1、阅读本文预计需要 7 分钟,并提供了资源下载。2、本文是「网上冲浪指南」专题i28篇的首次发布。世界上难办的事情分两种:一种是困难的,一种是麻烦的。
密码管理属于第二种。
密码是属于那种如果简单了,就容易被盗,而如果复杂了,又容易记不住的事情。
本期内容就帮大家彻底解决这个问题。
文章的一开始可能会点难理解,但别担心,到了后面的实际操作,也就“抖音cmd黑客”的水平。
密码是怎么被盗的
只要你上网,你的密码就有被盗的可能,因为风险可能发生在上网的每一个环节。
比如在输入密码时,如果电脑中了盗号木马,那么密码就会被窃取。
又比如在网络传输时,如果密码是明文传输,又或者你访问的网站本身就是钓鱼网站,那么密码一样也会被窃取。
也就是我们把密码交给了网站,但网站保管不善将密码泄漏了出去,比如 2011 年的“CSDN 密码外泄事件”,就有超过 600 万帐号密码被泄露。
1、拖库
业界把黑客窃取网站数据库的行为,叫做“拖库”,也戏称叫做“脱裤”。
在众多数据库泄漏事件中,最有名的当属 2013 年 Adobe 公司的数据库泄漏。
事件影响超过 1.52 亿个帐户,于是一个叫做 https://haveibeenpwned.com(我被搞了吗?)的网站成立,只需要输入邮箱就可以查询自己的帐号是否泄漏。
2、洗库
网站一旦被入侵,如果数据库未经加密,那你的密码就相当于裸露在黑客面前,此前的“CSDN密码外泄事件”就是明文储存密码。
现在大多数网站都会采用“MD5 加密”,也就是将用户密码散列成 32 位字符,这个过程单向不可逆,所以理论上无懈可击。
但黑客们会对密码进行枚举破解,然后把密文做成一个索引表,由此来反推原始密码,这个索引表也叫做“彩虹表”。
业界把黑客对数据库进行破解,然后按一定格式进行整理的行为,叫做“洗库”。
在这种情况下,一些网站还会在 MD5 加密的基础上进行加盐(Salt)。
也就是在原来的基础上添加一个随机数,然后再重新获得一个 MD5 加密值,这样密码的安全性就大大提高。
可要是你的密码很简单!
即便是加密加盐,通过“彩虹表”还是可以破解。
所以一些涉及财产的网站,会要求用户进行“二次验证”,比如有 短信验证码、邮件验证码、数字验证码、动态令牌、Usb Key 等方式。
3、撞库
洗库成功后,黑客还会把有效的帐号密码,去到别的网站上登陆,这个过程叫做“撞库”。
原因是很多人喜欢在不同的网站上都使用同一套帐号密码,虽然方便,但这就像是一把可以打开多扇门的钥。
此前的“京东密码泄漏事件”,就是黑客通过“撞库”的方法,凑巧地获得了一些京东用户的数据,而京东本身的的数据库并没有泄漏。
黑客还会将有效的数据库在黑市出售或者交换,久而久之形成的“社工库”就非常的庞大,撞库成功的几率也就非常的高。
你的密码被盗也就不奇怪了。
常见密码管理方法
所以,要保障密码安全,我们要做的是:使用复杂密码,还有在不同网站使用不同密码。
可想要让密码也同时容易记住,那就需要些技巧了,目前有两种方法:
1、基础密码变形法
一种方法是通过「基础密码+网站名称+变化规则」来构建一套密码清单:
选择一句话做为基础密码,然后取这句话的拼音或者英文。比如 “网上冲浪指南2021” 的拼音是:wsclzn2021。
取各个网站域名的第 1~2 和第 3~4 位字母,分别加入到密码的开头和结尾。
比如 baidu.com 取前面 4 位字母就是 ba 和 id,混合加入后就是:bawsclzn2021id。
比如把 2021 里的 21 变成按 Shift 键之后的特殊字符 @! ,也就是:bawsclzn20@!id。
又比如把密码的第 2 位和倒数第 2 位字母变成大写字母,也就是:bAwsclzn20@!Id。
如此一来,我们就得到了一套适用于多个网站,且看似乱码实则安全容易记的密码清单了。
可是,这套密码清单算不上绝对的安全。
