[安全] 详解提高密码安全的注意事项(二)
五、哪些密码应该是重点关注的?
尽管把账号密码按重要性分级有一些不妥当,但是蓝点网认为还是有必要单独提一下部分网站的账号与密码。
哪些密码是我们认为需要重点关注的?Google、Opera、Firefox、UC、遨游、360 等等。
或许你已经发现了,上述列举的均是拥有浏览器产品的厂商。为什么要重点关注他们?原因在于浏览器的表单密码记录。
浏览器为了方便用户一般会在第一次登陆某个网站时询问或者自动记录用户登录时的账号和密码并同步到云端。
除了同步账号密码外诸如书签栏(收藏夹)、浏览记录、设置等也会被同步到云端,试想一下如果你的浏览器绑定账号密码泄露了会出现什么状况?
你日常所使用的网站账号密码等全部被泄露!尽管在 Windows 等操作系统上想要查看这些密码可能还需要输入操作系统账号进行验证,但只是登录的话却并不需要验证!
所以保护好你的浏览器账号与密码,一旦泄露他们带来的危害几乎可以匹敌手机 SIM 卡被人补卡了。
如果你使用的是 Google Chrome,那么你可以去 Chrome 浏览器同步里查看你所有被同步到云端的信息,例如蓝点网小编的如下:
如果蓝点网小编的 Google 账号泄露且被人成功登陆,那么对于那些没有启用二次验证或者安全机制没有判断出风险操作的网站就全部歇菜了。
六、不要使用简单的密码!
这个也是个老话题了,诸如 123456 这种密码估计现在用的人不多了,因为很多网站并不允许你使用这类密码(其实还有不少网站允许,比如一些游戏网站对用户密码不做任何限制)。
然而诸如 a123456、A123456、a123456. 和 A123456. 这类密码由于符合网站的密码规则要求,依然被大量使用。
另外也要注意使用长密码,你要知道对于十位数以上的密码每增加一个字符黑客所耗费的破解时间就会呈几何倍加长。
Google、淘宝、支付宝等目前都已经允许使用超过 16 位字符的密码了,上限倒是没关注过,腾讯 QQ 似乎现在上限依然是 16 位。
对于能使用长密码的网站,我们建议还是使用长密码,16 位字符以上当然是最好不过了。
七、安装安全软件、不安装来历不明的软件
再好的安全保护也抵不过潜入你电脑的账号密码记录器,所以不要追随潮流进行“裸奔”(启用 Windows Defender 不算裸奔)。
虽然很多木马也能绕过安全软件,但至少安全软件还能够拦截掉一大部分潜在恶意软件。
而对于来历不明的软件就更是要慎重安装了,不要被软件标明的美女直播、新版快播、夜色直播等具有明显诱惑性质的恶意软件所迷惑。
尤其是对于 Android 用户来说上述潜在恶意软件更是规模盛大,很多网站在晚上访问的时候都会跳出这类诱惑的内容,就指望你被诱惑去下载安装。
一旦安装了那么你就又要陷入烦恼了,不停的自动下载推广软件、发送扣费 SP 短信、上传通讯录、上传短信记录… 想想都恐怖。
八、定期更新密码
定期更新密码估计也只是停留在口头上,虽然说起来容易但更新一次确实麻烦的不要不要的。
尽管很麻烦但是如果有空的话还是要设置个备忘录提醒,例如每个月更新一次所有网站的密码、或者更新一次主要使用的网站的一些密码。
为什么需要定期更新密码呢?就像卡巴斯基创始人尤金卡巴斯基所说的那样,“世界上只有两种企业:一种是已经黑客攻击的企业,另一种是还不知道被黑客攻击的企业”。
尤金卡巴斯基的这句话我估计可以用很长时间了,因为很多网站被黑客攻击乃至拖库后都不知道已经发生这事儿了!
另一种更加可恶:一些网站明知道已经被拖库但为了所谓的声誉把用户推到火坑中,死活不承认已经泄露、不发通知让用户更改。
试想一下如果网站在知道遭遇了安全危机,第一时间通知用户更新密码,那么至少用户更新了密码后相对而言是安全的。
如果一直不通知用户去更改密码,而数据库本身已经在黑客圈子里或者地下黑市进行层层售卖,这就像一个密布的定时炸弹,用户永远不知道下一个网站的账号密码什么时候被人登录。
所以尽管定期更新密码非常麻烦,但最好要有这个意识,想起来以后就去更新一遍去。
后记:
在这个人均都有十个账号以上的互联网时代,指望网站和企业保护我们的网络安全一点都不可靠。
因为你永远也不知道下一个被拖库的网站会是谁、但你知道你的账号密码被泄露后你所遭遇的安全危机。
所以与其把安全问题抛给网站解决不如我们自己慢慢养成良好的网络习惯,自己解决互联网时代的账号安全问题。
想要一蹴而就或者一劳永逸的解决问题并不现实,所以能做的只是我们从自身出发积极保护好我们的私人信息。