在可怕的密码之海中遨游。
第一步:了解你的敌人
针对用户密码的攻击有各种形式和规模。如果你想设计一个强大的密码,第一步就是了解有哪些伎俩可以用来揭穿你的密码。以下是网络新贵们积极获取银行账户、个人电子邮件和社交媒体资料的几种主要方式。
在大多数情况下,攻击者有机会接触到被破解的密码数据集合。这些密码通常以哈希形式列出,但要揭开其中的明文凭证并不困难。一旦发生数据泄露,泄露的信息就会被公开,而且很可能不会消失。对于任何通过这种漏洞使其数据公开的人来说,最好的行动方案是立即改变他们的密码并启用某种形式的多因素认证。一般来说,我们在密码安全指南中建议我们的用户激活两步认证。
这里有一个很好的展示,说明密码可以被快速破解。
重要的是要记住,这个视频是在2016年发布的。计算能力,特别是显卡的性能已经大大提高,但不幸的是,普通用户对密码的选择很可能没有跟上这些快速发展的步伐。
强力攻击
足够多的黑猩猩有足够多的时间可以暴力破解你的密码。
暴力攻击是指恶意行为者试图测试所有可能的字母、数字和符号的组合,直到他们确定与你的用户名相匹配的密码。一个对5位数密码进行暴力攻击的例子是,攻击者试图。
aaaaa … mmmmm … zzzzz
这些攻击对不使用数字或特殊字符的短密码有很高的成功率。幸运的是,这些类型的攻击可以通过创建较长的密码,利用字母、数字、大写和小写以及特殊字符的组合来缓解。
字典攻击
RockYou的数据泄漏暴露了超过3200万个明文密码。这个列表是Kali Linux的标准配置。
字典攻击是一种更精细的暴力攻击,它使用选定的字典词表来测试您的帐户的潜在密码。如果你的密码包括这些字典中的单词,比如主流黑客Linux发行版的默认安装中的单词列表,你就很容易受到这些攻击。如果你的密码被列在这里,请立即更改它
网络钓鱼攻击
网络钓鱼攻击是众所周知的、高效的收获技术,直接针对账户用户。从一个可信的来源、网站或你的IT管理部门发送的一个巧妙的伪装链接可以提供对有效登录凭证的快速访问。在NetworkChuck的视频教程中可以看到一个很好的例子,说明这些攻击是如何容易构建的。
钓鱼攻击并不局限于电子邮件,而是已经进入电话、短信、VoIP和其他信息服务,如WhatsApp和Signal。如果攻击者专注于一个特定的个人,这些攻击被称为鱼叉式网络钓鱼,在为时已晚之前可能会更难发现。
打击网络钓鱼攻击的最好方法是保持警惕。不要点击电子邮件中的链接或打开意外的电子邮件附件。如果你收到来自银行的自动电子邮件,要求对你的账户采取紧急行动,一定要怀疑它是否真的来自你的银行。如果你认为可能需要采取行动,打开一个新的浏览器标签,直接从你的银行网站登录。
中间人攻击
你多久会在你最喜欢的咖啡馆登录免费WiFi?如果你不小心,你可能会把你的设备连接到一个流氓接入点,而不是那个可信赖的星巴克连接。中间人攻击站在你的设备和实际的接入点之间,假装成他们不是的人。这些假网络可以窃听并记录你通过它发送和接收的流量,包括沿途发送的任何未加密的密码。
如何创建一个强密码
第2步:什么是强密码以及如何创建一个强密码?
好的。
一个强大的密码必须足够长,以避免被暴力破解。它应该至少有12个字符,包括字母、数字和特殊字符的混合。同样重要的是,不要以普通方式使用这些数字或特殊字符。把你的O换成0或把你的E换成3,这种看似聪明的选择并不能骗过任何想偷你银行账户登录信息的人。
如果你选择使用一串随机词,它们之间不应相互关联,以防止成为字典攻击的受害者。以随机的间隔混入数字,并且不总是在单词之前、之间或之后,使它们更难被破解。例如 “B?r!d7sDri%&veP._otat!oC?8ches “在字典攻击中被破解的可能性比 “BirdsFly “要小。
“B?r!d7sDri%&veP._otat!oC?8ches “可能不太可能被破解,但如果我上了一个钓鱼链接或陷入中间人攻击,人的错误就会推翻前面步骤所提供的任何数学优势。
同样,要创建一个强大的密码。
- 至少使用12个字符
- 包括大写、小写、数字和特殊符号
- 不要使用字典中的词汇
- 不要以可预测的方式使用特殊字符(H3llo或Pa$$字)。
我们稍后会讲到你如何记住这个新密码。
糟糕的是。
如果你的密码出现在HaveIBeenPwned的搜索中,你应该立即改变它。Pwned Password可供免费下载,毫无疑问,它正被用来获得对世界各地账户的未经授权的访问。
关键是要避免使用任何普通计算机都能迅速破解的单字。根据卡巴斯基的密码检查器,密码 “agoodpassword “可以在两天内被破解,并且已经出现在107个数据泄露事件中。如果我们把O换成0,这个密码仍然可以在两天内被破解。如果你有兴趣,可以去尝试一下这些方法。
我不建议在这样的网站上测试你的真实密码,但看看不同的组合如何影响密码的强度是很有趣的。
你的密码也不应该包括个人身份信息,如你的第一只宠物,你的结婚纪念日或你长大的街道。所有这些信息都可以通过一些简单的社会工程或访问你的Facebook页面而轻易获得。这意味着,“amy&bob4ever1997 “是一个糟糕的选择。即使根据上述强大的密码检查器,“12个世纪 “可能需要被破解,但访问你的公共社交媒体页面,其中充满了从那个特殊场合发布的照片,将大大减少时间。
丑陋。
不幸的是,有一些密码是永远不会消失的。根据NordPass.com的数据,下面列出了十大最常见的密码。如果您正在使用这些密码中的任何一个,您需要改变它们,最好是昨天。
你可以找到2020年最常见的200个密码[这里](https://nordpass.com/most-common-passwords-list/)。
第3步:保持你的凭证安全
现在我们已经知道了如何通过使用至少12个字符,包括数字、大写字母和特殊字符来创建强大的密码,并避免使用字典中的单词或将数字放在明显的地方,这就引出了一个问题:我们要如何记住这个巨大的密码?
