您的密码安全吗？ 使用这些方法来检查一下！

矩阵精选

Matrix是一个小众写作社区。 我们提倡分享真实的产品体验、实践经验和想法。 我们偶尔会精选Matrix最优质的文章来展示最真实的用户体验和意见。

文章仅代表作者个人观点，少数方仅对标题和格式稍作修改。

2019年12月，密码安全服务公司SplashData发布了第九届年度“百大最糟糕密码排行榜”——2019年最糟糕的密码（视频链接）。 据报道，该列表是在收集了超过 500 万个泄露密码后编制的，其中大部分来自北美和欧洲用户。

SplashData 估计，大约 10% 的用户至少使用过前 25 个错误密码中的一个。 3%的用户使用过“123456”。 “2019年最糟糕的密码”前25名名单如下。 您当前正在使用任何密码吗？

与2018年排名相比排名密码变化

123456

—

123456789

⬆️1

全键盘

⬆️6

密码

⬇️2

1234567

⬆️2

12345678

⬇️2

12345

⬇️2

我爱你

⬆️2

111111

⬇️3

10

123123

⬆️7

11

abc123

⬆️7

12

qwerty123

⬆️13

13

1q2w3e4r

14

行政

⬇️2

15

奎尔蒂尤奥普

16

654321

⬆️3

17 号

555555

18

迷人的

19

7777777

20

欢迎

⬇️7

21

888888

22

公主

⬇️11

23

龙

24

密码1

—

25

123qwe

“错误密码”有哪些危害？

2020年，互联网让每一位网民都接触到了各种各样的密码，他们深知密码安全的重要性。 很多同学可能都有过QQ号被盗的经历。 在抱怨腾讯安全措施不足之后，我们是否反思过我们的密码是否是“坏密码”？ 足够安全吗？

“错误密码”的危险是显而易见的：

错误的密码很容易导致帐户被盗！ 错误的密码很容易导致帐户被盗！ 错误的密码很容易导致帐户被盗！

我们以上表中排名第13的密码1q2w3e4r为例，看看黑客破解它需要多长时间

令人惊奇的是，只需要2秒就可以破解！ 我还特意选择了看起来相当不规则的密码1（密码安全性与复杂性关系不大，后面会提到）。 如果您想知道您的密码是否泄露，您可以到这里输入您的电子邮件地址进行验证。 注意！ 请输入您的电子邮件地址，请勿输入密码！ 2

如何保证密码安全？ 为了避免全世界都有一个密码，我们应该使用“一把钥匙打开一扇门”，而不是“一把万能钥匙打开所有门”。

相信大多数朋友都不会使用SplashData发布的“100个最差密码排行榜”中的密码。 但可以肯定的是，您将为多个帐户共享相同的密码，以便更容易记住。 也许您认为您的密码太复杂，别人无法猜到。 然而，无论密码看起来多么安全，只要多个账户共享相同的密码，就存在“撞库”风险。

“凭证填充”的英文名称为Credential Stuffing，其含义如下：

撞库是指黑客收集互联网上已泄露的用户和密码信息，生成相应的字典表，并尝试批量登录其他网站，从而获取一系列可以登录的用户。许多用户使用同一个帐户和密码在不同的网站上，因此黑客可以获取用户在A网站上的帐户并尝试登录B网站。这可以理解为撞库攻击。

例如，支付宝的安全级别比QQ更高。 如果您的两个帐户共享相同的密码，并且黑客针对您的帐户，他会首先尝试破解QQ密码。 一旦成功，他就会破解支付宝账户。 触手可及吗？ 因此，无论密码有多复杂，共用同一个密码都会大大降低密码的安全性。 更有什者，有些人会主动泄露自己的密码。

不要按套路设置密码

您可能不会设置“前 100 个最差密码”列表中的密码，但您可能会使用姓名缩写、生日或其他常见数字，但这些非常不安全。 在现在的互联网环境下，诈骗者可以准确地告诉你你的身份证号码。 您的姓名和生日等信息会保密吗？

我们建议您自定义一套规则并设置专属密码。 当然，每个人都是不同的。 具体可以参考人民日报给出的建议。

图片来自人民日报微博。 密码越复杂越安全吗？

在设置密码时，出于安全考虑，很多平台都要求用户设置一个非常复杂且难记的密码，比如至少8个字符，包括大写字母、小写字母、阿拉伯数字、特殊字符等，这给很多朋友带来了困扰。令人头疼的是：他们必须制定一个符合要求的复杂密码，并且必须找到一种方法来记住它。 过了一段时间，他们就会忘记了，但这真的太南方了！

