如何平衡高安全密码的必要性和轻松调用所有密码的实用性?唯一安全的密码是你记不住的,但有时你不能使用密码管理器,需要依靠你的记忆。
这篇文章最初出现在Buffer博客上。
每次发生安全漏洞时,我都会考虑这个问题。当Heartbleed漏洞在去年春天被发现时,要求每个人立即更改所有密码。它还在我的待办事项清单上。一想到被黑客入侵,我就畏缩,一想到要花时间和精力彻底修改我最喜欢的密码,我也畏缩。
听起来像你吗?
如果你碰巧有一个系统来管理你独特的,随机的,不可破解的密码,那么我的帽子你。据估计,在不重复使用密码的用户中,有8%的用户是受良好保护的。
我们其他人仍在寻找解决办法。我们知道创建一个安全的密码是最重要的,但是如何创建和调用我们需要的所有基本的、随机的密码呢?写这篇文章是为了让我的密码一目了然。下面是我学到的关于如何创建一个安全的密码,你可以记住。
密码越长,破解就越困难。考虑12个字符或更长的密码。
避免使用姓名、地名和字典中的单词。
混为一谈。使用大写、拼写、数字和标点符号的变体。
这三条规则使得黑客破解你的密码变得更加困难。密码破解者所采用的策略已经发展到了一个难以置信的高效水平,所以对于你创建的密码来说,必须与众不同。下面是一个来自安全专家Bruce Schneier的例子,说明密码破解程序已经取得了多大进展:
饼干使用不同的字典:英语单词,名字,外来词,语音模式等为根;两位数字、日期、单个符号等等。他们用不同的大写字母和常用的替换词来运行字典:“$”代表“s”,“@”代表“a”,“1”代表“l”等等。这种猜测策略很快就能破解大约三分之二的密码。
最近在Adobe等网站发生的密码泄露事件表明,我们的许多密码是多么不安全。以下是Adobe漏洞中出现的最常见密码列表。可能不用说:避免使用这些密码。
如果你想知道你选择的密码是否安全,你可以通过一个在线的密码检查器来运行它,比如OnlineDomainTools。为了强调冗长、随机、唯一的密码的重要性,在线检查器有特定的字段来显示您的密码在字符中的变化、在字典中的出现以及暴力攻击破解密码所需的时间。
提出一个随机的、不可破解的密码唯一的问题是,随机密码很难记住。如果你只是在没有韵律和理由的情况下输入字符——这是一种真正随机的方式,那么你很可能很难记住它,就像有人破解它一样。
所以使用一个看似随机的密码是有意义的,一个破解软件几乎不可能识别的密码,但对你来说有意义或熟悉。这里有四种方法可以尝试。
安全专家bruceschneier早在2008年就提出了一种密码方法,现在他仍然推荐这种方法。它的工作原理是这样的:把一个句子变成密码。
这句话可以是任何个人和难忘的你。从句子中提取单词,然后缩写并以独特的方式组合成密码。下面是我整理的四个例句。
求爱!TPwontSB=呜呼!包装工队赢得了超级碗!
PPupmoarT@O@tgs 请在杂货店多买些烤面包。
1tupuupshhh…imj=我把扣子衬衫塞进牛仔裤里。
W?ow?imp::ohth3r=我的梨在哪里?哦,那里。
管理比特币钱包需要高度的安全性和对安全密码的极大依赖。进入Electrum。Electrum钱包提供12个字的种子,让您可以访问所有比特币地址。种子作为你的比特币的主密码。
这种类型的密码也称为密码短语,它代表了一种新的安全思考方式。你可以用冗长的短语代替难以记住的字符串(注意:Bruce Schneier警告说,密码破解者现在会在猜测中把常用的字典单词放在一起,因此如果您尝试使用pass-phrase方法,请尽可能长一些。)
在xkcd的这本漫画中,传递短语的概念被很好地捕捉到了:
你怎么能创造一个自己的12字种子?听起来很简单。想出12个随机单词。
你可以从一个短语开始,比如“即使在冬天,狗也会拿着扫帚和邻居的Kit Kats聚会”,只是要确保这不是一个简单的短语或从现有文献中摘取的短语。你也可以随机抽取12个词:“配餐室鸭子棉花球帽纸巾飞机打鼾桨圣诞水坑原木魅力。”
当放入密码检查器时,上面的12个单词的密码短语显示,暴力攻击需要238378158171207万亿年才能破解。
记忆技术和助记设备可能会帮助你记住一个牢不可破的密码。至少,这是卡内基梅隆大学计算机科学家提出的理论,他们建议使用Person-Action-Object(PAO)方法来创建和存储无法破解的密码。
保罗在约书亚·福尔的畅销书《与爱因斯坦月球漫步》中大受欢迎。方法如下:
选择一个有趣的地方(拉什莫尔山)的图像。选择一张熟悉或著名人物(碧昂斯)的照片。想象一些随机的动作和一个随机的物体(碧昂斯在拉什莫尔山开着一个果冻模具)。
PAO记忆法具有认知优势;我们的大脑能更好地记住视觉上的、共享的线索和奇怪的、不寻常的场景。一旦您创建并记住了几个PAO故事,您就可以使用这些故事来生成密码。
例如,你可以从“driving”和“Jello”中提取前三个字母来创建“driJel”。对其他三个故事也可以这样做,把你编造的单词组合在一起,你就有了一个18个字符的密码,在你熟悉的其他人看来完全是随机的。
我对我的个人密码系统产生了一点兴趣,我用它来创建一些奇怪的,不寻常的,随机的密码。我的方法依赖于几个有用的记忆工具:语音和肌肉记忆。其工作原理如下:
一次一个,在最常用的网站上更改密码。在你完全记住新密码之前,输入这些新密码需要一两段时间,但是输入足够的密码应该会使你的大脑更加牢固。基于这种方法,我仍然记得多年前的密码。
在创建超级安全的密码之后,还有一个非常重要的步骤:永远不要重复使用同一个密码。
噢。我想很多人都会被这部分挂断。创建和记住一个唯一的密码本身就很有挑战性,更不用说重复多次了。我似乎每天都要注册一个新的网站或服务。一个月有30个新密码,恐怕我的大脑无法承受这些。
如何创建唯一的密码,从不重复使用单个密码,并且仍然快速高效地登录(并且不点击“忘记密码”链接)?
