博客
如何在2020年创建安全密码:密码安全检查表

如何在2020年创建安全密码:密码安全检查表

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

可能读过 关于Facebook创始人和用户马克·扎克伯格(Mark Zuckerberg)的社交媒体帐户遭到“黑客攻击”的情况。在这里被黑不是正确的词,因为许多人认为Zuck的密码是 1.17亿泄漏的LinkedIn密码 最近在网上发布。如果这是真的,则意味着扎克伯格对多个网站使用了相同的密码,从而使LinkedIn骇客所造成的损失扩散到了其他区域。如果您有工作或想要一份工作,很可能您也拥有一个LinkedIn帐户,如果您在2012年拥有一个LinkedIn帐户,则该帐户可能是该事件中被盗用的帐户之一。您还在任何地方使用该密码吗?无论您是亿万富翁CEO还是只喜欢发布有趣的猫视频的人,我们的9步密码安全检查清单都将帮助您保护帐户安全。

永远不要分享您的密码

除了您之外,没人应该知道您的密码。切勿通过电子邮件发送密码或将其存储在文档中或将其写下来。理想情况下,您的密码应该只在您的脑袋和 杂凑 在您登录的系统上。以下是一些您永远不要向其输入密码的人的列表:

  • 技术支持
  • 警察
  • 你的朋友真的很酷
  • 法官
  • 妈妈
  • 有人在电子邮件中要求它
  • 你的老板
  • 著名黑客Kevin Mitnick
  • 从字面上看

您的密码使您对帐户下的操作负责。 社会工程 与某人“破解”他们的帐户相比,从某个人那里获得密码通常要容易得多。大多数* ishing方案都会欺骗您以某种方式放弃密码。如果可以请银行经理为您打开保险柜,那为什么还要麻烦呢?

创建一个强密码

不仅任何密码都会起作用,而且原因与密码的破解方式有关。如果某人试图猜出您的密码,如果速度很快,他们可能会每分钟尝试十个左右的密码。一台计算机可以猜测得更快。那么,获取密码需要多少次排列?这是三个关键因素:

  • 长度。每个字符的复杂度成倍增加。这就是为什么密码通常至少要求8个字符的原因。
  • 字符集。每个字符集都有一定数量的排列。有26个小写字母,但只有10个数字(0-9),因此从机器通过不同字符组合运行的角度来看,“土豆”比“ 536871”更安全。
  • 常用的词。 蛮力 不是't唯一破解密码的方法。一台计算机可以运行"dictionary attack"与可能的字符排列相比,使用密码的速度非常快,可以测试所有相对较少的真实单词。突然之间"potato" 不是'毕竟那是一个很大的密码。 阅读我们关于暴力攻击的文章以获取更多信息.

您的密码应至少包含大小写字母和一个数字的组合(62个唯一的可重复使用的字符,密码中的8个字符表示62等于8的幂,或者2.1834011e + 14个可能的组合…)包括一个特殊字符会增加复杂性,但是请确保所使用的机制支持字符,因为某些机制不支持。最后,您可以在线找到任意数量的密码生成器,它们可以生成极其复杂的密码。但是您必须记住这一点。当您进入第5步时,使用18个字符随机生成的密码来询问每个帐户的单独密码可能实在是太麻烦了。

设置提醒以更改密码

有些服务需要定期更改密码,而有些则不需要。如果不这样做,始终是定期更改密码的好计划。此步骤是关于减少损坏的窗口。回到扎克(Zuck),如果他的密码是在2012年获得的,那么它在2016年将不再使用任何业务。每六个月甚至一年一次简单的提醒便可以防止此旧数据泄露造成任何损害。更改密码的次数越多,值得使用的被泄露密码的窗口就越小。这就是为什么高安全性系统使用随机生成的数字(每隔几分钟更改一次)作为其身份验证模型的一部分的原因。定期更改密码似乎很烦人,但与处理帐户遭到盗用,身份盗窃或信用卡欺诈相比,这没什么。

不要重复使用密码

在密码之间进行更改与每次将其更改为新内容的效果不同。密码一旦泄露,就可以 被剥削 正如扎克伯格所发现的那样,甚至在任何时候,甚至几年之后。重新使用密码会重新打开 脆弱性 该密码的窗口。

