为了纪念2019年更改密码日,卡巴斯基实验室安全研究人员建议用户使用独特以及便于记忆的密码,因为在保护数据在线安全方面,这些密码比定期更换的账户密码强度更高,也更为有效。研究人员还分享了一些简单的步骤,人们可以按照这些步骤创建自己的一系列独特密码。他们还建议用户安装密码管理工具,让这些工具帮助人们记住密码。
密码是验证在线账户的既定手段,但是创建安全和便于记忆的密码并不容易,而且对于拥有很多在线账户的用户来说,正在变得越来越困难。如果你创建的是自己很容易忘记的简单密码,那遭受黑客攻击的风险很高。但是,如果你创建更为复杂的密码,你很容易将其忘掉,所以很多情况下你都会坚持使用一个或两个密码,并且在很多网站上都使用这些密码。
卡巴斯基实验室研究人员估计,密码最大的漏洞就是重复使用它们。正如最近泄露的超过7亿邮件地址以及数百万条未加密的密码显示,来自不同泄露途径的数据可以很容易被用来进行组合进行“凭证填充”攻击,即黑客利用受害者的邮件地址/密码组合来破解他们使用相同密码的其他账户。
更改密码并不会使风险降低,而是要增强密码的强度。此外,这种强度不是建立在复杂性上,而是独特性上。
卡巴斯基实验室全球研究和分析团队(GReAT)安全研究员David Jacoby说:“对于高强度密码真正的意义,有很多困惑。很多网站现在都要求用户使用包含至少八位或大小写字母、数字和特殊符号的复杂密码。这就是很多用户认为的所谓“高强度”密码,而且看上去很令人怯步。“
Jacoby补充说:“好消息是,高强度密码并不一定意味着是可怕的!从安全角度来看这一问题,你会发现如果你每一个账户都使用一个独特的密码,那这些密码就是高强度的。有些简单的方法让他们成为独特的密码,同时又便于记忆,这样它们就不会被用来破解你的其他账户,即使在数据泄露事故中这些详情已经被曝光。此外,还有一些安全密码管理工具,可以让创建和使用数十个独特的密码更简单。”
以下这些步骤可以帮助你创建独特并且容易记住的高强度密码:
第一步:创建你的“固定字符串”(即密码中不会变化的部分)
1. 选定一个短语、一句歌词、电影中的一段话、一段同样或类似的你容易记住的内容。
2. 从前三个到五个单词中选出第一个字母。
3. 在每个字母之间添加特殊符号,例如:@/ # 等。
从现在开始,你就可以基于此字符串创建你的所有独特密码了。
第二步:利用联想的力量
1. 当你为在线账户设置密码时(例如Weibo、WeChat、Facebook、Twitter、约会网站、在线银行、购物网站或游戏网站等),写下一提到这些网站你最先想到的一个词。
2. 例如,当你为WeChat创建密码时,你可能会想到Wechat的标志是绿色的:所以你可以将“Green”这个词添加到固定字符串后面,也许全部使用大写。
David Jacoby解释说:你想使用的特殊符号是“#”,那你的WeChat密码就是:W#e#C#h#a#t#green。看上去这个密码没有什么真正的意义,如果是别人给你看也是如此。但是由于这个密码对你来说是个人的,你理解生成这个密码的系统以及与该网站相关的联想词,你就很容易将它记住!“
最好的办法是使用密码管理工具来备份、记住和安全自动填充密码,例如卡巴斯基密码管理器。卡巴斯基密码管理器是一款安全密码存储器和密码保护解决方案,能够让你为现有在线账户创建高强度的独特密码,你只需记住一个主密码就可以访问所有密码。包括卡巴斯基密码管理器在内的大多数安全密码管理解决方案都提供强大的加密功能,所以你的数据被第三方盗取的威胁很小。