如何才能杜絕隨時可能發生重要密碼泄露

本文由騰訊數碼獨家發布

本周有一些關於網路密碼出現「重大漏洞」的消息，這已經給大眾造成一些不安情緒。不過同時，這也意味著現在是互聯網企業對個人信息安全進行控制的最佳時機。讓客戶的敏感數據落入壞人之手，對此，出現事故的互聯網企業都應該對自己草率的安全措施負責，但事實上，我們不應該對此抱以太大的期望。

本周大約有2100萬組個人密碼被散布在網路上。不過那些至少啟用了某種類型的多因素身份驗證的用戶無需擔心。這種保護最簡單的步驟包括兩因素身份驗證或「2FA」，更可靠的是那些還採用了可靠密碼管理器的人，該管理器允許他們為登錄的每個站點創建非常長的、複雜的和唯一的密碼。再加上一個物理安全密鑰，你今晚就可以安心睡覺了。

以下是製作一個避免密碼泄露的健康安全程序四個重要步驟的快速綱要。

步驟1:啟用2FA

雖然2FA目前還並不完美，但它已經被廣泛採用，而且操作簡便。

2FA的工作原理是這樣:比如說，當你要登錄你的電子郵件賬戶，輸入密碼後，它會提示你輸入一個通過簡訊發送到你手機的代碼。(我們一會兒會講到比發簡訊更好的替代方案。)從理論上講，這樣做的目的是防止他人訪問你的賬戶，因為他不知道你的密碼，他也無法訪問你的手機。這樣的話即使你的密碼被泄露了，那也沒什麼大不了的了，所以即使你錯過了密碼泄露提示信息，那也大可不必擔心。

如今，就連我那位上網足跡幾乎為零、電子產品操作嚴重困難的祖母也知道，如果不輸入發送到她手機上的那一小段代碼，她就無法登錄自己的電子郵件賬戶、銀行賬戶或其他任何東西。如果一個85歲每個月仍然用紙質支票支付賬單的老人都能理解的概念，那我相信機會所有人都會理解2FA了。

幾乎所有的在線服務都會提供2FA安全程序。它會讓你找出你想鎖定的服務選項的位置(試著將「安全」或「設置」放在「首選項」),同時僅僅提醒你一下:如果您正在使用的服務需要個人敏感信息,需要提供一個密碼,你應該立即停止使用它。很明顯，這家公司或許對你的安全毫不在意，而且可能對你採取的保護措施太少。

本周的賬戶「入侵」事件之所以受到如此多的關注，是因為它的影響範圍已經波及數千萬人。人們很容易對那些本應更好地保護這些信息的公司感到憤怒。但是，大多數人認為自己對於自己的賬戶安全維護是沒有責任的，這個想法既危險又懶惰。

我說過2FA這種最基本最簡單的安全程序並不完美。大多數2FA服務都涉及通過文本消息(SMS)發送安全代碼，通常是5-6位數字。已經多次證明，這種方式看似安全，但這種接收代碼的方法並非萬無一失。改善2FA的一個方法是在你的手機上使用一個認證應用。例如，你可以在蘋果App Store和谷歌Play Store上下載谷歌Authenticator。這些應用程序將生成對時間間隔十分敏感的安全碼，而不是發送簡訊。但遺憾的是，只有少數服務會為你提供選項允許使用認證應用程序。

步驟2:獲得密碼管理器

密碼管理器是在以上基礎的第二道防線。您可能已經被反覆告知不要重複使用密碼，所以如果你不使用密碼管理器，那麼很可能您已經違反了這條規則。因為如果沒有某種助記設備，你幾乎不可能為你使用的每一項在線服務生成獨特、複雜的密碼，並時刻記住它們。因此，為確保您一直使用高強度安全密碼的最佳方法是安裝密碼管理器。

密碼管理器允許您創建非常長的和複雜的密碼，然後你基本上可以完全忘記它們的存在了。您需要記住的唯一密碼是允許您訪問管理器本身的密碼。在密碼泄露的情況下(除非是純文本泄露)，冗長複雜的密碼非常關鍵。在許多情況下，泄漏將涉及使用弱加密協議或過時加密協議(如MD5)加密的密碼。這要求攻擊者破解這些拼湊的亂碼密碼。密碼越長越複雜，這就越困難。

密碼管理器乍一看可能有點冒險，基本上就像你把一切都押在密碼管理器一個密碼上，你只能希望它不會被盜或被破解。但是任何一個有價值的密碼管理器都不會考慮不到這個問題。他們可能會允許您啟用某種形式的多因素身份驗證。以下是LastPass密碼管理器提供的2FA服務列表:

雖然我已經多次提到LastPass密碼管理器，但還是我要補充的一件事是，為了使用物理標記進行認證，您需要使用的是LastPass付費版本，每個月大約花費2美元。

這聽起來可能有點麻煩，但密碼管理器實際上非常方便。一旦登錄，它會自動為你輸入密碼。手機密碼管理應用程序尤其方便，因為在小鍵盤上輸入長而複雜的密碼會讓人抓狂。更重要的是，你可以用Touch ID或Face ID來解鎖手機上的密碼管理器。

步驟3:購買物理標記

如果依賴密碼管理器仍然讓你感到不放心，那麼說明你是一個很謹慎的人，這不是一件壞事。所以在使用Yubikey時，您或許還可以採取另一個步驟來保護自己，這也是我個人的建議:購買一個Yubikey和谷歌Titan安全密鑰。（最好同時使用）

Yubikey和Titan是「物理安全標記」，每個都包含一個私有加密密鑰。當你使用密碼管理器啟用物理安全密鑰選項時，其他人包括你本人在內都無法在沒有該選項的情況下訪問您的帳戶。這意味著，為了攻擊你的賬戶，攻擊者需要你的密碼，進入你未上鎖的手機和Yubikey。這也意味著你不能丟失你的安全密鑰，這就是為什麼最好同時購買Yubikey和Titan的原因。

如果您是第一次購買安全密鑰或希望進行安全升級，請選擇Yubikey Series 5或谷歌Titan密鑰。與舊的Yubikeys不同，Series 5版本包括NFC和USB，而Titan則包括藍牙加密狗和USB加密狗。為什麼最好兩個都買呢?因為這些選項可以讓你在任何手機上使用它們。

你的電子郵件賬戶是你最後的底線，要保證絕對安全。因為它不僅可能包含大量的私人通信，還能讓入侵者通過密碼恢復攻破其他帳戶。物理安全標記基本上會將這種威脅降低到不存在的級別。值得注意的是，Yubikeys和谷歌的Titan密鑰也可以用於保護您的社交媒體帳戶（要求登錄Facebook或Twitter帳戶之前擁有該物理標記。）

步驟4:放下心來享受你的生活

如果所有這些對你來說都是全新的步驟，它可能看起來有些複雜。但是一旦你設置好了，它只需要幾天就會成為你新的完全可靠的安全程序。

如果密碼大量泄露的消息讓你不安，你擔心此時此刻有人可能正在訪問你非常私人的東西，一張照片，一封信，或者可能是一些美麗的裸體，那麼是時候加入我們了。通過自己的行動，把安全感掌握在自己手中，不要再依賴默默無聞、大多不負責任的公司為你的安全負責。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！