跟随一生的帐号密码
2013-07-27 03:14
148 查看
帐号密码为什么而生?帐户为了确认身份,密码为了确保安全。
只要你活在现代社会,你就离不开帐号密码,帐号还不止一个,密码也不会只使用一个吧,如果是一个的话,这个密码就不是密码,和明码无异了。问题是你的一生会有多少帐号密码?在一生中,我们要经历不同的阶段,要和不同的人打交道,要处理个人/家庭/公司/团体的不同事务,财务信息,个人信息,朋友联络簿等等。随着网络发展的今天,我们得社会角色也多元化,使用不同的网络服务来处理生活事务,让生活更精彩。我们活得很累,为了生存要攒够每天吃喝拉撒奶粉钱,为了生活出质量,加班也得当房奴。脑子够累的了,面对网络,我们被它吸引为之痴迷的同时,还要记帐号密码。最简单的,我们要与银行打交道,银行卡/信用卡有个pin码;在公司里,你要登陆电脑干活;在家里,玩个网络麻将/三国杀;在手机上,玩个QQ,也要个密码。
密码的形式多种多样,有使用键盘的/有手势的;有的是字符串的/有的是数字的(比如借记卡的)/还有图形的;有的自己设定/有的需要其它辅助,卡片或口令卡,U盾等等。有的好记,有的好用,有的很变态,总之,无法回避帐户密码。本文希望通过如下的叙述,一方面为自己平时习惯作个小结,也给大家一个大概的思路,如何设定帐号密码,让它更安全也好用。
帐户分类:
好多网络服务是无关紧要的,有的是“生命攸关”得,基于帐户得基于重要程度,咱门给帐号大致分分类。
至关重要的:级别10。私人有关的,比如银行/信用卡/股票帐号等关系个人财务的;主email信箱的;公司团体的,根据你在公司的角色不同,可能你的帐号关系到你的职位/生意,一旦密码丢失,丢失工作或生意都有可能。这些帐户的特点是,一般在特定的电脑上使用,不会随意变更。总之就是,一旦丢失死的心都有,一旦被窃损失惨重的后悔莫及伤痛欲绝,都归此类。
重要的:级别8。私人邮箱,Facebook, Twitter,微博,云服务;公司密码;职能手机。这些也很重要,一旦被窃取,大的可能影响声誉。
普通的:级别5。家里的电脑登陆密码,QQ,或者其他可以方便地取回/重置密码的服务,或者会在其它不确定是否安全的机器上登陆使用的。之所以把QQ列在这里,是因为QQ等帐号一般都保存在移动设备上,平时用不到。
随意的:级别1。临时的帐号,可以丢弃的密码。比如我要进去看一个东西,非要注册,注册完看了就多少年不会回来的。这种情况,一般都需要一个email信箱,那么一个最不紧要的。
密码强度:
每个帐户都有一个密码与之对应,密码是否安全,决定着这个帐号的安全。根据密码是否容易被猜测和暴力破解,确定一个密码的强度,强度越高的,越不容易破解,越安全。
一般的原则是,强度高的密码应该具备:字符长度长,没有规律,不包含常用词语,混合使用多种字符,大小写混用,这样的密码就安全,强度也越高,因为这样的密码最不容易被猜测出来和破解。
有一些软件/网站帮助你来确认一个秘密的安全度,比如注册gmail的时候,它会告诉你密码强调,比如网站PasswordMeter,OS X操作系统也提供密码强度提示;或者KeePass/RoboForm软件。
帐户密码:
每当我们给帐户一个密码的时候,首先考虑这个帐号的重要级别,越重要的,就要使用强度越高的密码。
