我们真的可以用一个密码畅游网络世界吗?
正文开始前我们先来三个问答:
1. 你的微信密码是什么?
2. 你的 QQ 密码是什么?
3. 你的微博密码是什么?
这个系列问答也许会有这样几种答案:
- 三个密码都一样,是 mima123456;
- 三个密码不一样,分别是 mima123、mima456、mima789;
- 我好像记不住我微信/QQ/微博密码了,让我想想;
- 你问我密码干啥是不是想盗我号?
除去与思路正常但与下文没有太大关系的 4 号回答,我们来看看前三种。
假设现在有一名会撬锁的小偷,他发现你家有三个箱子分别放着你微信、QQ、微博的财产。虽然箱子有锁,但小偷掏出一根铁丝捅咕两下就把你箱子开了,小偷还发现二号选手的锁形不一样,但聪明的他找到了锁的规律,拧了两下铁丝换个形状也能捅咕开。
也许会有朋友反驳说例子里的密码太过简单,但人脑能记住的密码绝大多数是有规律可循的,姓名、生日等信息在互联网时代已经能很轻松查到,用这些信息设定的密码并不算安全。就算使用了一些有独特意义的字母、数字组成密码,一旦某个网站发生密码泄露,比如已经爆出新闻的 12306、Acfun、网易邮箱,或是被木马、病毒、钓鱼网站等套取到了一个密码,别有居心的人也能通过这个密码盗取你其他网站相同密码的号,或是利用撞库工具匹配出你其他看似不同实则具有规律的密码。我们好像不可以用一个密码畅游网络世界。
❓我们为什么需要更强的密码?
更强的密码是一把精密度更高的钥匙,能更好地锁住我们的账号。但除了账号安全外,这把钥匙还能帮我们锁住什么?我想拓展谈一下隐私。
以近期爆出的新闻为例,引发用户隐私条款争议的换脸 app ZAO,拍照比「剪刀手」可能泄露指纹隐私的专家言论……当数据更大范围侵入人类生活,科技发展和伦理道德就会有更深的羁绊。理所当然,会有人以隐私换便利,论点是大数据时代你不玩 ZAO、不比「剪刀手」也已经泄露了很多个人隐私,还不如及时行乐少担心这些有的没的。
但隐私泄露并非是一个直接从 0 到 1 的过程。想要隐私 0 泄露,也许要抛弃所有电子设备逃到无人区(无人区有了人就不该叫无人区吧),但还是会留下一些痕迹。诚然数据眼里的我们早已不是神秘嘉宾,但我们还是可以做点什么,留住自己的一点小秘密。隐私和便利是天平的两端,我们可以试着平衡,当然按自己想法倾向隐私或便利也可,我并没有想说教什么。
一个账号里或多或少留有一些我们的个人信息,强密码保障了账号安全,也保障了我们的隐私安全。
❓在密码管理上我们该做什么?
那如何设置强密码来锁住我们的账号?回顾之前的问答,我们可以从下列几个方面着手。
加大密码强度
一般网站的密码支持大小写字母、数字、常见符号三种形式的组合,我们可以在设置密码时优先考虑三种形式都有用到的密码,比如q30aA+aOdf
。
此外大部分网站支持十几个甚至几十个字符的密码,长密码的破解难度也会大一些,比如.sC2>@Wbj+zid*sNtp0w:mPA
。
最重要的就是尽量避免设置有规律的密码,上面两个举例密码毫无规律但难记,可以使用cat-celsius-kindly
这类单词配合符号或数字的组合。
拒绝统一密码
现在我们有了一个强密码,但我们不能把这个密码应用到所有账号上,否则这个密码也只是加大直接破解的难度而已,一旦泄露一次后看似强壮的它和弱密码没什么不一样。因此最好是一个账号使用一个单独的强密码。
及时更换密码
爆出被泄露密码新闻的网站,我们需要及时更换自己在该网站的密码,避免被不法人士二次利用。一些重要、常用的密码最好也定期更换,毕竟相关新闻有时候可能滞后许久才报道。
❓在密码管理上我们还能做什么?
