密码管理指南

不要对密码感到不知所措,或者只是在每个站点上都使用相同的密码,以便记住它们:设计自己的密码管理策略。来自作者Mohammed Al-Marhoon的PCPC.me的“密码管理指南"概述了保持安全和理智所需的提示和技巧。

目录

§1–简介

§2–威胁密码

§3–常见错误

§4–有用提示

§5–如何制作密码强密码

§6–堆积密码

§7–密码长度和复杂度背后的数学方法

§8–测试密码的强度

§9–密码管理技术

§10–双向身份验证

§11– HTTPS:增加了安全性

§12–密码管理示例<

§13-如何保护密码?

§14-安全新闻

§15-要记住的点(建议)

§16–PCPC.me链接

1。简介

我们都被密码淹没了。每个人都有一个Google,Facebook,Twitter,LinkedIn,Outlook / Hotmail,Dropbox帐户。不幸的是,我们大多数人对我们所有的主要帐户都使用一个密码或一组密码。

这很危险。

您不想在以下情况下使用同一密码:您所有的在线帐户,但您也不可能记住数百个密码。 那您应该怎么做?

在本手册中,我列出了所有有助于改善帐户整体安全性的步骤。您将了解有关如何创建强密码[1.1]以防止安全性受到损害的一组规则,并且您将阅读大量旨在帮助增强信息安全性的技巧和资源。

不要紧迫:本手册不仅仅适用于精通技术的用户。每个关心其信息安全的人都应该能够轻松地跟进。你还在等什么?阅读本指南并开始改善密码安全性。

您知道什么是密码:密码是一组字符或字符串,可让您访问计算机或在线帐户。而管理仅仅是处理或控制事物的过程。因此,密码管理很容易掌握:这是一组原则和最佳实践,可帮助用户创建,更改,组织和控制密码,从而使其尽可能地安全。

在本指南中,PIN超出了范围,我将主要讨论密码,这是我们在各处普遍使用的字符串。

您拥有多少个密码?

假设您是在开设银行帐户时创建的第一个密码:4位PIN码。此后不久,您为电子邮件创建了另一个密码(大多数在线邮件客户端不允许您创建4个字符的密码,因此您无法重复使用PIN)。您想出了诸如“ 12345678"之类的口令,诸如“ John1234"之类的口令或您喜欢的歌曲中的一句话。之后,您需要再次输入信用卡,SIM卡,社交网站,论坛等的密码,列表仍然存在,每个新服务都可能需要密码。

所以你会怎样做?对于大多数人来说,解决方案是多次使用相同的密码,并使用易于记忆的名称,例如“ 12345678"。这都是(常见的)错误。那么解决方案是什么?

如果有人未经授权这样做会破坏密码或破坏存储密码的数据库,那么就会发生密码泄露事件,这种情况比您想象的更普遍。 。 Twitter在2013年2月宣布已遭到破坏,并且25万Twitter用户的数据很容易受到攻击。 2012年发生了许多引人注目的违规事件;以下是一些示例:

Zappos.com(一家著名的在线鞋店)于2012年1月宣布,其客户信息数据库已被黑客入侵,其数百万用户的登录凭据已受到攻击

雅虎宣布,黑客窃取并泄露(或在线发布)了超过450,000个Yahoo Voices用户的电子邮件地址和密码。

LinkedIn确认,已经有数百万的LinkedIn密码被盗。妥协。这是一个必看的链接,其中显示了一个不言自明的信息图,其中突出显示了从LinkedIn窃取的30个最受欢迎的密码。

著名的在线约会服务EHarmony宣布,其一些会员密码已经被使用。受影响。

黑客列表始终在增长,并应提示您提出问题。例如:如果我对所有站点都使用相同的密码(其中一个被泄露),黑客是否可以简单地将我的密码重新用于所有服务? (是)

是否有即将发生的黑客入侵? (是)。如果是,将入侵哪些服务? (不可能说)。什么时候? (再次,无法说)。我的密码会在下一次违规时被使用吗? (也许)。我的密码足够安全吗? (可能不会)。我应该改变他们吗? (是的。通常)。

这些最近的黑客行为是一个警告-呼吁采取行动。现在是时候检查和评估您的所有密码,并更改似乎很弱的密码或您已使用多个网站的密码。本手册的以下部分将回答并讨论您的大多数顾虑。阅读这些内容并分享您的反馈。

2。威胁您的密码

Similar to what is explained in The Simplest Security: A Guide To Better Password Practices, password cracking is the process of breaking passwords in order to gain unauthorized access to a system or account. And password breaching, as defined earlier, is generally the result of password cracking. Passwords can be figured out, broken, determined or captured through different techniques such as guessing and social engineering techniques.

