Total Pageviews

Sunday, 9 June 2024

密码太多记不住?你可以建立一套属于自己的密码体系

 海量的用户信息掌握在企业手中,增加了数据被泄露的可能,而近些年不少大企业均发生过数据泄露事件,难免让人担心。

被泄露的用户数据库往往包含了用户在注册时填写的各种信息,包括实名信息、历史数据、密码设置等,黑客一般拿到一个数据库,就会通过撞库的形式,尝试批量登陆其他网站,以挖掘出更多有用信息,最后这些信息再以高价出售给各种黑灰产业,我们平日里接到的莫名其妙的推销广告、短信,有些部分就来源于这样的信息泄露。那么如何知道自己的信息是不是被泄露了呢?
如何查询密码被泄露

一般黑客拿到用户数据库最大的用处首先是撞库,即通过这套数据库的用户名和密码,用于批量登陆其他网站来匹配,这样就能最大程度挖掘出更多有用的信息。在被泄露出的信息中,用户名和密码无疑是最重要的,因此,日常的网络生活中,密码不要设置为同一个,也许你的密码早就在公开的数据库里了~如何知道你的密码有没有被泄露呢?方法是老套的,网站也是老套的,在这篇文章里,我想还是很有必要做个简单的介绍。

Firefox Monitor/have i been pwned
Firefox Monitor是火狐发布的专门用于检测密码泄露的网页,你只需要输入邮箱,就能一键查询用此邮箱注册过的账号中,有没有密码被泄露在公开的数据库中。
火狐目前将此功能集成在了浏览器中,但你也可以用其他浏览器打开访问,查询后会将罗列匹配的结果,包括泄露的资料什么的,都非常的清晰。
火狐用的是HaveIBeenPwned的数据源,具有一定的权威性,后者是一个独立的网站,而且应该是目前全球最大的专门收集过往各类密码泄露事件以及黑产数据库并将其整理提供公益性的安全查询的服务网站。
根据很多人的使用体验来看,火狐虽然使用的是HaveIBeenPwned的数据源,但是同样的查询HaveIBeenPwned有时更准。

谷歌密码管理器
如果你使用的是谷歌浏览器,它内置了一个密码管理器,它的安全检查可以检查保存在浏览器中的密码是否遭到了泄露。
谷歌密码安全查询
需要说明的是此项检查只能是使用了谷歌浏览器,并且他检查的只是浏览器中个保存的密码,与前面的查询网站相比,谷歌的这项检查只是告知你密码出现在了数据泄露事件中,但不罗列出具体哪个网站或是哪个遭泄露的数据库。

近些年数据泄露事件时有发生,对于用户而言这样的结果往往是无奈的,这些查询网站最重要的作用也仅是给你敲个警钟,如果你发现资料被泄露了,比如手机号什么的,除了改一下手机好似乎也别无他法了,只能是在今后的上网过程中,在注册账号时候尤其是那种小网站,尽量不要填写真实信息。

1。提供临时验证的邮箱

为了保护个人隐私,对于一般的网站,如果你不想用真实信息,比如就是为了一个验证码,可以使用一些专门的临时邮箱来注册账号。阿刚这里推荐一个超好用的snapmail

Snapmail是一个提供临时邮箱的在线网站,它与一般临时邮箱不同的是可以自定义前缀地址,换句话说你可以生成无数个临时邮箱,相较于其他同类固定不变的临时邮箱,snapmail的体验显然更好。

snapmail访问后默认会自动帮你生成一个临时邮箱,在这里可以收取邮件,关键它很少会被一些服务商的注册判别为垃圾邮箱,使用的体验总体来说非常棒。另外特别要注意的是,因为邮箱是保存在你浏览器中的,任何知道你邮箱的人都可以访问。

2。使用临时手机号码

注册账号总需要手机号接受验证码,现在一些云平台的手机号可以接受云短信,比如下面这几个:

    http://www.z-sms.com/
    https://www.materialtools.com/

此类网站使用简单,基本上提供了各个国家的手机号,可用于注册账号时接受验证码短信等,请注意这里的短信都是公开可见的,因此只能用于一些APP或者不重要的网站注册,可别用于任何重要平台。

3。建立属于自己的密码体系

撞库之所以可以成功,主要在于一般用户安全意识薄弱,简单的密码根本形同虚设,而多网站共用同一密码,只要任一网站被泄露,就会被撞库成功。因此,在密码安全方面,每个人都应该建立一套属于自己的密码体系,既富有个性的规律,同时密码安全性又可得到保障。

最后总结:

近些年的数据泄露事件不断提醒着我们,隐私安全至关重要,任何人都应提高警惕。在日常生活中,尽量避免主动泄露个人数据,同时加强密码防护,定期更换密码,这样即便不能杜绝数据泄露事件,但当事件发生后,也能将风险降至最低。

其实在隐私这方面,你一个人的数据一文不值,值钱的是千千万万的用户的数据.