不同的站点,不同的密码

这是扎克真正被钉上的那个。限制密码的范围可以防止泄露的密码利用多个区域。甚至在您的密码中的某处添加了一个部分,例如Facebook的“ fb”(例如BuFFDuD3fb),也可以防止大多数跨站点泄露,因为一旦攻击者意识到相同的密码不会破解该站点,则他们将不得不手动开始猜测在不同的地方,不知道是否'完全是完全不同的密码。尚未发现LinkedIn数据泄露的全部影响。在其他站点尝试使用电子邮件/密码组合时,依赖单个静态密码的用户将受到威胁。每次出现重大漏洞之后,对其他系统的这种连锁反应。

保护您的重置选项

此步骤可保护您免受他人(而不是计算机)的侵害。考虑如何重置密码。安全问题和解答不应是公开的,易于搜索的或认识您的人广泛了解的信息。许多人的帐户遭到现实生活中认识的人的攻击。如果您有一个将发送密码重设请求的电子邮件帐户,请确保您拥有该帐户的唯一访问权限,并且该帐户也具有强密码。

7.使用密码管理器

您可以使用密码管理器为您存储密码。所有主要的浏览器都具有密码存储系统,而诸如LastPass之类的云选项可在任何可访问互联网的计算机上使用。这种方法有优缺点: 

考虑到LastPass遭受了 2015年的数据泄露 黑客获取敏感信息的地方。加密的主密码没有受到破坏,但是其他许多重要信息也没有受到影响。要记住的重要一点是,密码管理器并不是万能的,您只是将密码保护工作外包给了其他人。

8.使用两因素身份验证

扎克伯格的一个账户没有被泄露 是他的Instagram,这是因为“ Instagram的安全系统阻止了该帐户的访问。”这可能涉及几件事,但可能意味着 设置两因素身份验证(2FA)Instagram 在今年二月。

顾名思义,2FA可能是最重要的可用机制之一,它可以防止损害单个身份验证因素(密码)的行为。该机制通常通过请求传统的登录信息,然后将确认信息发送到通常为智能手机的设备(例如文本,电话或应用内安全验证屏幕)来工作。理想情况下,只有授权人员才能拥有智能手机,然后可以根据需要接受或拒绝身份验证请求。更高级的机制可能需要生物身份验证,例如指纹扫描,以防止丢失或被盗的手机被用于错误地发出确认。大多数云应用程序现在都提供2FA,许多传统应用程序也随之而来。每次登录时都需要花几秒钟的时间才能知道,即使您的密码被黑客入侵,也没有人可以访问您的帐户。

9.不要打开窗户

有一个经典的卡通插科打where,其中一个角色挣扎了很长时间才能在门上捡到锁,而另一个角色则刚从打开的窗户进来。请勿在您的数据中出现这种情况。考虑是否还有其他帐户可以访问您所保护的相同信息。他们像您一样安全吗?集成呢?您是否尝试过那种要求访问Twitter,Facebook和照片的搞笑面孔交换应用程序?它仍然可以访问您的帐户吗?大多数云服务可让您跟踪哪些第三方集成可以访问并删除不必要的内容。如果您使用的是公用计算机,请务必关闭 整个浏览器过程 完成后。否则,您的会话Cookie可能会留给下一个人使用,该人甚至无需登录即可访问您的信息。

数字身份管理处于一个奇怪的地方,介于足够新的内容(以至于许多人不愿使用它)和足够的复杂度之间进行攻击,以寻求利用它。用户名和密码似乎只不过是您扔到云中的一小部分数据,但是泄密的后果是非常真实的,并且可能是法律,财务和个人方面的。

NFL Twitter在社交媒体员工之后遭到黑客攻击并被污损'的密码被盗。

或者它们可以很有趣,例如当NFL官方Twitter帐户时 被黑了 夸大罗杰·古德尔的主张'的死亡。据黑客称,他们"拿到了NFL'黑客处理社交网站员工的电子邮件帐户的Twitter密码 媒体。"像使用驾照或借记卡一样,请妥善保管密码。按照我们在此处概述的步骤进行操作,可以帮助您抵御最常见的帐户黑客攻击,但是安全是一种习惯,使用互联网时始终将其放在首位,将是不二之选。 

查看 UpGuard'其他安全检查表: 服务器, 网站, 电子邮件, 的SQL

免费手册

密码安全检查表

通过本深入的手册,了解如何创建安全密码。
白色UpGuard徽标
密码安全检查表
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状