你的手機號碼或生日就是銀行卡密碼？這篇文章教你怎麼設置萬無一失的密碼

最新 02-22

某數字公司旗下的視頻應用撞庫用戶的密碼；烏雲曝光了網易郵箱存在的安全漏洞；百度全系 Android 應用受 WormHole 漏洞影響；某知名社區遭攻擊致帳號信息泄露……這些越來越多的隱私安全事件，讓我們不得不對網路安全重視起來。

那麼，密碼作為一種最原始、最廣泛使用的安全手段，到底應該如何設置？什麼樣的密碼才是安全的？有沒有什麼好用的工具可以管理好自己的密碼？甚至，如果我們能明白這些密碼泄露事件的根源與原理，對我們加強安全意識會不會有額外的幫助？

在開始介紹具體的方法和措施前，我們希望先讓您明白，密碼到底是如何泄露的，正所謂知其然，也要知其所以然，密碼安全不僅僅只是一些教條性的操作指南，更重要的是我們懂得在各個途徑和過程中，如何保護好我們的密碼。

密碼越複雜，安全程度越高，這一假設的前提是你的本地設備和網路環境足夠安全，否則就像我們前面所說的，密碼再複雜，如果你本地有木馬程序監聽輸入，那麼一樣是徒勞。

在保證本機和網路環境安全的前提下，如果網站的數據發生泄露，對方在暴力破解時，密碼的複雜程度就直接對破解的效率和成本有關係，一般來說，位數越長，混雜得大小寫和特殊符號越多，暴力破解的成本就越大。所以一定杜絕使用常見的、簡單的密碼，建議大家的密碼盡量保持在 14 位以上、存在大小寫字母和數字、並混雜有特殊符號（理論上特殊符號當然是越不常見的越好，甚至有人用 emoji 作為密碼中的特殊符號）。

如果最壞的情況發生了，密碼泄露並被破解了，怎麼才能不影響自己在其它平台的賬號安全？當然是不同平台和網站有不同的密碼是最安全的了，這樣泄露的賬號和密碼不會直接影響到其它平台。不過考慮到實際情況，我們很難在每一個不同的平台上都更換一個新的賬號和密碼，要記住不是一件容易事。這時就可以考慮一個非常簡單的策略：使用一個通用的基礎密碼，針對不同的網站，在前後或中間插入對應該網站的一個特殊值。比如我給自己設定的一個基礎密碼是 Jackson%!1128，那麼當我在不同的平台註冊時，可以加入不一樣的後綴，例如註冊百度時可以有 Jackson%!1128@baidu，註冊少數派時則是 Jackson%!1128@sspai，以此類推。

好處是什麼呢？首先顯然如果你不打算藉助一些密碼管理工具，而使用腦子來記密碼，又希望各個平台的密碼有所不同時，這是一個簡單可行的方法。其次，一旦你的密碼被泄露了，你還很快能追查出到底泄露源是哪。你可能會覺得黑客會不會很聰明，知道在不同網站去替換我的後綴呢？這其實很難，首次加入了這些網站特徵值後本身對破解造成了難度上的提升，而從另一個方面來說，黑客基本很少會關心茫茫密碼中的個人，他既沒興趣也沒精力來專門針對你進行一些特殊處理。如果還是不放心的話，可以考慮在這個策略上，再加入一些變化，比如我就不會直接使用 sspai，baidu 這樣的網站特徵值，而是使用這些網站名稱的五筆首字母，例如 baidu 就是 dy，少數派則是 ioi。

不知道到底設什麼樣的密碼好？其實還有一個很簡單的辦法，像 Safari、Chrome 等瀏覽器就會在頁面註冊賬號時智能地提供一個隨機字元串作為密碼選項。

好處就是，完全忘掉之前說的怎麼設置一個複雜的密碼規則，你只需要讓瀏覽器自動生成就可以了。不過缺點也很明顯，如果你在不同的平台上登錄，是 Web 環境的話需要保證全平台統一同步，而如果註冊的是某些 App 使用的賬號，那麼登錄的時候就非常不友好了。

最糟糕的情況就是密碼還是泄露了，這時候有沒有補救措施？當然也有，像現在大型的互聯網公司一般都提供了兩步驗證服務，如微軟、Google、蘋果、印象筆記等等。一旦開啟了兩步驗證，只要是在非授信的設置上登錄，除了常規的賬號和密碼外，網站還會要求你額外提供綁定手機的動態驗證碼，這樣就確保了即使的密碼泄露了，依然還有一道安全屏障阻礙黑客最終登錄你的賬號，保護你的數據財產安全。

這可能是聽起來最簡單的一件事情，但一定要做。前面提到了密碼泄露的各個環節，有的是你可控的，有的是你不可控的，有的甚至是你自以為可控但其實並不可控的。對於許多人來說，我們缺乏判斷本機或網路傳輸是否真的安全的能力，甚至像爆發的 XcodeGhost 事件，即使對於安全意識再高的人，也想不到會有這樣的事情發生。

