本文作者William,首发于支付宝“金融简单说—金融凯侃”,欢迎关注。
摘要:电子时代,密码可谓是保护我们个人信息最重要的屏障之一,随着数据泄露事件频发,密码的安全性也越来越成为关注的焦点。
最近看了部号称“年度悬疑佳作”的“神片”《网络迷踪》,惊叹于电影本身所采用的新颖的“全镜头全屏幕”表达形式,也被电影所想表达的“亲情”内核温暖。在观影过程中,作为男主的父亲尝试找回女儿社交媒体账号密码的“神操作”,颇为精彩:
1. Chrome搜索Facebook,Facebook登陆页面上自动显示Margot的谷歌邮箱,但是没有自动输入密码。
2. 点击忘记密码,弹出对话框显示系统将验证码发送到地址为margot.p.kim@gmail.com的邮箱,要求输入刚才发送到邮箱的验证码。
3. 打开谷歌邮箱登录页面后,David选择找回密码,首先显示的问题是“输入一个你记得的最后一个密码”,显然他不知道,于是选择换一个问题,探出密码重置服务,对话框显示会发送一个临时验证码到地址为pa****@yahoo.com的邮箱,选择发送后,弹出的页面要求输入该六位验证码。
4. 打开雅虎邮箱,输入pamkim@yahoo.com,输入密码margot0401,找到刚才谷歌发送的邮件,验证码为853510。
5. 回到谷歌邮箱(第3步),输入验证码,弹出的窗口显示创建新密码,David输入了新密码后,打开了Margot的谷歌邮箱,找到了Facebook发送的验证码282295。
6. 回到Facebook(第2步),输入验证码后设置新的密码,成功登陆Margot的Facebook。
在这个电子时代,我们每天都要和形形色色的密码打交道。而我们设定的密码本身的安全系数,禁得住“找回密码”和“被破解”的考验吗?下面我们就从文件加密与账号密码两个维度出发,和大家分享有关密码安全性与设置技巧的话题。
通常我们会用到的密码,包括账号密码与文件密码两种,而类似银行卡密码、权限密码等特殊的情形,也可以分类到这两种密码中参照适用。
账号密码与文件密码,既有其共性的问题,又存在着各自的特殊性,因此在具体谈两者的技巧前,我们首先要了解什么样的密码能被称为好密码。
1、密码越长越好吗?
虽然通常而言,密码越长,被人猜出的可能性就越低,似乎意味着只要密码够长,就一定是一个好密码。但实际情况并非如此。根据信息论,暴力破解一个密码的难度取决于信息熵的大小,而密码长度只是决定信息熵的一个因素,另一个重要因素则是密码内容的复杂度。
用人话说,就是如果一个长密码只由字母、数字等单一类型构成,即使长如“geiwodiangezan”,也存在较高被暴力破解的可能性。换言之,如果在密码中加入其它类型的字符,即使长度相对不长,也能很好地提升其安全性,例如“dI1nG1za=”。
2、什么密码容易被破解?
很多人在设置密码的时候,觉得自己选的密码只有自己能想到,就天真地认为自己的密码不会被破解。然而我们说的弱密码,不仅仅是“123456”这样谁都可能猜到的密码,还包括一些看起来很精巧但实际上并不安全的密码,这些弱密码的构成主要有以下几种:
(1)顺序或重复的字符:最常见的操作就是使用键盘上的相邻字母/字符,典型的密码就包括了“12345678”、“666666”、“abcdefg”、“qwert”等;
(2)使用数字或符号的仅外观或读音类似的替换:例如使用数字“1”、“0”替换英文字母“i”、“O”,字符“@”替换字母“a”、数字“1”替换字母“e”、字母“l”等;
(3)使用显性内容的一部分:例如使用登录名、文件名、文件日期等中的一部分或全部作为密码的内容;
(4)使用常用的单词:如自己、熟人、宠物、昵称、地点的名字及其缩写,常用的单词及其缩写等;
(5)使用常用数字:比如自己或熟人的生日、电话号码、证件编号等,以及这些数字与名字、称号等字母的简单组合。
因为弱密码的类型比较固定,所以就出现了一种暴力破解方式,是将所有常见密码预先组合并穷举形成一个字典文件,再套用这个字典文件进行破解,在这种情况下很可能几分钟内就能尝试完字典中的密码。因此对于弱密码而言,并不能有效抵抗暴力破解。
文件加密在密码选择上有更多的可能性,主要依照上述指南避免使用弱密码即可,但是需要注意的是,因为文件加密在很多情况下使用的都是临时密码,所以在设置时需要格外注意避免使用文件收发双方的个人信息、发送时间、文件名等容易被猜想到的信息作为密码内容。
同时在进行文件加密时,我们还需要特别注意避免出现以下的情形:
1、避免将密码与加密文件通过同一渠道发送给接收方:没错,虽然这样做的漏洞显而易见,但还是不乏邮件正文写上明文密码的同时将加密文件作为附件发送给对方的神操作;
2、避免使用错误的加密方式:例如Word自带的加密功能存在一定的可破解性(取决于Word版本),因此还可以采用例如压缩文档并设置压缩文档密码的方式再次加密。
账号密码早已与我们的日常生活息息相关,互联网上的大多数网站,都提供注册账号服务。那么这么多的账号,我们又该如何选择设置密码呢?
1、区分每个账户的重要性,并为每个重要帐户单独设置一个不同的密码(密码应尽量使用他人难以看出规律的组合,减少密码之间的关联性,必要时可以使用例如1Password之类的软件生成并记录随机密码);
2、重视设置密码恢复选项,并及时更新这些信息(为了避免黑客利用个人信息重置密码,密码恢复选项的问题答案可以充满想象力);
3、能开启两步验证的网站(甚至例如安全令等更高安全级别的功能),建议开启;
4、 点击邮箱、短信中的链接登录网站时需谨慎,确认是否为官网(仿冒苹果公司网站页面,骗取用户iCloud账号的情况屡见不鲜)。
后 记
以上所列的密码技巧,某种程度上是与我们喜欢便捷、偷懒的天性相悖的,因此遵循这些技巧就需要额外的毅力,我们需要考虑的,是在便捷与安全之中寻找一个适合自己的平衡点。
「 本文仅代表作者个人观点 」
号外
号外 ! 号外 !
互金凯侃系列课程要开课啦!
2018年12月20日晚上八点整
赶紧搬好小板凳
扫码免费听
👇
👇