生成一批无规律、高强度的密码后,一个更棘手的问题是我们该如何记住这些密码?大脑记忆应该是最安全的,但一个偏执克制的现代人应该也有近百个密码(并没有调查过的胡说),地球上 70 亿人里应该没几个能记住这么多无规律密码。这时候我们就需要引入一个「密码管理器」的概念。
纸笔记录
初级密码管理器。你可以把自己的账号密码记录在纸质笔记本上,但这样你需要随身携带以备不时之需,并且可能需要一套真正的锁和钥匙防止他人翻阅,而且对照着长密码一个一个输入也实属不易。
密码管理应用
常见的密码管理应用有 1Password、KeePass、LastPass、Enpass、Dashlane (还有一些懒得列了)及苹果公司设备内的 iCloud 钥匙串、浏览器中的「记住密码」,它们基本可以帮你减轻生成密码、管理密码、填充密码系列工作的难度,部分应用还具有其他拓展功能。
以 1Password 为例。它需要你先设置一个主密码用于之后打开你的个人保险库,然后你可以往里面导入或新建各种不同的密码,如普通登录密码、信用卡、软件许可证等,它将通过加密算法进行存放、同步,实现你带着个人设备就等于带着所有密码的愿望。我们也许可以用一个密码畅游网络世界。
1Password 有 macOS、Windows、iOS、Android 等客户端,还有 Chrome、Safari、Firefox、Microsoft Edge 等浏览器的扩展程序,覆盖了绝大部分使用场景。我以 iOS 版 1Password 7.4.1 简单介绍一下它的使用方法。
- 密码生成
你可以在 app 内点击右上角「
➕
」新建一条密码信息并生成密码,或是提前在「设置
」-「密码与帐户
」-「自动填充密码
」中打开自动填充并在「允许的填充来源
」一栏选择1password
,当你在网站或 app 中需要生成密码时可以点击键盘上方的「🔑密码
」打开 1Password 新建一条密码信息并生成密码。
- 密码管理
1Password 支持按类别或标签整理密码信息,你可以快速通过类别寻找电子邮件、软件许可证等分类的密码信息,或是在给部分密码信息打上「工作」标签然后快速通过标签找到工作所需的密码。
更直接一些可以使用顶部的搜索框进行搜索,1Password 根据密码信息所含的网站为主流服务生成图标,方便辨认。 - 密码填充
在提前打开 1Password 自动填充的情况下,当你需要登录一个网站或 app 时点击键盘上方的「
🔑密码
」打开 1Password,它会根据目前的网站智能匹配相同网站的密码信息,实现快速填充登录。如果这个网站支持两步验证,你可以在新建或修改密码信息时选择「
添加新的一次性密码
」,并打开 1Password 的通知权限,这样在填充密码后它会复制两步验证的验证码并弹出通知提示,方便你直接粘贴验证码。
- 拓展功能
- 在 1Password 「
设置
」-「安全
」中打开「触控 ID
」或「面容 ID
」后可以使用指纹或面容打开 1Password,你的手或你的脸就是「主密码」。当这种方式验证失败后需要输入主密码。 - 在 1Password 「
设置
」-「安全
」中打开「瞭望塔
」,1Password 会将你的密码加密成一段特殊字符后提取前几个字段与泄露密码数据库对比,保障安全的同时判断你的密码有没有被泄露。 - 在 1Password 「
设置
」-「安全
」中打开「清除剪贴板
」,当你不得不从 1Password 中复制密码信息时,它会在 90 秒后清除你复制的字段,避免其他 app 恶意读取到剪贴板上的密码信息。 - 误删的密码信息可在 1Password 「
类别
」-「废纸篓
」中选择恢复。 - macOS、Windows 等桌面端 1Password 瞭望塔功能还可以提示你密码库中存在的重复密码、弱密码等, 方便你修改。
- 在 1Password 「
- 安全及隐私
古语云:世上没有密不透风的墙。1Password 等密码管理应用也并非绝对安全,但作为一款深耕密码管理十多年的产品,安全和隐私应该是他们最为看重的属性。1Password 使用 AES-256 算法加密,并且通过多种方式加密数据和传输,以期保障用户的安全和隐私。而且用密码管理应用确实比之前单一密码重复使用来得安全一些。
此外,使用密码管理应用也不代表可以将所有密码信息存放在其中,银行卡密码及其他非常重要的密码还是使用大脑记忆更为安全。 - 定价及优惠
好产品是值得付费使用的。1Password 个人订阅价格为 28 元/月、248 元/年,家庭(5 人)订阅价格为 48 元/月、408 元/年。是的它很高贵我们不配。
但它有时候也免费。1Password 联合在线平面设计软件 Canva 开展「1Password 家庭订阅版送一年」活动。你可以注册激活 Canva 账号后进入 1Password 活动页面发送邮件兑换优惠码,点击 1Password 回复的邮件链接根据指示创建账号即可开启一年家庭版体验,可以邀请四位亲朋好友组建家庭一起免费使用。用了你们可能就回不去了。