图片来自 Dribbble

为什么我们需要设置包含大写字母、小写字母、阿拉伯数字和特殊字符的密码？ 事实上，这是前美国国家标准与技术研究所 (NIST) 工程师 Bill Burr 在 2003 年编写的官方密码安全指南中提出的原则，建议人们使用不规则的大写字母、特殊字符和密码。 设置至少包含数字的密码，并最好定期更改，此后已被世界各地的政府、企业和消费者广泛采用。

然而，在 2017 年，即比尔·伯尔 (Bill Burr) 提出这一原则 14 年后，他承认当年写的关于密码安全的官方指南具有误导性。 事实上，遵循这一原则并不会提高密码的安全性，反而会使密码更容易受到攻击，因为用户设置复杂的密码后，可能会重复使用，或者为了避免忘记，常常会写下来甚至粘贴下来。在他们的电脑旁边。 定期更改密码的建议也具有误导性，因为许多人只更改部分字符，从而使黑客更容易破解已泄露的密码。

美国国家网络安全与通信一体化中心（NCCIC/US-CERT）在2018年给出的密码设置建议中，并未提及设置阿拉伯数字、大小写字母和特殊字符的组合密码，而是强调：尽可能使您的密码尽可能长。

因此，密码的安全性与其复杂程度关系不大，而与其长度密切相关！

为了验证更长的密码是否更安全，我在密码安全测试网站卡巴斯基上做了测试。 我使用了以下6个密码，长度从8位增加到12位，来测试暴力破解所需的时间：

I_6s@5Y$I_6s@5Y$OI_6s@5Y$O?I_6s@5Y$O?zI_6s@5Y$O?z9I_6s@5Y$O?z9%

测试结果如下图所示。 可以看出，密码每增加一位数字，暴力破解所需的时间就会呈指数级增长。 因此，可以肯定的是，密码越长，越安全。

一般认为16位密码是比较安全的。 以目前计算机的计算能力，计算出这种强度的密码需要很长时间。 当然，随着技术的进步，这个时间可能会不断缩短。 因此，我们建议您尽可能设置长度至少为 16 个字符的密码。

值得注意的是，既然密码安全性与其复杂性关系不大，为什么我在上面的例子中将密码设置得非常复杂呢？ 从排列组合的角度来看，可供选择的字符类型越多，组合方式越多，暴力破解的难度就越大。 因此，在密码足够长的基础上，可以认为密码越复杂越安全。

开启两步验证

双因素身份验证（2FA），也称为两步验证和双因素身份验证，是帐户保护的第二层保护。 顾名思义，两步验证需要经过两步来验证用户的身份，这可以为网络安全增加一层额外的保护。 即使密码被盗，帐户仍然安全。 两步验证一般要求用户提供两类信息，例如密码、个人识别码、邮箱验证码、短信验证码、指纹、安全问题等，以提高账户安全性，然后用户才能登录。步骤通常是密码，第二步是其他验证信息。

图片来自 Dribbble

启用两步验证后，在新设备上登录您的账户需要2步：

照常输入账户密码，然后输入验证信息（信任设备确认、短信验证码、邮箱验证码等） 信任设备确认

短信验证码

电子邮件验证

2020年，几乎常用的账户都支持两步验证，例如Apple ID、Google账户、Twitter、Dropbox。 对于支持两步验证的账户，建议开启。 对于Apple ID、Google Account等关系到“你的财富和生活”的账户，必须开启两步验证！ 如何开启两步验证因帐户而异，但通常很容易找到。 例如，要为Apple ID开启“双因素身份验证”，只需打开Apple ID管理页面并登录您的Apple ID即可进行设置。 一旦开启，就无法关闭。

使用密码管理工具

如前所述，密码应尽可能长。 该平台要求使用数字和字母的组合。 我有这么多密码。 我没有过目不忘的记忆力。 我怎样才能记住他们？

因此，我们需要密码管理工具。 密码管理工具就相当于一个保险箱。 仔细记下所有密码，将其放入保险箱并锁好。 您只需记住一个密码，即您的保险箱密码，即可找到您所有账户的密码。 只要保险箱安全，所有密码都是安全的。