猜测:一种通过反复尝试使用计算机,词典或大型单词列表进行身份验证来获得对系统或帐户的未经授权访问的方法。蛮力攻击是这种攻击的最常见形式之一。它是通过逐字尝试每种可能的密码组合来猜测密码的方法。字典攻击是一种类似的技术,但是它基于在常用词词典中输入每个词来识别用户密码的技术。两者非常相似,但下表阐明了它们之间的主要区别:

非常有帮助,特别是对于一个很友善或已经知道的人

不知道他们拥有的信息的价值

不小心保护自己的信息<

例如:企业的一名员工可能被欺骗向假装是IT服务台代理的人透露其用户名和密码。您可以想象为什么社会工程是犯罪分子进入组织的一种非常成功的方法:欺骗某人通常比通过技术黑客获得未经授权的访问要容易得多。

网络钓鱼尝试是一个常见的例子社会工程攻击。例如:电子邮件或短信似乎来自知名或合法组织(例如银行),以通知您您是获胜者,并且他们需要一些个人详细信息(例如您的电话号码和地址),因此他们可以将奖品寄给您。社会工程依赖于人类的弱点。因此,请记住:请勿在通过电子邮件链接访问的网站上共享密码,敏感数据和机密银行详细信息。

有关密码威胁的更深入信息,请阅读以下资源:

•企业密码管理指南(草稿)

•社会工程学对信息安全的风险:IT专业人员的调查

•什么是社会工程学? [PCPC.me说明]

•如何保护自己免受社会工程学攻击

3。常见错误

上一章重点介绍了我们的信息容易受到攻击的方式。什么错误使此漏洞变得更糟?下表显示了您可能犯的最常见错误:

Google“常见密码错误",您将找到数百种描述各种错误的结果和资源–几乎所有这些错误都属于上表中提到的错误。

那么,我们现在应该怎么做才能避免密码受到威胁?并没有遵循任何指示或安全程序来创建强密码,而不会犯以下常见错误中的任何一个?

4。有用的提示

在讨论如何制作强壮且易于记忆的密码的方法之前,让我们看一下通用的有用技巧,这些技巧是任何制作强密码方法的基础。在PCPC.me和更广泛的Web上有很多参考资料都涉及此主题。重要信息:您的密码长度至少应为8个字符,强烈建议密码长度为12个或更多。

选择包含字母(大写和小写),数字和符号的密码。

始终在所有支持的在线服务中启用“ HTTPS"(也称为安全HTTP)设置它-其中包括Twitter,Google,Facebook等。

请勿使用简单的密码安全性问题。实际上,安全性问题是电子邮件安全性的主要弱点之一。靠近您的任何人(认识您的任何人)都可以轻松回答以下常见的安全性问题:

您母亲的娘家姓什么?

•< em>您的猫叫什么名字?

您的家乡是什么?

这些提示都可以帮到您,但您可能会想到符合以上几点但仍然很弱的密码。例如,正如Microsoft在其网站上提到的,Welcome2U!,Hello2U!和Hi2U?。尽管包括大写字母,小写字母,数字和符号,但它们都相当弱。他们每个人都包含一个完整的单词。另一方面,W3l4come!2?U是一个更强大的选择,因为它用数字替换了完整单词中的某些字母,并且还包含特殊字符。这不是万无一失,但比以前要好。

5。如何设置强密码

“像牙刷一样对待密码。 〜Clifford Stoll

在进行进一步操作之前,请记住以下几点:< strong>密码越强,越能保护您的帐户或计算机免遭入侵或黑客攻击。您应该确保每个帐户都有一个唯一且安全的密码。

确实,有很多文章和建议说明如何为您的帐户选择安全且易于记忆的密码各种在线帐户。这些建议或方法中的大多数(如果不是全部的话)都同意基于助记符(例如容易记住的短语)创建密码的规则。但是,它们在合并上面提到的有用技巧的方式上有一些细微的差别,它们通过增加一些安全性来增强密码的强度。让我们总结一下这些方法,以便于参考。

Mozilla发表了一篇非常有用的文章,其中包括动画视频,标题为“创建安全密码以确保您的身份安全"。 :

选择一个熟悉的短语或语录,例如“愿力量与你同在",然后通过取每个单词的第一个字母来缩写它,因此它变成“ mtfbwy"

在单词的两边添加一些特殊字符以使其更坚固(例如#mtfbwy!)

