有很多人怕麻烦,虽然想好了一个复杂的密码,但是却采用单个密码走天下的策略,也就是不管哪里都用一样的密码。这造成了另外一种隐患——一旦一个密码暴露,就会导致所有帐号的密码都暴露了。
不知道有多少人还记得2011年底那场黑客拖库风波,当时好多知名网站,包括某东、某米论坛、CSDN、多玩、人人网都被曝出大量用户数据流出。一时之间人人自危,大家都忙不叠地更改密码。我也是在那个时间重新思考了一下:你妹呀,我保护的再好,那些小破网站没把我的信息和密码当回事,还用明文保存密码,那怎么办呀!
于是我狠狠地很严肃地花费了很多时间重新调整了自己所有的密码,以至于我们家领导一直抗议到现在:密码记不住!
那我用的密码策略是怎样的呢?
很极端——每个网站密码都不一样。
有规律——并不是很难记哦。
规律是这样的。
第一,对网站按照所需要的安全等级进行分类
* 对最重要的涉及的金融、资金、安全性验证的邮箱的这类网站,定位为极为重要(Critical)。
* 对于大型在线交易网站(例如京东)或是某些大型的门户网站(例如新浪)的帐号,定位为重要(Important)。
* 对于单一功能的网站(例如小米官网),定位为普通(Normal)。
* 对于偶尔访问的,不明确安全性的网站(例如各种论坛),定位为不安全(Unsafe)。
第二,每个网站的密码由一个密码关键词和这个网站相关的前缀或后缀组成。密码关键词每一类都同样。(以下仅为举例,实际使用的关键词你可以根据前面一篇文章的介绍自己定义,千万要保密哦。另外,没必要拿下面的密码来尝试,我没那么傻啦,不会拿自己真实的密码作为例子的啦。嘻嘻。)
例如:
* 极其重要的密码关键词设为[email protected] (这是从Critical变形而来的,仅为举例)
* 重要的密码关键词设为[email protected](从Important变形而来)
* 普通的密码关键词设为[email protected](从Normal变形而来)
* 不安全的密码关键词设为[email protected](从Unsafe变形而来)
第三,加上和网站相关的前缀或后缀。例如,用网站域名主要部分的后3个字符作为前缀。
支付宝,安全等级:极其重要,网站URL http://www.alipay.com/ 密码[email protected]
Google帐号,因为Gmail是我的主要邮箱,所有重置密码都会发送到这个邮箱,所以安全等级也是最高的,网站URL: http://www.google.com/ 密码[email protected]
新浪微博,安全等级,重要,网站URL http://www.weibo.com/ 密码[email protected]
网易,安全等级,重要,网站URL http://www.163.com 密码[email protected]
小米网,安全等级,普通,网站URL http://www.xiaomi.com/ 密码[email protected]
多玩网,安全等级,不安全,网站URL http://www.duowan.com/ 密码[email protected]
前缀和后缀也仅为举例,你们也可以自己定义某一个规则。比如用网站域名的前2个字母加上网站域名的总字符数作为后缀(这样google的后缀就是go6),也可以继续变形(这样google的后缀就变成了G06)
黑客拖库一般或拿到几万甚至几千万条记录,他们绝对没有时间对你一个用户进行各种分析,大多数情况下只是写一个自动的程序,拿同样的帐号和密码去其他网站尝试,并记录下试成功的那些帐号。因此,一般来说,用以上方法,可以抵御99.9%的密码泄漏危险。
那么,新的问题来了,每个网站的密码都不一样,那么多网站那么多帐号和密码(我数了下,我已经有超过250个不同的帐号密码了。昨天为了报名上海马拉松,又注册了一个帐号设置了一个密码),怎么记得住啊!且听下回分解。
欢迎扫描二维码关注本人微信公众号 三角阳台的数码唠叨