有许多用于密码管理的工具。 常用的工具包括：

> 相关阅读：密码管理工具之战：1Password vs. iCloud Keychain

建议选择知名、无“黑历史”的密码管理工具。 知名度高意味着他们值得信赖，同时也会有很多专家关注他们的安全。 黑历史就像个人信誉一样，哪怕有一丝痕迹都会大打折扣，所以一定要避开。 以上密码管理工具的功能都类似，基本都有这些功能：

不过，上述密码工具中我只使用过1Password，而且它是免费会员。 不选择这些工具的原因一是因为我缺钱，不想付费（虽然KeepPass和Bitwarden都是免费的），二来我不想把密码撒得到处都是，这样就很难了对它们进行统一管理。 因此，我的主要密码管理工具是iCloud Keychain——苹果在iOS 7中添加的一个功能。虽然iCloud Keychain仍然有很多缺点，比如无法自定义生成密码的长度和组合，在Mac上缺乏优雅的填充，等等，毕竟是内置于系统中的，完全免费，可以自动生成和填写密码，并且无缝同步多个设备。 .....而且既然他是苹果父亲的亲生儿子，那么安全方面就不存在任何问题。 如果要说苹果生态有什么好，iCloud Keychain一定榜上有名。

iCloud Keychain 自动生成并填写密码

在 macOS 上打开 Safari -> 首选项 -> 密码，在 iOS 和 iPadOS 上打开设置 -> 密码和帐户 -> 网站和应用程序密码。 您可以查看 iCloud 钥匙串中存储的所有密码并修改存储的帐户密码。 修订。 同时，iCloud Keychain 还会使用⚠️提示输入重复的密码或容易被猜到的密码。

超越密码的安全性

互联网可以说是充满了危险。 即使你避免在世界各地使用相同的密码、不按套路设置密码、密码足够长、启用两步验证，诈骗者仍然会想尽一切办法盗取你的密码。 。 一般来说，以下几种情况比较危险：

无歧视地使用免费Wi-Fi，删除旧设备信息，不彻底下载来源不明的盗版软件，看到短信链接就随意点击、扫描二维码，无视浏览器安全警告。

这里我们主要讲一下浏览器安全警告。 一般来说，主流浏览器拥有广泛的用户基础，得到各大厂商的支持，并且拥有强大的安全团队，值得信赖，例如Apple Safari、Google Chrome、Mozilla Firefox。 因此，这些浏览器的警告不容忽视。

注意，上图是特殊网络环境下的演示。 浏览器给出的警告并不意味着v.qq.com（腾讯视频）具有欺骗性。

2018年2月，谷歌宣布从Chrome 68开始，所有使用http协议的网站将被标记为不安全。 如今Safari和Firefox也会这样标记，提醒用户注意。 它还敦促网站开发者尽快消除http，并用https（安全超文本传输​​协议）替代。

为什么http协议的网站被标记为不安全？ 因为http根本没有安全性可言，而且国内大多数政府和大学网站还在使用http。 我真的感到很无助。 球球，请尽快改成https。

为什么https是安全的？ 这个问题有点复杂。 如果您有兴趣，可以阅读这篇文章。 简单来说，使用https协议的网站之所以被“识别”，是因为它拥有SSL证书，而且只有权威机构才能颁发SSL证书。 当用户访问具有真实证书的网站时，浏览器会检查该证书是否属于该网站。 而且它来自权威机构，所以浏览器告诉用户你的访问不会被监控，是安全的。

图片来自

我们常用的浏览器可以查看访问网站的证书。 例如下图是我拍和我的博客在Safari浏览器中的SSL证书详细信息。

此外，注重隐私保护也是增强安全性的重要手段，尽管这在当前的互联网环境下很难实现：发朋友圈、聊天发图片都可能泄露各种信息，更不用说据说各大厂商都会监控用户“是否在场”。

说到这里，就不得不提苹果的隐私保护3、保护隐私本来是厂商的基本责任，但现在却成为了一种奢侈，而苹果对隐私保护的“极致”追求也成为了一大卖点。

关于iPhone的隐私保护，苹果公司拍摄了一系列视频进行宣传，比如《Privacy on iPhone》广告，吸引了包括我在内的很多人选择iPhone。 虽然隐私泄露不一定会威胁到密码安全，但不注重隐私保护能说安全吗？

最后建议：

密码不是儿戏，一定要记住

畅享网上冲浪，时刻谨防陷阱

道路千万条，安全第一

> 下载Minority客户端，关注Minority公众号，了解更安全的数字生活️