这就是安全性和可用性的问题真正让我明白的地方。幸运的是,有许多不同的方法可以用来解决这个难题。
密码安全的最佳选择是注册LastPass或1Password之类的工具。这些工具将为您存储密码(甚至在需要时提供随机的新密码)。您所需要做的只是记住一个主密码,它允许您访问存储的数据。输入主密码一次,其余的由密码管理工具完成。
其中一些密码管理工具可以很好地集成在浏览器中,甚至可以集成在移动设备上。加密的数据被安全地存储(工具是安全的,因为你可以上网),密码很容易检索。在几乎所有情况下,密码管理器都是最好的方法,您可能只会在从外部设备或无法访问服务的位置(真正罕见的情况)登录时注意到不便。
我遇到的另一个策略是通过在大脑中存储尽可能多的密码来最大化你的记忆。在电子邮件、Facebook、Twitter和银行等重要网站上使用原创网站。对所有不太重要的地方使用一个普通的(但很难破解的)密码。
当然,这里的风险是,如果你的一个不太重要的地方受到损害,他们都将处于危险之中。你所有重要的电子邮件,社会和金钱帐户将是安全的,这是伟大的。你被黑客入侵的discus帐户可能会发布关于你有多喜欢acai水果的帖子,这可不是什么好事。
如果你把这两种方法混在一起呢?记住最重要和最常用工具的密码,其余使用LastPass或1Password。
你甚至可以把它分开,这样你就可以记住你最常使用的密码,比如说,LastPass和1Password是你经常登录的最不容易访问的移动应用程序。
在一天结束的时候,重要的是要记住,即使是复杂的密码也可能被泄露,你不应该仅仅因为你的密码比尤利西斯长就认为你是完全安全的。它需要智慧和常识,以避免网络钓鱼诈骗和其他常见的技术,可以损害你的帐户,你应该始终启用双因素认证时,它是可用的。
如何创建一个安全的密码,你可以记住以后:4键方法|缓冲区博客
Kevan Lee是Buffer的一名内容**者,Buffer是一种在Twitter和Facebook上分享内容的更聪明的方式。
图片改编自DVARG(Shutterstock)和Zeana(Pixabay)。xkcd插图。照片由DanielSTL(Flickr)、Jean-Etienne Minh Duy Poirrier(Flickr)和J Brew(Flickr)拍摄。
想看看你在tl80上的作品吗?给安迪发邮件。
...止恶意用户进入您的电子邮件、银行和Facebook帐户的唯一方法。因此,您需要安全的密码来保护您的信息,最好的方法是使用密码管理器。 ...
拥有安全密码的最佳方法是使用密码管理器。它将为您的在线服务生成随机的文本字符串,然后您只需要记住一个密码——您用于管理器的密码。 ...
... 这就是这些应用程序的作用所在。使用不同的方法,你可以创建一个强大的密码,你可以记住以后,只是测试有多安全,它是对你的当前密码,最后更新主要的应用程序和服务与你的新密码。 ...
...实说,您应该使用离线密码生成工具,因为它是最安全的方法。在整个信息系统中发送如此敏感的信息会让你面临各种各样的问题。 ...
...动器是唯一的,是您安全地创建各种备份的唯一方法。有四种选择。现在,选择“保存到文件”,然后选择一个值得记忆的保存位置。一旦保存,点击下一个。 ...
...机密码。虽然有几种程序可以创建安全的密码,但有一种方法可以使用,这意味着您不需要任何花哨的工具或技术背景来提高帐户的安全性。 ...
...数”下,LastPass安全挑战将建议你应该更改哪些密码。有四种类型的密码:泄露、弱、重用和旧。不要担心旧密码,尽管它们是LastPass警告的最不重要的东西。 泄露的密码:你一定要改变这些。正如LastPass所说,“这些密码存在...
...子邮件时使用的辅助电子邮件地址。 Gmail有几种不同的方法来确认你的身份和恢复(或重置)你的密码。谢天谢地,他们都在一个漂亮的小巫师,Gmail将引导你通过一步一步。 启动密码恢复过程非常简单:只需单击Gmail登录页面...
...,不过如果您想将文件发送给其他人,这样更理想。以上四种方法对大多数人都适用,所以祝你好运并保持安全。