使用密码管理器创建强密码

重复使用密码是非常糟糕的安全做法。如果一个黑客得到了你在多个服务中重复使用的密码,他们可以访问你的许多账户。这就是为什么拥有多个强有力的唯一密码如此重要的原因。

幸运的是,密码管理器可以提供帮助。密码管理器是为您创建和存储密码的工具,因此您可以在不同的站点和服务上使用许多不同的密码,而不必记住它们。密码管理器:

  • 生成人类不可能猜到的强密码。
  • 安全地存储几个密码(以及对安全问题的回答)。
  • 使用单个主密码(或口令)保护所有密码。

KeePassXC是一个开源和免费的密码管理器。您可以将此工具保留在桌面上,或者将其集成到web浏览器中。KeePassXC不会自动保存您在使用它时所做的更改,因此,如果在添加一些密码后它崩溃,您可能会永远丢失它们。您可以在设置中更改此设置。

想知道密码管理器是否适合你?如果像政府这样的强大对手以你为目标,那可能就不是了。

记得:

  • 使用密码管理器会产生单点故障。
  • 密码管理器是攻击者的明显目标。
  • 研究表明,许多密码管理器都存在漏洞。

如果你担心昂贵的数字攻击,可以考虑一些低技术含量的攻击。您可以手动创建强密码(请参见下面使用dice创建强密码),将其记录下来,并将其保存在您个人的安全位置.

等等,我们不应该把密码留在脑海里,永远不要写下来吗? 实际上,将它们写下来并将它们放在像钱包这样的地方是很有用的,这样你至少可以知道你的书面密码是否丢失或被盗。

使用骰子创建强密码

有一些密码你应该记住,而且需要特别强大。这些包括

  • 您设备的密码
  • 加密密码(如全盘加密)
  • 密码管理器的主密码或“密码短语”
  • 您的电子邮件密码

人们自己选择密码时,许多困难之一是人们不太擅长做出随机的、不可预知的选择。创建一个强大而难忘的密码的有效方法是使用骰子和单词列表随机选择单词。这些词合在一起构成了你的“密码”“密码短语”是一种密码类型,为了增加安全性,它更长。对于磁盘加密和密码管理器,我们建议至少选择六个单词。

什么至少使用六个单词?为什么用骰子随机挑选短语中的单词?密码越长越随机,计算机和人类就越难猜测。为了找出为什么你需要这么长的难以猜测的密码,这里有一个视频演示

尝试使用EFF的单词列表制作一个密码。

如果您的计算机或设备遭到入侵并且安装了间谍软件,间谍软件可能会看到您键入主密码并可能窃取密码管理器的内容。 因此,在使用密码管理器时,保持计算机和其他设备清除恶意软件仍然非常重要。

关于“安全问题”的一句话

请注意网站用来确认您身份的“安全问题”。 这些问题的诚实答案通常是公开可发现的事实,黑客可以轻松找到并使用它们完全绕过您的密码。

相反,给出除了你没有人知道的虚构答案。例如,如果安全问题问:

“你的第一只宠物叫什么名字?”

您的答案可能是从密码管理器生成的随机密码。您可以将这些虚构的答案存储在密码管理器中

想想您使用安全问题的网站,并考虑更改您的回复。 不要对不同网站或服务上的多个帐户使用相同的密码或安全问题解答。

跨多个设备同步密码

许多密码管理器允许您通过密码同步功能跨设备访问密码。 这意味着当您在一台设备上同步密码文件时,它会在您的所有设备上更新密码文件。

密码管理器可以将您的密码存储在云中,即在远程服务器上加密。当您需要密码时,这些管理器将自动检索和解密密码。使用自己的服务器来存储或帮助同步密码的密码管理器更方便,但更容易受到攻击。如果您的密码同时存储在您的计算机和云计算中,攻击者不需要接管您的计算机来找出您的密码。(不过他们需要破解你的密码管理器的密码。)

如果担心这一点,请不要将您的密码同步到云,而是选择将它们存储在您的设备上。

备份你的密码数据库以防万一。如果您在崩溃中丢失了密码数据库,或者您的设备被拿走,那么备份是非常有用的。密码管理器通常有一种创建备份文件的方法,或者您可以使用常规的备份程序。

双因素身份验证和一次性密码

双因素身份验证:“你知道的东西,还有你拥有的东西。”只需要用户名和密码的登录系统可能会受到其他人获取(或猜测)这些信息的攻击。提供双因素身份验证的服务还要求你提供一份单独的确认,证明你是你所说的那个人。第二个因素可能是通过电子邮件或文本发送给你的一次性密码,由移动设备上运行的程序生成的号码,或者是单独的设备,例如你携带的USB认证令牌,你可以用它来确认你是谁。像银行这样的公司,以及像谷歌、PayPal和Twitter这样的主要互联网服务现在提供双因素认证。

别名:

two-step verification multi-factor authentication 2FA

强大而独特的密码会让黑客更难进入你的账户。为了进一步保护您的帐户,请启用双因素身份验证。

某些服务提供双因素身份验证(也称为2FA,多因素身份验证或两步验证),这要求用户拥有两个组件(密码和第二个因素)才能访问其帐户。 第二个因素可以是一次性密码或由在移动设备上运行的程序生成的数字。

使用手机进行双因素身份验证有两种方式:

您的手机可以运行一个身份验证应用程序,该应用程序生成安全代码(如谷歌authenticator或Authy),或者您可以使用一个独立的硬件设备(如YubiKey);或者,该服务可以向您发送带有额外安全代码的SMS文本消息,您需要在每次登录时输入该代码。

如果您有选择,请选择身份验证器应用程序或独立硬件设备,而不是通过短信接收代码。 攻击者将这些代码重定向到自己的手机比绕过身份验证器更容易。

有些服务,如谷歌,还允许生成一次性密码列表,也称为一次性密码。这些东西应该打印或写在纸上,随身携带。这些密码都只能使用一次,所以如果你输入的密码被间谍软件窃取,黑客以后就不能再使用它了。

如果您或您的组织运行自己的通信基础架构,则可以使用免费软件来启用双因素身份验证以访问您的系统。 寻找提供开放标准“基于时间的一次性密码”或RFC 6238的实现的软件。

有时,您需要公开您的密码

关于泄露密码的法律因地而异。 在某些司法管辖区,您可以合法地质疑对密码的要求,而在其他司法管辖区,当地法律允许政府要求披露 - 甚至可能会怀疑您可能知道密码或密钥。 物理伤害的威胁可以用来迫使某人放弃密码。 或者您可能会发现自己处于某种情况,例如越过边境,如果您拒绝放弃密码或解锁设备,当局可能会拖延您或抢占您的设备。

我们有一份跨越美国边境的单独指南,就如何处理往返美国时访问设备的请求提供建议。在其他情况下,你应该考虑有人会如何强迫你或其他人放弃你的密码,以及后果是什么。