正所謂防患於未然，既然我們永遠不知道水有多深，不如養成定期改密碼的好習慣。

不過，一個更殘酷的現實是：道高一尺，魔高一丈。網路中永遠潛伏著我們還未意識到的安全風險，隨時可能爆發的黑天鵝事件。

因此你在使用任何網路服務時一定要有一個意識，做好最壞的打算：永久假設你的密碼一定會泄露，只是時間早晚問題。那麼，這件事一旦發生後，被泄露的數據會對你造成致命的打擊嗎？會讓你的銀行卡變成人盡可取嗎？會讓你的身體變成人盡可看嗎？會讓你的陰謀變得人盡可知嗎？想想這些，你還敢把銀行卡密碼記在簡訊里嗎？還敢和冠希哥合拍小視頻嗎？還敢傳政府機密文件到網盤裡嗎？

如果你針對不同網站設置了不同的密碼，這些密碼可能是之前提到的按一定規則組成的密碼，也可能是完全沒有任何內在邏輯、隨機生成的字元。想要記住這些密碼不是一件容易事，還好有許多第三方密碼管理工具可以幫助我們記住這些密碼，並方便地跨平台使用。

這些密碼管理軟體的思路都比較一致，你可以往其中添加記錄許許多多的密碼，在這些密碼之上，會有一個主密碼，只有掌握了這個主密碼，你就能解鎖訪問其中存儲的所有密碼。當然這也是這類軟體最為被詬病的地方之一，因為任何人只要掌握了這個主密碼，都可以訪問你的所有密碼。這就是安全領域常說的單點突破，這讓你的整個密碼管理有了最薄弱的那一個環節：主密碼。

當然，這些工具本身也提供了諸如生成隨機密碼、自動填充等實用的特性。如果你有信心，保證主密碼只有天知地知你知，這一類的軟體還是有用武之地的。我們就介紹一下最常見、最流行的幾款熱門密碼管理軟體吧。

KeePass 是一款開源的本地密碼管理軟體，採用了 AES 和 Twofish 演算法的加密，其官方版本覆蓋了主流的台式機平台，有 Windows/OS X/Linux 版本。由於其是開源軟體，也有一些人在其基礎上製作了 iOS/Android/Windows Phone 版本可以下載使用。

它最大的特點就是完全是一款本地服務，不需要聯網，不需要同步，甚至不需要安裝，KeePass 可以直接解壓使用，非常方便直接插上 U 盤在不同的電腦上使用。

如果想在移動端也使用 KeePass，可以查看少數派之前一篇文章中的介紹，有針對 iOS/Android/Windows Phone 三大移動平台做了專門的補充。

iCloud 鑰匙串是蘋果提供的基於 iCloud 的密碼管理服務，其主密碼自然就是你的 iCloud 或系統賬號。使用 iCloud 鑰匙串服務，你可以在 iPhone、iPad 及 Mac 間無縫同步你的瀏覽器保存密碼、信用卡信息、WiFi 連接密碼、應用程序密碼等等。

你可以為 iCloud 鑰匙串設置一個獨立的安全碼，當你在其它移動設備上想要訪問所有的密碼時，除了登錄 iCloud 賬號外，還需要額外驗證安全碼，以確保密碼的安全。畢竟生活中有時候借別人的手機登一下自己的 iCloud 賬號還是很經常的事情。安全碼還會要求手機號簡訊驗證，和兩步驗證的概念很像，如果你習慣了使用整個蘋果生態鏈的產品，iCloud Keychain 可能是你最方便的選擇。

要是說起最有名的跨平台密碼管理軟體，大家最應該聽說過的就是 1Password 了。它支持所有主流的平台，包括 Windows/Mac/iOS/watchOS/Android。最關鍵的是，1Password 還是最有設計感的一款密碼管理軟體，實際上這些密碼管理軟體在實現的技術方式上差別不大，基本都是 AES 加密，但 1Password 卻是其中做得最精緻、最細節、最具有美感的一家。

在 iOS 8 之前，1Password 在 iOS 平台上還是一款收費軟體，而且由於限制，它不得不自帶集成瀏覽器，以實現填充密碼登錄。不過這一切現在都變了，1Password 不僅在 iOS 平台上免費了，而且得益於分享插件的引入，現在你可以直接在 Safari 甚至任何支持的第三方 App 中，使用 1Password 填充密碼。

1Password 不僅僅是保存密碼，除了生成隨機密碼這些常用的功能外，它還有一系列豐富的管理功能。例如可以針對不同的使用者設立不同的密碼倉庫，可以通過文件夾、標籤的形式管理密碼，還能存儲銀行賬號、護照、授權碼等一系列重要的數據資料。

如果你想要 KeePass 那樣的免費，卻又希望有官方提供的原生跨平台體驗，你可以試試 LastPass。從功能上來說，其核心功能和 1Password 差別不大，除了顏值略低。LastPass 提供了 Mac/PC/Linux 的客戶端，並在所有主流瀏覽器中都有插件可以安裝，自然也支持當前最主流的移動平台。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！