有危险的。
所以最妥当的方法还是靠自行记忆,做到完全物理隔离。毕竟纸质记录仍有一定泄露风险。
这诚然会带来一定的记忆负担,但我们可以通过一些设计技巧,来让你的密码变得独一无二又好记。所以接下来学霸君想聊聊,如何构筑你专属又好记的密码库。
既要复杂又要好记,你可以这样设密码
针对需要使用密码的情况,大致上可以用安全级数分为三个级别(所以最少请准备 3 组密码):
“最高级别”自然是直接涉及财物的密码:如银行取款密码、支付密码等;
接着是“重要级别”,就是能间接接触到你个人信息的网站的账号密码,例如购物网站、学信网等;
最后是“普通级别”,基本上就是各种网站、论坛的会员账号。
对于最高级别的支付性密码来说,一般限于 6 位纯数字条件,不少人会直接套用生日、身份证、手机号码这些容易泄露的个人信息,这种做法自然欠妥。
因此你可以通过“位移”、“组合”甚至是“公差”这些方式改造一下你的密码。假设密码是用了生日的“ 910101”,你可以把数字顺序往右移 1 位变成“191010”;
又或者根据不同的卡附上不同的“公差”:例如 A 卡是“+2”,那么 A 卡的正确密码为“132323”;而公差为“-1”的 B 卡,对应的密码则为“809090”。
而“组合”则更简单了,把几组对自己有特殊意义的数字乱序组合起来就行。
如此一来每张卡的密码均不相同,密码也具有更强的个人特征随机性了。你记忆的不再是单纯数字,而是多个对你意义相当深刻的事物。
至于后面两种密码,没有限制则好办得多,混合型密码多数为(大小写)字母、数字和字符三部分,虽然更复杂、但我们可以通过一些自定义规则去设立记忆。
如果你会五笔输入法,可以像学霸君一样用“学霸君”三个字拆分,得到的“ipfafvtkd”再适当进行大小写区分,就是一个很好的乱序字母密码。
如果你还没把初中知识还给老师,那么任意化学反应式的一部分,如 Fe2O3 + 6HCl =2FeCl3 + 3H2O ,都可以拿来构成你的字母乱序密码部分。同理,想文艺一点的可以选择用古诗加工,例如可以变成这样:
至于数字和字符,就更容易了。
朋友你听说过毕达哥拉斯常数吗?
那圆周率 π 总该知道吧
单个字符记忆也许很复杂,但你可以使用字符类的“颜文字”。例如这个表示点赞的颜文字 “ d(d'∀')” 就能轻松又形象地解决字符的记忆需求。
上述这些规则看似很有规律,但每个人都可以根据自己喜好、做出多种不同的组合。
所以只要你不把“自创规则”告诉别人,事实上这种密码相当安全,也非常便于自己记忆。
另外如果账号有“双重验证”机制,那么保持开启也能提升安全度。
随着网络时代的发展,我们会积聚越来越多的电子账号、密码,它们就像你的身份证号码一样重要。所以对于密码设置这件事绝不能掉以轻心哦!