现在email信箱成为了注册帐户和通讯的一种重要方式,而针对不同类别的服务,最好也使用不同的email,以保护自己。比如你确信安全/信任的服务商,或者需要自己身份认证的,比如银行/政府等机构的服务,最好使用自己主要email注册,这个email的安全级别也要提升为至关重要的级别,因为它和其他的至关重要事务密切相关,一旦失手,其他关键事务也会被牵连。为了方便应对生活中的不同事务,多注册几个email信箱是不可避免的了,每个信箱也可以根据用途分类使用。多个email邮箱,可以是在一个emial供应商注册多个不同的邮箱,或者在不同的email提供商注册同一个邮箱名;甚至是混用前面两个方法。为了混淆,你可能需要把每个邮箱记下来,以免混了。
由于每个服务商对密码的限制可能不同,有的限制字符类别,比如不能有符号,有的对密码长度有要求,比如不能少于8个,不能多余23个等等,这个是造成使用不同密码的另外一个因素。
有的服务会绑定一台电脑,这样如果使用另外一台电脑/系统被更新,那么可能需要重新认定。这样也会造成些许麻烦。
服务提供商应该提供一种方便而保险的方式,让用户更容易地取回/重置密码。不是所有人都可以提供注入银行级别的服务,不可能有它的覆盖面广,所以无法做到面对面的客户服务,通过网络是最常见的,比如,让用户可以自己设定几个保密问题及对应的答案,比如问题是你最喜欢的中学老师是谁,你记忆最深刻的度假地点,你的第一个宠物的名称等等,这个答案是客户根据自己的生活经历自定的,可以方便回忆起来,而且不易被猜到。
选择密码:
如何选择一个好记又安全的密码。嗯,当然不能使用生日,手机号,地址等明显和自己身份相关的。可以考虑一个场景,一个自己最喜欢的故事情节,或者一个终生难忘的度假地等等,反正就是与自己亲身经历相关排他的,组合一个短小的词,如果忘了密码,那么想起那个情节,会很容易想起这个词,使用该词的拼音/英文,变换其中的字母为数字和符号,再加上1个或两个后缀字符,构成自己的密码。比如度假去过的Redium
Hot Springs in BC,旁边有一小树林(Woods),有条小溪(Stream)穿过,我家狗(Emily)差点丢在那里。于是密码:RediumWoodStreamAmily。在变换一下,可以是:R@diumW00dStr32m@m1&y8。这个可是相当的不易被猜测出来的了,还不算变态吧。
密码策略:
密码强度再高,如果因为保存不当或者使用不当而泄露,那也是功亏一篑。所以使用密码更是要注意的。下面是有个建议:
别使用名字姓氏,生日,住址,车牌,电话号码(119, 120),身份证号,单位名等常用的个人信息。
不要使用重复字符,比如8888,gogogo等,避免使用曾经使用过的密码。
键盘顺序密码,比如:qwerty, lkjhg。
系统默认密码,比如多种品牌路由器的默认密码是admin。
常见的密码,比如p@ssw0rd,g0ldf1sh。
密码强度要与帐户重要程度匹配,低级别的帐号,可以使用强度低的密码。
每个级别的密码千万别混用,一旦混用,被窃/丢失的可能性将会大大的增加,可能为你的生活带来大大的损失。
相关联的帐户,不使用相同的密码,比如银行帐户密码与注册使用的邮箱密码不能相同;或者Facebook的密码与使用其注册的邮箱密码。不相关的同级别帐户,有时为了方便以及,可以共享帐户。
没有一个密码可以伴随你一生都是安全的,经常定期更换密码也是必要的,尤其是对至关重要的帐号,比如每3个月更换。
使用至少8个字符的密码,辅以大写字母,数字和符号混合方式。也有软件可以辅助生成不同安全要求的密码。
重要的帐户,千万别在无法确定是否安全的机器上使用,特别是公用电脑,原因很简单,容易被盗;除非是特别紧急情况,处理完后,可别忘了回去尽快变更密码。
保管密码:
面对如此众多的密码,仅凭记忆,非常人所能掌控的,当然,记忆力超好的伤不起。找到一个适合自己的密码保管方式,写在纸上?留在智能手机里?使用密码软件?