然后通过将网站名称中的一些字符添加到原始内容中,使其与网站相关联密码作为后缀或前缀。因此,Amazon的新密码可能会变成#mtfbwy!AmZ,Facebook的#mtfbwy!FbK等等。

Google最近针对在线安全广告活动的一部分“了如指掌"就是说明。为每个帐户选择一个安全密码。就像这段简短视频中的萨拉·亚当斯(Sara Adams)所言,总的来说,是从喜欢的歌曲,电影等中选择一个句子或一行(您可以轻松记住)。然后取每个单词的第一个字母,然后尝试将其混合包含数字和特殊字符(符号),并混合字母组成您的强壮但易于记忆的密码。您选择的短语越不寻常越好。 “知道"是一个非常丰富的教育活动和资源,其主要目的是传播对在线安全和隐私的认识。保持在线帐户安全的另一个精彩视频,向您展示了如何提高安全性。

在生成密码时,您应遵循两个规则:长度和复杂性。让我们从下面的句子开始:“我喜欢每天阅读PCPC.me博客" 。让我们将此短语转换为密码。

从每个单词中提取第一个字母: IltrMUObe 。我将字母“ d"考虑为每天两个单词,以延长密码。因此它将变得像 IltrMUObed

现在通过添加符号和数字来增强其强度:

20I!ltr.MUO_bed?13

OMG!这是什么难密码?!这是不可能记住的,谁会这样添加数字和符号?请稍等...我没有添加任何数字,也没有随机放置符号。让我们更全面地分析此密码:

20 I!ltr.MUO_bed? 13

首先参考20和13到2013年。其次,我在每三个位置或每个字符后面加上一个符号。你注意到了什么?是的,这是一种模式。设计自己的特殊图案。您可能希望使用我的确切模式作为大多数在线帐户的基本密码,但不要这样做。想想你自己的。但是,如果您希望将此选项用作基本密码,则可以通过旋转部分密码,更改顺序或至少使用密码中的在线帐户名称来帮自己一个忙。

20I!ltr.MUO_bed?13 Gmail

fb 20I!ltr.MUO_bed?13(适用于Facebook)

20I!ltr.MUO_bed?13 Tw (对于Twitter)

2013I!ltr.MUO_bed? Li (对于LinkedIn)

这是一种密码开发策略。让我们继续增加复杂性,同时尝试保持可能的记忆性。

6。堆积密码

此技术是由Gibson Research Corporation(GRC)总裁安全专家Steve Gibson开发的。密码干草堆是一种通过在密码之前或之后添加诸如(///////)之类的模式来使密码极度难以破解的方法。此外,吉布森(Gibson)设计了一个巧妙的交互式计算器 Brute Force搜索空间计算器,您可以使用它来测试密码的潜力。它将显示不同实体破解密码所花费的时间,同时根据一些数学计算,向您展示为什么密码是弱密码还是强密码。那么如何使用这种技术呢?

这是它的工作原理:

请输入密码,但请尝试将其混合使用大写和小写字母,数字和符号

出现一个您可以记住的模式/方案,例如您喜欢的歌曲摘录中每个单词的第一个字母或一组符号,例如(…..//////)

使用此模式并重复使用几次(填充密码)

让我们举一个这样的例子:

密码:

I.lto!MUO2012

通过应用此方法,密码变为 Haystacked密码:

..... ///// I.lto!MUO2012 ..... /////

因此,对于您的Facebook帐户,密码可能是:

fb…..///// I.lto!MUO2012 < strong> ../////

此技术的其他示例:

818818818JaNe !!

JaNe9999999999 //

您明白了。

插入非常容易您的密码放在容器(或大海捞针)中。现在,让我们使用蛮力搜索空间计算器来测试Facebook帐户密码的强度:

该技术解决了上述两个问题,即:

  • 您的问题越复杂密码对于用户来说更难记住,并且更容易被记录和丢失
  • 对用户而言,最令人沮丧的是出于安全原因,需要定期更改密码,尤其是在组织中

    • 7。密码长度和复杂度背后的数学原理

    网络上有很多文章讨论长度或复杂度是否是密码的最重要部分。您可能想知道:为什么总是建议(甚至要求)密码至少为8个字符,并且由字母,数字和符号组成?为什么其他人坚持认为长度很重要?事实是,在创建任何密码时,您必须同时考虑长度和复杂性。可以通过以下公式明确说明其原因:

    X ^ L(X等于L的幂)