-----------------------------


密码太多记不住?你可以建立一套属于自己的密码体系

相信大家都有这样的经历,要输入密码时才突然发现:密码忘记了!该死的,密码那么多哪个记得住。

其实,你完全可以设置一套属于自己的密码体系,如果说¥%cdsfg这样带有特殊字符的密码不易记住,那么设置一套属于自己的有规律的密码体系,总还是好记得吧。

作为一个多年混迹于国内外网络的老司机,注册过的各类密码不计其数,但是我可以拍着胸脯讲,所有密码我都记着。那么我是如何做到的呢?今天就跟大家聊聊这个话题。
你的密码是这样设置的吗?

设置密码是为了账户安全,然而大部分人为了方便省事,习惯将所有的账户密码都设置为同一个。但这样的做法不仅方便了你自己,更方便了黑客。通过撞库的形式,黑客可以利用网络上已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站,只要你的账户信息被泄露,黑客就可以通过这种方法登陆你注册过的所有账户。

简单密码

密码设置复杂不易记忆?那就设置的简单些。最常见到的就是诸如abc123、qwer、password、123456等等超简单的密码。貌似每年都有一个最不安全密码统计表,其实根本用不着每年统计,因为每年都是这些密码,最多后面加个数字。可以看出,大部分人并没有重视密码安全。
建立一套自己的密码设置规则

没有绝对安全的密码,但我们在设置密码时可以遵循一定的规则,密码足够长、各种字符最好能够毫无规律,这样黑客破解密码就会极为困难。

从安全的角度来说,密码设置可以遵循规则,但一定不要太有意义。例如生日、姓名、门牌号、手机号,这些在黑客眼中都属于弱口令~形同虚设~

先来看一组密码

lrblogNb.#qq*
lrblogNb.@qq*yx
lrblogNb.¥qq*wx

如果说密码太长又无规律不容易记忆,那我们完全可以设计一套自己的密码组成规律,这样既能保证密码足够复杂,每个帐号密码不同,又便于我们记忆。在上面的例子中,我随意设置了一套规则,看起来似乎毫无规律,解释起来相当简单:

lrblogNb.是我密码体系中的专有固定前缀词,意为乐软博客牛逼,中间的@、#、¥是帐号中的特殊字符,根据帐号的属性变换。例如普通帐号密码,中间特殊字符为#,邮箱类帐号特殊字符为@,跟钱有关的帐号,中间字符就为¥。最后的字符为帐号信息,其中的*(星号)可以把它认为是“的”字,这样方便我们在同一产品体系下设置不同的帐号密码。

那么根据以上规律,下面是我为不同的产品注册的帐号信息:

QQ:lrblogNb.#qq*
淘宝:lrblogNb.¥ali*taobao
支付宝:lrblogNb.¥ali*alipay
网易邮箱:lrblogNb.@163*yx
新浪邮箱:lrblogNb.@sina*yx

也不是所有密码都要这样设置,对于某些无关紧要的网站,我设置统一密码lrblogNb.  其实你可以看到我的固定前缀字符里后面始终都带有一个点,因为即便是再无关紧要的帐号,密码设置也不要太过简单,一个帐号能泄露的东西不只是你能看到的那些。。。无论什么密码永远不要设置成简单的123456。。。。

“123456”这样的密码,是对密码这两个字莫大的侮辱~~

密码管理软件

就在刚才,我老婆骂我为什么支付宝密码设置这么复杂这么长,整的她没有秒杀到喜欢的化妆品~~好吧,今晚。。我觉得我。。。。

精心设定的密码生成规律保证了我们的密码安全,但是如果密码设置太长,登陆密码时输入的效率可能就大大降低了。再一个,密码太多,难免会忘掉那么一两个。所以,我的建议是我们可以使用一些密码管理软件。

密码管理软件
这些密码管理软件,除了安全存储我们的账号信息外,也能够创建一些完全无规律包含各种特殊字符的“终极”密码,在登陆时可以实现一键填写信息,方便快捷。
1Password
我目前在用的密码管理软件,1Password 是来自加拿大开发商 agilebits 的一款跨平台密码管理软件,支持 Win / Mac / iOS / Android。,采用 AES256 位加密且数据存放在本地,安全性极高。当然你也可以使用Dropbox / iCloud 同步数据,浏览器插件可以方便的让我们登陆网站时一键填写帐号信息。
1Password 不是免费的,个人使用2.99美刀/月。家庭用户(最多支持5个)月付4.99美元。1Password因其超高的安全性在业内相当有名,如果你注重密码安全,不妨试试这款软件。物超所值~~

LastPass
LastPass也是一款相当优秀的密码管理软件,多平台支持,与1Password最大的不同是所有密码均保存在 Lastpass 云服务器上。它也提供网页版以及客户端下载,安装浏览器插件也能够方便的一键登录网站。
LastPass有免费版和月付2美刀的高级版,对于个人,免费版足够使用了。

密码管理软件有许多,除了简单介绍给大家的1Password 、LastPass之外,Keeppass也是一款有着好口碑的密码管理软件,只不过阿刚并未实际使用过,这里就介绍了,感兴趣的同学可以自己研究。


写在最后

如果你的密码简单无规律,强烈建议你稍微花点心思为你自己建立一套独有的密码生成规则,这样做至少能够保证你的密码坚不可破,但也记住,世界上没有绝对安全的密码。其实最重要的,还是在个人使用习惯上,而这其中最重要的前提是,你意识到密码安全的重要性了吗?

No comments:

Post a Comment