如果你选择存放在手机里,那么手机密码就变得最最重要的了,而保存也不要使用明码保存,找个软件;即便使用明码保存,最好也变换一下,比如在最后加个随意字符,或者把一个固定位置的字母改变一下大小写,即便手机丢失,也不会被轻易破解。当然手机信息的定期备份那就变得更加重要了。
如果使用软件,那么你需要记住一个主密码,这个主密码一定要选择特别好记也特别安全的。一般的密码保管软件会使用相当强化的加密措施,以防被解密窃取,所以选择之前考虑它的加密算法的强度;另外,最好是支持多种操作系统和硬件平台的,比较好的有完全免费的KeePass, 提供免费版本的LastPass,也有在线密码保管服务商,比如Mitto,
不过要慎重选择。如果使用的电脑很有限,也可以使用操作系统提供的功能,比如OS X上的钥匙链,钥匙链可以在OS X系统上方便地迁移/备份/使用。
密码处理过程:
你的密码是如何被处理储存在服务器上的呢。
你设定密码确认后,服务系统得到你的密码,如果是稍微谨慎点的服务商,都会把你的密码加密后,得到原加密密码再存储起来。下次你登陆的时候,服务器使用最初设定密码时相同的加密过程,把你的密码加密后,再和系统储存的原加密密码比较,相同就通过认证。这个加密过程一般使用稀疏矩阵算法,这个过程时不可逆的,也就是说,你几乎无法将加密后的密码,逆向转换得到你原始密码明码。这样的好处是,即便是加密后的密码丢失,也不会造成你的原始密码被泄漏,缺点是,用户无法取回原密码,不过这个不是问题,确认客户身份后,让用户重新设一个新密码,比得到老密码要安全。
至于,很疏忽的服务商,把客户密码明码保存,或者使用任何可逆加密储存,都会给用户带来明显的危险。
帐户被窃:
有过不少的知名企业曾经被骇客攻击,丢失用户信息的,不仅为用户带来损失和不便,也为消耗了自己声誉。
2011年美国银行曾经被骇客窃取85000信用卡资料(1)。同年索尼下属的新力电脑娱乐, PlayStation Network, 简称PSN,被骇客攻击,有7千7百万用户资料,可能包括信用卡,地址,帐单,用户名,密码等信息被窃取,造成全世界PS玩家无法网络联机使用,从4月20日开始,直到6月才完全恢复服务(2)。
最近发生的,7月,苹果开发者网站被入侵,苹果公司及时关闭了该服务,过了4天后,给每个开发者用户信箱中发了一份简短的声明。直到现在,还没有恢复,也没有任何时间表,具体细节不得而知,大家都在猜测。
虽然说,这些事件与用户自己管理账户密码无关,不过,我们可以这样来理解,这些大公司会投入很多财力人力保证系统的安全,他们都无法完全阻止黑客的入侵,那么我们个人电脑被入侵的可能性会只能是高得很多。通过其它方式在保护电脑安全得同时,我们好好保护自己的账户密码是安全的第一步。他人尤其是企业泄露了你的隐私你还可以声明索赔,自己不小心只有哑巴吃黄连了。
注:
(1) http://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history
(2) http://en.wikipedia.org/wiki/PlayStation_Network