一个简单的建议是使用记忆性密码。创造一个可能容易记住的长句子:“鸭子在吃5个紫色胡萝卜时从一只狗那里跑了出来 “可以缩短成一个看起来像 “Tdr/n4rom1d00gWe5Pur%Ca&“的密码。这是24个字符,包括数字和特殊字符,虽然乍一看像废话,但可以通过奇怪的原句记住它。这与我们许多人在数学课上试图记住那讨厌的运算顺序时所用的技巧是一样的。我相信 “请原谅我亲爱的莎莉阿姨 “仍然在许多人的记忆中占有一席之地。
粘性纸条
我向你保证,如果你进入任何大中型办公大楼,有人已经写下了他们的密码,并把它放在没有上锁的桌子抽屉里。这绝不是一种安全的做法。不要成为那个因懒惰而导致全公司安全漏洞的人。
重要的是,IT专业人士要认识到,他们的用户是防止不受欢迎的人进入你的网络的第一道防线。对你的员工进行适当的培训对于防止像这样的失误发生至关重要。IT团队需要与他们的用户合作,打击对公司数据的威胁。对明显的网络钓鱼邮件的无数次无害报告远没有试图消除勒索软件感染的损害来的令人讨厌。
密码轮换政策
导致用户在容易被发现的地方写下他们的凭证的一个主要原因是过时的密码轮换政策建议。幸运的是,这些日子已经过去了,NIST不再推荐这些强制性的密码轮换。这些政策往往导致用户选择更简单的密码,只有微小的变化。这些密码选择更容易被暴力破解,或者导致用户写下他们的密码并不安全地储存起来,因为他们很难记住新的凭证。
在发生漏洞、意外暴露或用户忘记密码的情况下,应该更改密码。
不要循环使用密码
重复使用密码是恶意行为者从你被攻击的Facebook账户转移到你的银行账户的最简单方法。在不同的服务之间不使用密码(和用户名)是至关重要的。这似乎令人生畏,但有各种选择可以使保持多个强密码变得更容易。
有许多网站提供 “2021年新的创意和聪明的密码”,但选择任何你可能在网上看到的预先存在的密码或用户名(甚至是本帖中的那些),都会带来安全风险。
请记住,一个好的密码应该像卫生纸一样:牢固,而且只使用一次。
在浏览器中保存密码
保存密码的一个选择是简单地将它们保存在你的互联网浏览器中,无论是火狐、Chrome还是Safari。这些密码中的许多都可以链接到一个账户,在更换设备时可以在不同的设备之间同步。
虽然这听起来很方便,但如果你不能保证没有人可以获得不需要的访问你的设备,则不建议这样做。快速访问偏好窗口的结果是保存的密码的完整列表,这些密码以纯文本形式存储,供全世界查看。这是不太理想的。
密码管理器
一个更可靠的存储密码的方法是通过使用密码管理器。在这篇博文中,有很多密码管理器可以充分讨论。密码管理器将你的各种登录凭证存储在一个中央位置,并(最好)对所有数据进行加密。在你的设备被盗的情况下,如果不首先解锁密码管理器,这些密码和用户名就无法被发现。
这些程序还有一个好处,就是包括密码生成器,可以创建和保存超出人类记忆的任何合理预期的随机密码。这就省去了你当场想出强大的新密码的麻烦。
如果你选择使用一个密码管理器,你绝对有必要创建一个强大的密码。这个密码就像打开你整个数字生活的钥匙,应该被这样对待。幸运的是,许多这样的程序也支持多因素认证,这给你的数据提供了一个非常需要的额外保护层。
我不会去讨论哪个方案是最好的,但以下是一些流行的密码管理器的简短列表和它们的网站链接。
这些选项中有些是免费和开源的,而有些则需要订阅才能使用其服务。如果你是一个Mac或Linux用户,你的设备预装了一个钥匙串程序,它也允许你存储你的登录凭证。这些都是方便的功能,但不能提供与这些第三方密码管理解决方案相同程度的加密安全。
保持安全,浏览愉快!
如果你按照这些步骤创建一个更强大的密码,并使用你选择的密码管理器安全地存储它,你已经使自己成为一个更难的数字目标。当涉及到网络安全时,没有防弹保护的情况,但如果恶意行为者正在选择目标,你的账户有一个强大的密码和多因素认证,将更不吸引人。
有了这些提示,你可以加强你的数字安全,以更大的信心在网上冲浪,你的在线账户和你的个人信息得到保护。
也可以看看我们的电子邮件安全指南。它解释了电子邮件账户是如何成为你在线身份的大门,以及你如何通过做出一些明智的选择来进一步提高你的在线安全。