也许在未来,所谓的传承也只是一个账户一个密码的交接而已。
是时候大致梳理一下,在这个无时无刻不与网络连接的时代中,我们该如何去使用密码的问题了。
你的密码强度够吗?
在谈密码管理的问题之前,我们不妨先明确一下当前自己所使用或新创建的密码,安全系数足够高么?
如果你不确信,可以先做一个密码强度的测试:Password Strength Checker
注意:检验时,尽量使用密码结构(长度和字符类型)类似但具体片段不同的密码。
网络账户密码管理思路
关于密码保护,比较好的方式是根据用途、重要程度以及日常使用场景进行区分,并有针对性地采用相互独立的账户体系和密码模型。
一方面,保障最为重要的服务能在遭遇大规模密码泄漏时能安然置身事外;
另一方面,依照重要性差异隔离开不同类型账户,建立起一个屏障;
哪怕遭遇密码泄漏,也只是一部分账户受牵连,其它密码集合依旧可以安全可靠地使用。
这里的策略是:建立一个多维度的账户体系。相当于创造出几个能够互不干扰的平行世界。
邮箱使用策略
目前各类网络服务依旧以邮箱 ID 为核心。互联网在未来不短的历史时期也会延续这样的帐号注册和使用方式,因而这里以邮箱使用策略开头。
我们对于不同的服务以邮箱账户来分隔。
- 多账户
至少拥有 3 个不同类型的邮箱,每类邮箱使用的密码都不重复;
核心邮箱
注册每一个核心邮箱账户都配置独立(不同于其它核心服务)的最高强度密码;
- 只用最为安全的邮箱服务注册,Gmail,Outlook;
- 用于注册最重要的连接并授权各种其它服务的服务平台,Facebook、Twitter、Dropbox、GitHub、微信、Evernote 与几大支付工具等;
用于作为日常邮箱的安全辅助邮箱;
日常邮箱
用于注册国内外日常频繁使用的各类站点,比如 Instagram、Quora、豆瓣、微博、知乎、Steam 等平台;
- 工具类注册,Instapaper、Pocket、Workflowy、Telegram、IFTTT 等工具;
为注册同一服务多账户(例如 Dropbox、Evernote 一些网盘服务或其它)策略的道具;
普通邮箱
用于注册日常需要使用,但不重要、不频繁使用的各类服务;
- 购置、试玩不常用的工具时需要的注册;
为同一服务注册多账户策略的道具;
临时邮箱
相当于临时使用的道具;
- 注册国内外各大邮箱平台的额外邮箱账户,整理为常备列表
- 论坛注册下载;
- 有邀请优惠时可用到
- 应付充当自家水军所需的各种注册服务…
核心邮箱保护机制
核心邮箱,需要特别提及一下,如何完善保护机制。包括但不限于:
- 高强度(长且复杂)且单独创建(不在其它服务中使用)的独立密码;
- 完善个人信息,搭配辅助邮箱,便于密码找回;
- 安全设置,如有,则开启两步验证;
对于日常的账户注册和使用。嗯…这里需要的特质是:
- 理解前述多账户策略
- 界定清晰(便于划分并采取不同应对)
- 归档明确(便于提取并及时使用)
- 资料完备(一个个人的密码表)
网络服务使用注意事项
- 网站服务,可以不注册就不注册;
- 可以用邮箱注册,就不要用手机号;
- 注意使用不同邮箱注册,不同类型服务的策略;
- 能用虚构信息注册,就用虚构信息;
- 相关身份信息可以不补全就不补全;
- 重要服务,有必要添加辅助邮箱和找回密码途径就尽量添加;
- 注意使用不同类型密码;
密码构成要素与创建策略
在注册账户使用各类互联网服务时,除了运用多账户策略,我们也需要重点关注一下密码设置问题,先来了解一下密码的构成。
密码可能/可以的构成元素:
- Uppercase Letters 大写字母 A..Z
- Lowercase Letters 小写字母 a..z
- Numbers 数字 0..9
- Symbol 符号
~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ? /
密码不合适使用的内容/组合:
- 字符过少(8 位乃至更少);
- 单一/连续/重复的字母;
- 单一/连续/重复的数字;
- 单一/连续/重复的字符;
- 完整的英文单词/中文拼音;
- 用户名/真实姓名/其它真实信息的字母/拼音;
- 年份/生日/邮编等含有个人信息的数字;
- 尽量不使用 */!/#/@ 比较常见的特殊符号,尤其不要作为密码最后的部分使用;
进而,我们推导出一个相对合理的密码策略,其中大部分密码,可借助 1Password 一类密码管理工具的随机强密码生成器自动创建,为一部分重要帐号手动创建密码时,依旧可以参考如下策略:
- 长密码 (14~16 位 或更多)
- 组合、尽情搭配,大小写字母、数字与特殊字符都用起来
- 常用字符 + 固定符号 + 变量 「Ender_Expl0re_2Twitter」「Lily_Expl0re*2Face8ook」 一类,不算最佳,但减少记忆负担又有效
- 多模块编码 + 特殊符号连缀 「3Key&Board@MyDesk」
- 短语(歌词 格言 诗歌等)首字母缩写连结 「jutouwangmingyue」(举头望明月) → 「JTwmy」
- 拼写变形或符号替代 「Walkthreedogs」 → 「Wk3Dgs」 一个来自 Apple 的例子:「You will be welcomed」 → 「UW1llBvv3lc0meD」
- 或是其它形态和出处的有意义的密码——密码只对自己存在意义;便于记忆
密码使用习惯
- 使用密码生成器生成高强度随机密码;
- 不要长期重复使用同一密码;
- 不同服务不同账户,多维度匹配,多维度保护;
- 核心账户,如有可能不定期更换密码;
- 不在并非自己所有的设备上登录重要账户,如必须,用隐身窗口访问;
- 要记得住记得住记得住,包括借助 1Password/LastPass 等密码管理器创建、保存密码时,一定要记住主密码;
- 不要把密码表保存在别人接触得到的地方,比如某些公共相册,博客文章等位置,哪怕编码过;
记忆与存储方案
如果有必要保存密码方便取用,尽量不直接写下,而是进行编码后记录。
特制密码表。哪怕明文保存,别人看到一般也看不懂。所以,有必要对记录的密码表进行编码。
在记录时记下的就是编码后的密码表。
编码思路(参考密码创建的思路),可用以下模式:
- 翻转
- 缩略
- 谐音
- 错误
保存途径:
- Dropbox 下文件格式保存。以自己记得住,但无法联想到「password」「passwd」「code」「key」「密码」等词汇的文件名命名;
- 笔记本。类似 Evernote 或其它自己常用而安全性相对可靠,可随时自各平台访问的笔记工具中存储。
- 实体纸质笔记本
符合以下条件为佳:
- 保存安全度高;
- 如果是软件/应用,服务需注册账户,该账户本身密码强度就非常高且为独立密码(不曾在其它服务注册时使用过);
- 一定要记得住这个核心密码;
- 使用编码进行记录;
- 以能随时随地提取为佳;
- 更新密码表相对便捷;
- 以不依赖云端保存为佳;
地球不那么安全,心不要太大啦。
切记切记。
参考资料
- 创建强密码的技巧 - Microsoft
- OS X El Capitan: 创建安全密码的技巧
- 一个密码怎样改变了我的人生