只要你活在现代社会,你就离不开帐号密码,帐号还不止一个,密码也不会只使用一个吧,如果是一个的话,这个密码就不是密码,和明码无异了。问题是你的一生会有多少帐号密码?在一生中,我们要经历不同的阶段,要和不同的人打交道,要处理个人/家庭/公司/团体的不同事务,财务信息,个人信息,朋友联络簿等等。随着网络发展的今天,我们得社会角色也多元化,使用不同的网络服务来处理生活事务,让生活更精彩。我们活得很累,为了生存要攒够每天吃喝拉撒奶粉钱,为了生活出质量,加班也得当房奴。脑子够累的了,面对网络,我们被它吸引为之痴迷的同时,还要记帐号密码。最简单的,我们要与银行打交道,银行卡/信用卡有个pin码;在公司里,你要登陆电脑干活;在家里,玩个网络麻将/三国杀;在手机上,玩个QQ,也要个密码。
密码的形式多种多样,有使用键盘的/有手势的;有的是字符串的/有的是数字的(比如借记卡的)/还有图形的;有的自己设定/有的需要其它辅助,卡片或口令卡,U盾等等。有的好记,有的好用,有的很变态,总之,无法回避帐户密码。本文希望通过如下的叙述,一方面为自己平时习惯作个小结,也给大家一个大概的思路,如何设定帐号密码,让它更安全也好用。
帐户分类:
好多网络服务是无关紧要的,有的是“生命攸关”得,基于帐户得基于重要程度,咱门给帐号大致分分类。
至关重要的:级别10。私人有关的,比如银行/信用卡/股票帐号等关系个人财务的;主email信箱的;公司团体的,根据你在公司的角色不同,可能你的帐号关系到你的职位/生意,一旦密码丢失,丢失工作或生意都有可能。这些帐户的特点是,一般在特定的电脑上使用,不会随意变更。总之就是,一旦丢失死的心都有,一旦被窃损失惨重的后悔莫及伤痛欲绝,都归此类。
重要的:级别8。私人邮箱,Facebook, Twitter,微博,云服务;公司密码;职能手机。这些也很重要,一旦被窃取,大的可能影响声誉。
普通的:级别5。家里的电脑登陆密码,QQ,或者其他可以方便地取回/重置密码的服务,或者会在其它不确定是否安全的机器上登陆使用的。之所以把QQ列在这里,是因为QQ等帐号一般都保存在移动设备上,平时用不到。
随意的:级别1。临时的帐号,可以丢弃的密码。比如我要进去看一个东西,非要注册,注册完看了就多少年不会回来的。这种情况,一般都需要一个email信箱,那么一个最不紧要的。
密码强度:
每个帐户都有一个密码与之对应,密码是否安全,决定着这个帐号的安全。根据密码是否容易被猜测和暴力破解,确定一个密码的强度,强度越高的,越不容易破解,越安全。
一般的原则是,强度高的密码应该具备:字符长度长,没有规律,不包含常用词语,混合使用多种字符,大小写混用,这样的密码就安全,强度也越高,因为这样的密码最不容易被猜测出来和破解。
有一些软件/网站帮助你来确认一个秘密的安全度,比如注册gmail的时候,它会告诉你密码强调,比如网站PasswordMeter,OS X操作系统也提供密码强度提示;或者KeePass/RoboForm软件。
帐户密码:
每当我们给帐户一个密码的时候,首先考虑这个帐号的重要级别,越重要的,就要使用强度越高的密码。
现在email信箱成为了注册帐户和通讯的一种重要方式,而针对不同类别的服务,最好也使用不同的email,以保护自己。比如你确信安全/信任的服务商,或者需要自己身份认证的,比如银行/政府等机构的服务,最好使用自己主要email注册,这个email的安全级别也要提升为至关重要的级别,因为它和其他的至关重要事务密切相关,一旦失手,其他关键事务也会被牵连。为了方便应对生活中的不同事务,多注册几个email信箱是不可避免的了,每个信箱也可以根据用途分类使用。多个email邮箱,可以是在一个emial供应商注册多个不同的邮箱,或者在不同的email提供商注册同一个邮箱名;甚至是混用前面两个方法。为了混淆,你可能需要把每个邮箱记下来,以免混了。