    其中X是可能包含在密码中的字符,L是密码的长度。

    Roger A. Grimes在分析此公式时写了一篇引人入胜的文章(密码大小很重要)。我会尽量保持简单,不要让您对纯粹的数学计算感到厌烦。请回想一下最广泛使用的破解密码的方法,即蛮力破解,即在无数次猜测中一一尝试所有可能的字符组合,直到找到密码为止。下面的分析通过说明每种字母数的许多可能组合,来说明长度和复杂度如何影响密码强度。

    让我们关注2个字符的密码。如果密码仅包含两个字母,那么我们将进行以下分析:

    密码长度= 2个字符

    第一个字符=小写字母(26种可能)+大写字母(26种可能性)= 52

    第二个字符= 52(与第一个字符相同)

    Total = 52 ^ 2 = 52 * 52 = 2704个组合

    现在,让我们重复此过程,但假设允许我们在密码中添加数字,但是使用相同长度(仅2个字符):

    密码长度= 2个字符

    第一个字符=小写字母(26种可能)+大写字母(26种可能)+数字(10种可能性)= 62

    第二个字符= 62(与第一个字符相同)<

    总计= 62 ^ 2 = 62 * 62 = 3844个组合

    现在,让我们重复最后两个过程,但密码从2个字符增加到3个字符:

    密码l ength = 3个字符

    第一个字符=小写字母(26种可能性)+大写字母(26种可能性)= 52

    •< em>第二个字符= 52(与第一个字符相同)

    第三个​​字符= 52(与第一个和第二个字符相同)

    Total = 52 ^ 3 = 52 * 52 * 52 = 140608组合

    现在让我们重复此过程,但假设允许我们在密码中添加数字,但是长度相同(仅3个字符):

    •密码长度= 3个字符

    第一个字符=小写字母(26种可能) +大写字母(26种可能性)+数字(10种可能性)= 62

    第二个字符= 62(与第一个字符相同)

    您注意到了什么?如果您看一下两个部分中可能组合的数量,您将获得我们一开始提出的问题的答案。复杂性和长度都会使密码难以破解,但是最终的策略显然是将它们组合在一起。

    总而言之,破解密码所需的时间分别取决于其重要性的两个因素。 :

    长度(L):密码的长度(注意:每个额外的字符要花更多的时间才能强行使用)

    复杂度(X):这是多少每个位置都允许使用字符(大写,小写,数字和特殊字符)

    8。测试密码的强度

    您可能会看到创建一个强度高的密码对您来说是一件令人烦恼或困难的工作。虽然您可能想出了一个密码,但是您不确定密码的强度。不用担心幸运的是,有许多有用的基于Web的应用程序,称为密码强度检查器(或简称为密码检查器),可以帮助您测试密码的强度。并为您提供创建更强大的密码的指南。

    有关此工具和其他类似工具的更多信息,请参见以下链接:

    •破解密码使用以下五个密码强度工具进行测试

    •HowSecureIsMyPassword:密码强度检查器

    •密码的安全性如何?

    •密码表:检查密码的强度<

    •强度测试:测试密码的强度

    注意:安全是您的首要责任。因此,出于安全考虑,我们强烈建议并强烈建议您谨慎使用这些工具。因此,作为最佳实践,请考虑使用此类Web应用程序(无论是否知道基于Web的应用程序/服务都使用客户端脚本来检查密码,而无需向服务器发送任何内容)。您会知道如何使用不同的字符,符号和数字来提出一个强密码。只需构造伪造的密码并对其进行测试就可以使用它。

    必须是唯一知道您的实际密码的人。

    9。密码管理技术

    您可能会认为,不可能为每个在线帐户创建强大,安全且唯一的密码,因为很难记住所有密码。幸运的是,可以使用多种不同的技术(包括工具和服务)来使您的密码安全并且可以从多台计算机和设备上访问。

    简单地说,分层密码系统具有不同级别的密码。不同类型网站的密码,其中密码的复杂度取决于如果密码被泄露/获得,后果如何。您可能有两个或三个级别的网站或安全性或密码。分层密码系统的一个明显的常见示例是“三层密码系统"或“方法",该方法主要将网站或安全性的类型分为三个级别:

    低安全性:用于注册论坛,新闻稿或下载特定程序的试用版。

    中等安全性:用于社交网络网站,网络邮件和即时消息服务。

    高安全性:适用于涉及您个人财务的任何事情,例如银行和信用卡帐户。如果这些措施受到威胁,则可能会严重影响您的生活。

    请记住,此分类应基于每种类型的网站对您的重要性。不同类别的内容因人而异。

    重点是您不必记住数百个密码,以确保您的帐户不会受到损害。

    这是一种手动方式,可以在一张纸上创建一棵树,以便对网站进行分类,同时在每个密码下面都提到密码。 最有用的网站的作者Amit Agarwal在他的博客中提供了一个很好的详细示例。