首先,黑客也不傻,只需要对比两三个样本后,变化规则就被看穿了。
其次,如果某个网站需要改密码,那么就会在原来的规则之上增加例外规则,例外规则多了,密码管理也就混乱了。
2、密码管理工具法
于是,另一种完全不用记密码,甚至不需要任何技术的方法出现,也就是使用密码管理工具。
它的思路是,让每个网站都有一个独立的随机密码,然后将这些密码保存起来,需要时就会自动填充,我们只需要记住一个主密码就行。
这样的密码管理工具很多,比如有:
BitWarden、EnPass、Lastpass、KeePass 和 1PassWord 等等。
这些密码管理工具采用了 AES-256 这类极高的加密算法,除非量子计算机出来,否则完全没有暴力破解的可能。
密码管理工具的选择有很多,免费付费的都有,BitWarden 是目前最适合一般用户的选择,开源免费不说,上手还极其的简单。
如何做好密码管理
1、快速登录
如果是个人电脑,可以设置 BitWarden “从不退出”。
而如果是公司电脑,那么可以用 PIN 码的登录方式,手机端还支持 TouchID、FaceID 这样的生物识别技术,很方便。
2、自动填写密码
使用右键菜单,又或者使用快捷键 Alt+L(可自定义)就可以手动填写密码。
勾选“设置—> 选项—> 启用页面加载时的自动填充”,拓展就会自动填写密码,省去了选择的烦恼。
如果出现不能保存的情况,那么需要点击右上角的“+”图标手动来添加。
至于想登陆 QQ 等客户端软件时,使用快捷键 Alt+K 打开密码库,复制密码,然后粘贴到登陆窗口就可以了。
3、自动填写表单
BitWarden 的自动填表功能包括 4 类:登陆、支付卡、身份、安全笔记。
用于保存私密信息,比如银行卡卡号、软件序列号等之类的都可以保存在这里。
在注册帐号时,我们需要输入用户名、电子邮箱、姓名、地址等信息。
如果事先将这一套“身份”信息保存起来,注册时就会自动填写,需要区分大号大号时,还可以设置多套“身份”信息。
4、主密码忘记了怎么办?
BitWarden 有密码提示功能,可以通过邮件获得。
但如果你连密码提示都不记得了,那就只能通过邮件将 BitWarden 帐号删除,然后你注册过的网站密码,可以通过“忘记密码”找回。
所以千万别忘记主密码。
5、公共场所登录怎么办?
比如需要在网吧、图片馆、别人电脑等非私密场合使用,那么可以使用手机端的 “Send” 功能。
也就是将密码以“链接”的形式分享出去,设置链接的有效期为访问 1 次后失效,这样就不用担心密码会泄漏的问题。
6、无法自动填写怎么办?
有一些网站无法自动填充密码,也无法粘贴密码,但好在这样的网站极少,如果真遇到了,那就用“基础密码变形法”手动设置一个密码吧。
做到这些,几乎这一辈子你都不会有密码安全的问题。能做到这些,这一辈子就几乎不会有密码安全,以及密码记不住的问题了。
如果有其他的问题,欢迎在评论区里留言,我会尽可能的回复。
最后,如果再有人经常密码被盗,再有人记不住密码,那就把这篇文章发给他…
回复关键字
i
查看本系列的所有文章,
回复关键字
i28
获取本文提到的所有资源1、点在看,帮助更多的人看到这篇文章。
2、写留言,对文章进行评论,我会尽可能回复。
3、点关注,关注我并星标,第一时间获取更新。
Long-press QR code to transfer me a reward
点赞就相当于打赏了!
As required by Apple's new policy, the Reward feature has been disabled on Weixin for iOS. You can still reward an Official Account by transferring money via QR code.
Send to Author