由于每个服务商对密码的限制可能不同,有的限制字符类别,比如不能有符号,有的对密码长度有要求,比如不能少于8个,不能多余23个等等,这个是造成使用不同密码的另外一个因素。
有的服务会绑定一台电脑,这样如果使用另外一台电脑/系统被更新,那么可能需要重新认定。这样也会造成些许麻烦。
服务提供商应该提供一种方便而保险的方式,让用户更容易地取回/重置密码。不是所有人都可以提供注入银行级别的服务,不可能有它的覆盖面广,所以无法做到面对面的客户服务,通过网络是最常见的,比如,让用户可以自己设定几个保密问题及对应的答案,比如问题是你最喜欢的中学老师是谁,你记忆最深刻的度假地点,你的第一个宠物的名称等等,这个答案是客户根据自己的生活经历自定的,可以方便回忆起来,而且不易被猜到。
选择密码:
如何选择一个好记又安全的密码。嗯,当然不能使用生日,手机号,地址等明显和自己身份相关的。可以考虑一个场景,一个自己最喜欢的故事情节,或者一个终生难忘的度假地等等,反正就是与自己亲身经历相关排他的,组合一个短小的词,如果忘了密码,那么想起那个情节,会很容易想起这个词,使用该词的拼音/英文,变换其中的字母为数字和符号,再加上1个或两个后缀字符,构成自己的密码。比如度假去过的Redium
Hot Springs in BC,旁边有一小树林(Woods),有条小溪(Stream)穿过,我家狗(Emily)差点丢在那里。于是密码:RediumWoodStreamAmily。在变换一下,可以是:R@diumW00dStr32m@m1&y8。这个可是相当的不易被猜测出来的了,还不算变态吧。
密码策略:
密码强度再高,如果因为保存不当或者使用不当而泄露,那也是功亏一篑。所以使用密码更是要注意的。下面是有个建议:
别使用名字姓氏,生日,住址,车牌,电话号码(119, 120),身份证号,单位名等常用的个人信息。
不要使用重复字符,比如8888,gogogo等,避免使用曾经使用过的密码。
键盘顺序密码,比如:qwerty, lkjhg。
系统默认密码,比如多种品牌路由器的默认密码是admin。
常见的密码,比如p@ssw0rd,g0ldf1sh。
密码强度要与帐户重要程度匹配,低级别的帐号,可以使用强度低的密码。
每个级别的密码千万别混用,一旦混用,被窃/丢失的可能性将会大大的增加,可能为你的生活带来大大的损失。
相关联的帐户,不使用相同的密码,比如银行帐户密码与注册使用的邮箱密码不能相同;或者Facebook的密码与使用其注册的邮箱密码。不相关的同级别帐户,有时为了方便以及,可以共享帐户。
没有一个密码可以伴随你一生都是安全的,经常定期更换密码也是必要的,尤其是对至关重要的帐号,比如每3个月更换。
使用至少8个字符的密码,辅以大写字母,数字和符号混合方式。也有软件可以辅助生成不同安全要求的密码。
重要的帐户,千万别在无法确定是否安全的机器上使用,特别是公用电脑,原因很简单,容易被盗;除非是特别紧急情况,处理完后,可别忘了回去尽快变更密码。
保管密码:
面对如此众多的密码,仅凭记忆,非常人所能掌控的,当然,记忆力超好的伤不起。找到一个适合自己的密码保管方式,写在纸上?留在智能手机里?使用密码软件?
