每发现一个有料的论坛,每尝试一个新鲜的 App ,使用互联网服务的我们或许就需要注册一组新的账号密码。对于这些密码,我们既要在使用时记得它们,又要保护它们不被泄露和窃取,因此制定一个属于自己的密码管理体系是很有必要的。

基本思路

对于各种网络服务的密码,最不安全的就是 123456 这种有规律的纯数字了,随着大家网络安全意识的加强,使用这种简陋密码的人肯定比以前要少得多了。但是,在不同网站使用同一个邮箱作为账户并使用同一个密码的人肯定不在少数,这样一旦你的账号密码在一处泄露,攻击者便可以拿着这组账号密码在其他网站尝试登陆,也就是所谓的「撞库」,去年年末的 12306 账号泄露事件其实就是这样发生的。

对于现在的骇客来说,与其费尽心思在用户终端种木马,倒不如直接从安全薄弱的网站服务器「拖库」来的方便。所以,我们创建一个复杂到连自己都无法用大脑记忆的密码,只能给我们自己带来不方便,对于防盗来说没有多大用处。为了降低这种形式的风险,我们最好在不同的网站使用不同的密码。

凭自己记忆密码

根据上文的思路,密码的难度复杂度应该适中,而且对于 N 个网站就应该有 N 个密码。因此,我们可以使用「核心密码」和「网站标识」相组合的方式来创建自己的密码体系。下面,笔者举例说明这种方法。

  • 核心密码:123456
  • 网站标识:网址的「www.」和「.com」中间的部分

好了,根据这个简单的密码体系,你在少数派的密码就是 123456sspai 了。相对应,你的QQ密码是 123456qq ,而淘宝密码就是 123456taobao 。现在你要做的就是在这个简单的密码体系上做些自己的改动,从而使其更安全。

  1. 使用大小写混合字母,上面的密码变为 123456Sspai 
  2. 在其中插入符号,上面的密码变为 123~456^Sspai) 
  3. 使用不易被他人识别的网站标识,如 123~456^Ssp) 
  4. 更多你自己想得到的「花样」。

以上的改动出于两个目的,其中 1 和 2 是为了增加密码被通过穷举法所猜出的难度,而 3 则是为了降低某条密码泄漏后,由于太过明显的规律被猜出其他网站密码的风险。

用 App 管理密码

当大家还习惯于长时间使用电脑的时候,一遍遍输入账号密码尚可加强我们对于密码的记忆;而如今大家使用移动设备居多,那些基本上登录一遍就不用再管的 App ,似乎促进了我们对于密码的遗忘。上文所介绍的密码体系得凭自己来记忆,不过现在有着众多的密码管理软件和 App ,可以帮助我们存放这些密码,比如 1Password 就是很常用的一款了。但是,为了结合上文所提到的基本思路,笔者在此首先推荐花密这款小众而免费的密码管理 App 。花密虽然是一款全平台的 App ,但其 Andriod 版本未在豌豆荚上架,大家需要在其官网自行下载。

相比起其他同类 App ,花密可以称得上是简洁小巧,打开它之后,输入「记忆密码」和「区分代号」(即上文所述的「核心密码」和「网站标识」),App 便会按照自己的算法生成一个 16 位的密码,点击旁边的「复制」按钮便可以将其粘贴进其他地方啦。 这样,我们只需要相对较少的记忆量,就可以得到一个很强的密码了。

如果你不喜欢花密这种密码生成 App ,还是更偏向于使用 1Password 那种密码仓库 App 来存储自己创建的密码的话,可以考虑尝试一下老牌的开源软件 KeePass ,由于其开源的特质,安全性也可以更好地得到保证。众所周知,1Password 配合 iOS 8 可以直接在网页中自动填充账号密码,十分的方便。如果非要说个 1Password 的「不足之处」,就是如果有在电脑端管理密码的需求,其 Windows 和 Mac 版本的高售价可能会让一般的使用者望而却步。

KeePass 系列最大的优点就是跨平台而且完全免费,很好地解决了在电脑端管理密码的需求,使得我们可以在电脑端将密码尽数录入数据库后,再导入手机以供随时查询使用。在 iOS 上,笔者推荐使用 MiniKeePass ,在 Android 上则推荐 Keepass2Android ,而 Windows Phone 用户则请使用 WinKee 。这些不同版本之间的密码数据库是完全通用的,移动端创建的 kdbx 文件可以在电脑端通过 Keepass 打开,反之亦然。要说比起 1Password 的缺点,那就是 KeePass 的移动端没有良好的自动填充支持,仅提供了基本的复制功能。但在电脑端,KeePass 提供的丰富扩展插件可以解决很多高级用户的需求。

由于 KeePass 的使用方法与 1Password 属于同一种类型,所以笔者对其基本使用方法不再赘述,在此主要以 iOS 为例讲一下如何与电脑端同步密码数据库。

方法一:iOS 「分享」

  1. 在 MiniKeePass 中打开一个数据库,点击屏幕下方中间的「分享」按钮。
  2. 选择一个与电脑传输文件的 App ,比如 QQ 。在这里,你也可以直接选择一个具有同步功能的网盘 App。
  3. 选择「我的电脑」,然后点「发送」。后缀为 kdbx 的密码数据库文件就被传输至电脑了,在电脑端的 QQ 接收即可。
  4. 同理,可以将电脑端创建的 kdbx 文件用 QQ 或其他 App 发送至 iPhone,再选择用 MiniKeePass 打开。

方法二:iTunes 「文件共享」

  1. 将 iPhone 连接至电脑,打开 iTunes ,点击那个手机形状的灰色图标 ,再点击「应用程序」。
  2. 向下拖动滚动条找到「文件共享」,然后点击「MiniKeepass」,将右侧显示的 kdbx 文件拖动出来即可。
  3. 同理,可以将电脑端创建的 kdbx 文件拖动进 iPhone 中。

说在最后

强大的密码固然重要,与之相配合并更值得强调的是,我们需要按照一定的周期更换自己的密码,从而最大可能地减少密码泄露所造成的影响。

你曾经的密码泄露了吗?可以去这个社工库查查看。