如何设置更安全的密码?
尽
管互联网有种种优点,但记忆电子邮件、网上银行、社交网络和购物网站的密码却让人头疼。许多人上网时只使用一个密码。网络安全专家说,这是个坏习惯。
线上支付服务公司PayPal(eBay的子公司)的首席信息安全长迈克尔•巴雷特(Michael Barrett)说,“所有地方都用同一个密码,就好比给你的房子、车子、健身房更衣室和办公室配同一把钥匙。”
巴雷特的电子邮件和Facebook帐户用的是不同的密码——这仅仅是开始。他的第三个密码用于金融网站——比如银行和信用卡的密码,第四个密码用于主要的购物网站,例如亚马逊(Amazon.com)。他还为自己不常访问或不信任的网站设置了第五个密码,例如博客和出售园艺工具的线上商店。
Associated Press
巴雷特说,所谓的暴力破解攻击,即黑客试图猜出个人密码的行为,似乎也正在增加。
PayPal称,每三个人中,就有两个人在所有网站上只用一、两个密码,而网络使用者人均拥有25个网络帐户。安全软件公司PC Tools 2009年在英国进行的一项调查发现,男性在这方面做得尤其糟糕,47%的男性只用一个密码,相比之下,只用一个密码的女性比例为26%。
去年PC Tools做的另一项调查显示,在18岁至38岁的澳大利亚年轻人中,28%的人拥有的密码很容易被猜中,例如爱人或宠物的名字,而犯罪分子可以很容易地从Facebook或其他公共网站上获得这种信息。还有些密码也很容易猜中。去年,黑客们发贴公布了一份Gawker Media使用者最常用的密码名单,包括“password”(密码)、“123456”、“qwerty”、“letmein”(让我进去)和“baseball”(棒球)。
Mozilla Corp.的安全经理布兰登•斯特恩(Brandon Sterne)说,“如果你的密码在这张名单上,请尽快更改。”该公司的产品包括火狐(Firefox)流览器和其他软件。他说,黑客“会使用名单上的前100个密码攻击网站上的所有使用者数据库”,以攻破一部分帐户。
PC Tools的总经理戴夫•科尔(Dave Cole)说,人们通常会在受到黑客攻击后开始更改网络密码。然而,他说,“在短时间后,除了最谨慎多疑的使用者以外,所有使用者都会回归到被黑之前的行为。”他和其他安全专家建议人们每年更改或轮换几次密码。
要想设置出强大的密码,有些安全专家建议,可以先选择一个好记的短语,然后用这个短语中每个词的首字母作为密码。比如,选择“to be or not to be, that is the question”,每个词的首字母组合就是“tbontbtitq”。也有人建议将一组不匹配的词放在一起作为密码。密码越长——专家说,至少为八个字母——就越安全。
选定用作密码的短语后,还可以用特殊符号或数字代替字母,以产生更复杂的密码。还可以将密码中的某个字母大写,比如大写第二个字母,来增加安全系数,这样,“tbontbtitq”就变成了“tBOntbtitq”。
不管一个密码有多好,只使用一个密码也是不安全的。巴雷特建议照他的样子做,对四类不同网站分别设置更强的密码——电子邮件、社交网络、金融机构网站和电子商务网站——并对不常访问和不可靠的网站设置第五个密码。
然而,如果犯罪分子在电脑上安装了所谓的恶意软件,使他们能跟踪电脑使用者的按键情况,那么即使是最强的密码也没用。安全专家说,人们可以随时更新杀毒软件和反间谍软件,避免从未知网站和电子邮件发送方下载文件,以防止发生这种情况。
有些安全专家建议,对于同一类别的不同网站也应稍微修改一下密码。像微软(Microsoft Corp.)这种公司会提供免费密码强度测试,但使用者不应完全依赖它,因为这种强度测试无法测出密码是否包含容易找到的个人信息,例如生日或宠物的名字。
Mozilla公司的斯特恩说,每个电子邮件帐户都使用独立的密码尤其重要。许多网站都有“忘记密码”按钮,当按一下该按钮时,就会通过电子邮件启动找回密码过程。然后,攻入电子邮件帐户的黑客就可以拦截这些电子邮件,控制用该电邮位址注册的每个帐户。
有些网站,例如谷歌和Facebook,现在让人们用手机号码绑定帐户。如果你忘记了密码,网站就会打电话或者发送短信给你来重设密码。
巴雷特说,人们应该记住四、五个好密码。如果记不住,可以把它们写在一张纸上,放到钱包里,然后在记住所有密码后就把备忘单扔掉。
没能记住全部密码的人可以使用密码管理器。有几种密码管理器是免费的,例如LastPass。LastPass鼓励使用者创建一个主密码,然后对不同网站创建并储存随机密码。有些安全专家警告人们不要使用远端储存密码的管理器,但LastPass的首席执行长乔•西格里斯特(Joe Siegrist)说,黑客无法获取这些密码,因为所有数据都是加密的。
人们在创建不同密码后所能做的最糟糕的事是:把它们记在便利贴上,贴在电脑显示幕上。斯特恩说,“这完全背离了设置密码的目的。”
27岁的希瑟•奥尼尔(Heather O'Neill)是三藩市一家科技公司的员工,她的谷歌电子邮件帐户今年早些时候被黑了。她说,她在几个网站用的都是同一个密码,而那个密码强度很弱。
她说,“我不能在哪里都用一个密码。每个密码都应该不一样。”