如果你选择存放在手机里,那么手机密码就变得最最重要的了,而保存也不要使用明码保存,找个软件;即便使用明码保存,最好也变换一下,比如在最后加个随意字符,或者把一个固定位置的字母改变一下大小写,即便手机丢失,也不会被轻易破解。当然手机信息的定期备份那就变得更加重要了。
如果使用软件,那么你需要记住一个主密码,这个主密码一定要选择特别好记也特别安全的。一般的密码保管软件会使用相当强化的加密措施,以防被解密窃取,所以选择之前考虑它的加密算法的强度;另外,最好是支持多种操作系统和硬件平台的,比较好的有完全免费的KeePass, 提供免费版本的LastPass,也有在线密码保管服务商,比如Mitto,
不过要慎重选择。如果使用的电脑很有限,也可以使用操作系统提供的功能,比如OS X上的钥匙链,钥匙链可以在OS X系统上方便地迁移/备份/使用。
密码处理过程:
你的密码是如何被处理储存在服务器上的呢。
你设定密码确认后,服务系统得到你的密码,如果是稍微谨慎点的服务商,都会把你的密码加密后,得到原加密密码再存储起来。下次你登陆的时候,服务器使用最初设定密码时相同的加密过程,把你的密码加密后,再和系统储存的原加密密码比较,相同就通过认证。这个加密过程一般使用稀疏矩阵算法,这个过程时不可逆的,也就是说,你几乎无法将加密后的密码,逆向转换得到你原始密码明码。这样的好处是,即便是加密后的密码丢失,也不会造成你的原始密码被泄漏,缺点是,用户无法取回原密码,不过这个不是问题,确认客户身份后,让用户重新设一个新密码,比得到老密码要安全。
至于,很疏忽的服务商,把客户密码明码保存,或者使用任何可逆加密储存,都会给用户带来明显的危险。
帐户被窃:
有过不少的知名企业曾经被骇客攻击,丢失用户信息的,不仅为用户带来损失和不便,也为消耗了自己声誉。
2011年美国银行曾经被骇客窃取85000信用卡资料(1)。同年索尼下属的新力电脑娱乐, PlayStation Network, 简称PSN,被骇客攻击,有7千7百万用户资料,可能包括信用卡,地址,帐单,用户名,密码等信息被窃取,造成全世界PS玩家无法网络联机使用,从4月20日开始,直到6月才完全恢复服务(2)。
最近发生的,7月,苹果开发者网站被入侵,苹果公司及时关闭了该服务,过了4天后,给每个开发者用户信箱中发了一份简短的声明。直到现在,还没有恢复,也没有任何时间表,具体细节不得而知,大家都在猜测。
虽然说,这些事件与用户自己管理账户密码无关,不过,我们可以这样来理解,这些大公司会投入很多财力人力保证系统的安全,他们都无法完全阻止黑客的入侵,那么我们个人电脑被入侵的可能性会只能是高得很多。通过其它方式在保护电脑安全得同时,我们好好保护自己的账户密码是安全的第一步。他人尤其是企业泄露了你的隐私你还可以声明索赔,自己不小心只有哑巴吃黄连了。
注:
(1) http://en.wikipedia.org/wiki/Timeline_of_computer_security_hacker_history
(2) http://en.wikipedia.org/wiki/PlayStation_Network
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 跟随一生的帐号密码
- 跟随一生的帐号密码
- WCF加密操作(包括证书和证书+帐号密码)
- 500 万个 Gmail 帐号密码遭黑客泄漏 网盘可下载
- 忆龙2009:iNode客户端如何在线修改帐号密码
- 如何修改SharePoint2013服务器场帐号密码
- Ubuntu中设置root帐号密码
- 修改SVN登录帐号和密码
- DWL-2100AP 默认登录帐号密码
- 修改系统用户的帐号密码
- Sql Server 2008 R2 更改了系统的administrator帐号的密码,可能出现的问题
- 用firefox 31配合KeePass密码管理器实现web帐号密码自动填写登录
- 登录进oracle10g的oem,想管理监听程序却总是弹出帐号密码输入页面
- sql server2000中如何启用sa用户帐号,如何改sa用户的帐密码
- CentOS输入正确帐号密码不能登陆解决方法
- 帐号泄露事件频发,到底什么样的密码才安全?
- 一种简单的修改所有域内本地管理员密码,及加某个帐号至本地管理员组的方法
- linkinfo.dll病毒 盗取 用户登陆 网页帐号,和密码
- 傲游帐号密码
- SQL Server 数据库帐号密码安全设计