你不用跑的比熊快——谈谈密码管理

2015/11/13

“大师,最近网易邮箱密码被破译,我的余额宝都被抢走了,请问这可怎么办啊!”

“大师,请告诉我,密码该如何管理,才能既方便又安全,让黑客攻不破呢?

幽幽竹林,秋风四起,凉爽中透着寒意。面对拥挤喧哗的人群,我定神沉思,片刻开口道:“回答问题之前,先讲一个烂大街的笑话。”

从前有两个人来树林里露营,一天早上,他们看到一只孔武有力的大熊往他们的营地走来。其中一个人马上就穿起他的跑步鞋。另一个人摇摇头对他说:“你不可能跑得过那头熊的。” 那个穿鞋的人抬起头来对他说:“我不用跑得比熊快,我只要跑得过你就好。”

如果把黑客比作故事里的熊,你就会明白:再安全的密码也很难逃过黑客的手——只要黑客真的想搞你,总有人有办法攻破你的账号密码,窃取你的信息。但实际上,你只要 “跑的比别人快”,密码比别人安全就好了,黑客自然会将注意力转移到别的目标身上。

而要超过别人、保证密码安全,最有效的办法就是给每个网站的账号设置不同的密码。

“我*这说的容易,不同的密码忘了怎么办?”

“对啊大师,脑容量跟不上啊!”

客官别急,后边还有一个简单的密码管理窍门要介绍给你呢。不过在这之前,我们先要从 “为什么” 说起。

不同网站、不同密码,这是为什么?

所有的网站用相同的密码,就好比你家买了好几套房子,但是门上的钥匙都是一样的,丢了一把,小偷可以用它开所有的门。这在黑客的行话里叫 “撞库”,即用别的网站数据库中的用户名密码到网易邮箱中碰运气,如果手里攥着一百万个账号,撞开十万个也不是很困难的事情。这个道理也在网易的公关说辞中有所体现:

今日谣传网易邮箱出现数据泄露,引起用户恐慌。网易邮箱团队现郑重声明,此报道不实。[...]

网易邮箱团队提醒广大用户,在互联网上,不建议在安全级别较低的普通网站使用与个人邮箱、金融支付等高安全需求平台相同的账号密码体系。避免在普通网站的账号信息泄露后,影响到您在高安全需求平台的账号安全。[...]

你的账号安全度取决于安全措施最差的网站

说白了网易想跟你说,由于大量用户在所有网站都用相同的密码,一些小网站的安全措施不到位,密码泄露之后,同样的密码可以用来登录网易邮箱并窃取信息

因此不难理解,如果你在所有地方用相同的密码,你的账号安全度就会遵循木桶原理,取决于安全措施最差的网站。如果每个网站的密码不一样,你的信息泄露就很难成为一个大面积的灾难,而在邮箱、支付账户这类安全措施严格的地方,风险能被降到最低。

不同网站、不同密码,该怎么管理?

密码管理可以是一个很深入的话题,但对多数人而言,却可以变得很简单。别忘了,我们的目的不是 “跑的比熊快”,只要你的密码比多数人安全,黑客就不会盯着你了——毕竟还有几百万个密码管理小白等待宰割呢。

让密码在各个平台都不相同,其实有个很简单的技巧,就是把密码拆成两部分——第一部分自己记住、保持不变,第二部分根据网站的不同而更改。我们可以拆解成一个简单的三步走计划:

  1. 选定通用密码

    选择一个单词、短语或者拼音,作为你用大脑记住的那一段密码。这段密码是在所有网站的密码中都会出现,是你需要用大脑记住的那部分。比如在这里我选择最近非常喜欢的甜甜圈口味 MapleDip。建议选择8位以上的密码,以达到许多网站的密码要求。

  2. 变形通用密码

    字母的组合往往不够安全,但是我们可以用符号替代部分字母来极大地增强安全性。例如用@替代a,得到 M@pleDip。如果需要的话,还可以在末尾添加一些你喜欢的数字,来达到一些网站的安全要求。例如我们这里添加上123,密码就成为了M@pleDip123

    如果你真的不喜欢变形密码,觉得输入太复杂,请至少也加个英文句点在单词中间,或是密码末尾,例如MapleDip.或者Maple.Dip。这能极大地增强密码的破译难度,让你从被熊追的那帮人中脱颖而出。

  3. 添加网站专属缩写

    现在我们得到了一个统一的、不难记忆但足够安全的密码。接下来,要根据不同的网站设置专属内容,来保证密码在各站之间稍有变化。既然如此,网站的名称就是我们的起点。

    例如在微博账号上,你可以在末尾添加WB表示“微博”,得到M@pleDip123WB这个密码。你也可以根据音节来进行设置、或是采用首尾字母,例如:

    缩写|对应账号 :--:|:----------------: IP|Instapaper SH|[搜狐]账户 AI|Apple ID EE|Evernote ZFB|[支付宝]登录密码 ZFMM|支付宝[支付密码

    不要忘了最终的目的是选择一个统一、方便的方法来管理和记忆自己的密码,具体的策略可以根据自己的情况调整。

走完这三步,你就拥有了每个网站专属的密码了——这样即使一个网站出现安全问题,你也不用担心 “撞库” 带来的风险。

“不用跑的比熊快”

三步走计划说完,场下鸦雀无声。

在淡淡的清风中,我又听到了熟悉的呼喊:

“我*黑客是傻吗?这个三步走计划的密码结构很容易看懂吧……只要他发现我的密码结构,就可以变形去访问其他账户了啊!”

“让我听了这么久,就学了这么个不实用的技巧,坑爹呢!”

几位朋友,请先不要激动。还记得我们开头讲的那个笑话吗?“你不用跑的比熊快”,正是因为黑客不傻,他才不会为了攻破你一个账号去浪费时间分析密码结构。一个理性的黑客一定会选择忽略你,转而用撞库的方式撞开其它几十万个账号的密码。要想通这点,还得用黑客的立场和角度思考。

人群一时间静了下来,只有竹叶的沙沙声,诉说着时间的流逝。

生活中许多事情也是如此,我们总是单方面地追求一个解决方案,却不懂得采用逆向思维、动态地看待问题。懂得换位思考、认清自己的方向,才不会在求索之路上迷失自我啊。

已而夕阳在山,人影散乱。在微凉的秋风中,我默默希望为智慧的传播作出了贡献。

至少,能让你改掉那些懒到家的密码管理策略吧!

后记

其实还想为大家介绍两款工具,方便进行密码管理,但是很难放到正文中。

其中之一是苹果提供的 iCloud。


内置
iCloud Keychain

如果你使用苹果的全套设备,iCloud 钥匙串是个不错的密码管理工具。你在 Safari 里输入的任何密码都能在设备间进行同步,让你一键填充账号密码,同时免除忘记之虞。你还可以随时在 iOS 的 “设置|Safari|用户名和密码” 中查看存储的网站账号密码,或是在 Mac 的 “钥匙串访问” 中查看。

但是别忘了,开启 iCloud 钥匙串后,密码安全的短板恐怕就是你的 iPhone 和 Mac 解锁密码了,千万要保护好。

其中之二是知名的密码管理软件 1Password。


免费
1Password
前往 App Store

1Password 提供跨平台的密码管理功能,最新整合的 iOS 系统特性也能让你得到类似一键填充的登录体验。如果你正在苦苦寻找管理密码、信用卡号等一切机密信息的应用,1Password 会是个不错的选择。