    大多数人都同意您输入的密码数量对网络的需求正在增长。因此,为每个帐户提供一个安全可靠的密码比以往任何时候都更为重要。这导致了一个问题:难以跟踪所有不同的密码。

    有很多免费和付费服务,因此在确定要使用哪个密码之前,请仔细研究。<

    它们将您的密码存储在本地计算机上,并且有三种不同的类型:

    基于桌面的

    这些是一种密码管理器,用于将您的个人信息(用户名和密码)存储在计算机硬盘驱动器上的加密本地文件(或数据库)中。

    便携式

    密码将存储在移动/便携式设备(如智能手机)上,或作为便携式应用程序存储在USB记忆棒或外部硬盘驱动器上。

    基于浏览器的

    类似于基于桌面和便携式密码管理器,但内置于Web浏览器中。例子包括Firefox和Chrome提供的密码管理工具。

    基于网络的密码管理解决方案使您可以通过浏览器从任何地方访问密码,因为它们将您的密码存储在云中。

    他们需要额外的身份验证级别(通常称为多因素或两因素身份验证),例如要求用户通过插入提供的便携式物理设备(例如智能卡)来解锁密码以获得访问权限

    总的来说,下表显示了这些类型之间的主要功能和弱点:

    如您所见,上表演示了您必须采取的许多操作考虑:

    可用性和安全性之间存在反比关系(可用性与安全性)

    •您不应完全依赖任何类型的密码管理器

    •您的单个主密码必须唯一且复杂

    •注意当您使用某些密码管理器中包含的密码生成器功能时。 如果密码管理器使用弱随机数生成器,则密码可能很容易可猜测。

    因此哪一个是最好的?还是我们该怎么办?请耐心等待并继续阅读以找出答案,但是暂时考虑到您必须使用不同的安全措施,并且应该改变处理密码的方式。 。

    密码管理工具确实是一种很好的解决方案,可以减少密码被泄露的可能性,但不必依赖单一来源。为什么?因为任何计算机或系统都容易受到攻击。依靠密码管理工具可以创建潜在的单点故障。

    KeePass是一种流行的开源,跨平台,基于桌面的密码管理器。它适用于Windows,Linux和Mac OS X以及iOS和Android等移动操作系统。它将所有密码存储在一个数据库(或单个文件)中,该数据库由一个主密钥保护和锁定。 KeePass数据库主要是一个文件,可以轻松地传输到(或存储在)任何计算机上。进入下载页面获取副本。

    以下是在Windows中进行设置的方法:

    标题:您可以用来描述特定的密码输入,例如Facebook密码等等。

    用户名:与密码条目关联的名称,例如PCPC.me @ com

    密码:这是KeePass的一大特色;生成安全的加密密码。 打开/激活“添加条目" 窗口时,此功能会自动生成一个随机的安全加密密码。

    查看密码,请单击密码右侧的显示密码按钮(带有三个点的按钮)。

    要为新帐户生成随机的安全加密密码或更改现有密码,请单击按钮

    重复:再次输入密码进行确认。<

    质量:使用按您输入的质量(或密码强度)表显示密码的安全性。

    URL :与密码条目(如mail.yahoo.com)相关联的网站链接(或网址)。

    注意:有关帐户或网站的常规信息,在您搜索特定的情况下可能会有用常规输入或您对帐户有特定设置的地方。

    到期时间:这是您想要密码时可以使用的到期日期在有限的时间内进入。您也可以添加提醒自己,以在指定的时间更改密码。密码过期后,您会在密码名称旁边看到一个红叉符号。

    附件:这是密码的文件附件条目。 KeePass的另一个重要功能是拥有一个用于文本文件,图像和文档的内部查看器。因此,您无需导出附件即可查看它。

    缺点:如果忘记主密码,则数据库中的所有其他密码永远丢失,无法挽回。不要忘记该密码!

    KeePass是本地程序,但是您可以通过使用Dropbox或类似的其他服务同步数据库文件来使其成为基于云的程序。请查看Justin Pot的文章“使用KeePass和Dropbox实现加密的跨平台密码同步"。

    有关此工具的更多有用链接:

    •KeePassX – Linux和OS X的安全密码管理

    •使用Keepass保护您的在线帐户

    “此站点禁止使用":Firefox将不会保存登录信息,除非您清除了以下内容中的例外情况,否则它将不会再询问您

    “不立即":浏览器这次将跳过保存您的用户名和密码,但是下次会再次询问。

    标签: