最近的密碼泄露風(fēng)波讓大家對密碼安全有了更深一層的認識。不僅如此，密碼安全更是全世界人們都必須重視的東西。根據英國衛報消息，美國戰略預測公司網(wǎng)站遭到黑客攻擊，85萬(wàn)注冊用戶(hù)信息遭泄密。其中221名英國國防部軍官和242名北約官員郵件地址遭泄露，密碼均可輕易破解。更多美國軍方人士個(gè)人信息也遭泄密。美國前副總統丹-奎爾以及前國務(wù)卿基辛格的個(gè)人信息竟然也在其中。密碼安全好似相處已久的戀人，平時(shí)雖無(wú)特別的感受，但等到不得不分手時(shí)才感到追悔莫及。

通常來(lái)說(shuō)，密碼安全性受個(gè)人技術(shù)能力，社會(huì )工程學(xué)知識，管理習慣等因素影響。不過(guò)好的密碼管理習慣可以有效的增強密碼安全性強度，甚至在密碼發(fā)生泄露之后最大程度的減少損失。這里我們就來(lái)談?wù)勅绾勿B成好的密碼管理習慣。

密碼創(chuàng )建

密碼的創(chuàng )建非常重要，他是有效保護賬戶(hù)安全的第一步。強密碼應該使用由數字和大小寫(xiě)英文字符組成，長(cháng)度應該至少在 8 位以上，如此一來(lái)，該密碼的可能組合至少為 10^6×24^2×7×8 種，使用暴力破解的方式代價(jià)極大。除此之外，密碼字符應該盡可能多，甚至參雜標點(diǎn)符號。同時(shí)密碼中不能出現有意義的單詞，與個(gè)人生日、姓名有關(guān)的字符或者各類(lèi)電話(huà)號碼，總之不能是其他人能夠輕易獲取到的任何個(gè)人信息，密碼應該只對你自己有意義。遺憾的是，通過(guò)分析 CSDN 泄露出的密碼數據庫，使用 123456789 作為密碼的用戶(hù)居然有 23 萬(wàn)之多，可見(jiàn)的密碼安全在很多人心中的地位并不重要。

創(chuàng )建了強密碼之后是否就意味著(zhù)一勞永逸呢？當然不是的，你密碼不應該是唯一的，理想情況下，每個(gè)賬戶(hù)都應該使用不同的密碼。不過(guò)遺憾的是人類(lèi)的大腦并不如電子記憶體一般，能夠一次保存，永久讀寫(xiě)，因此建議采取分級密碼管理的方式為重要程度不同的賬戶(hù)創(chuàng )建不同的密碼。比如，普通論壇賬戶(hù)對于安全性的需求較低，對于黑客來(lái)說(shuō)也不會(huì )有特別大的價(jià)值，因此可以采用較為簡(jiǎn)單密碼。而銀行賬戶(hù)、電子支付賬戶(hù)和重要聯(lián)系工具，比如電子郵箱、即時(shí)通訊賬戶(hù)則應該使用強度非常高的密碼進(jìn)行保護。在最近的 CSDN 密碼泄露事件中，有不少用戶(hù)的在注冊郵箱中使用的密碼和 CSDN 密碼完全相同，導致了不可估量的后果。由于郵箱和大量 ID 綁定，各種 ID 都可以通過(guò)郵箱找回，因此一旦郵箱丟失，相當于丟失了所有采用此郵箱注冊的 ID 。

密碼使用

臨時(shí)使用了旅館的計算機之后，我朋友的 QQ 遭到盜竊，并向所有好友借錢(qián)。這是現在仍然流行的一種詐騙方式。由此可見(jiàn)，哪怕你有長(cháng)達 18 位的標點(diǎn)，數字與字母混合密碼，正確的使用方式仍然十分重要。密碼使用時(shí)的第一個(gè)要點(diǎn)就是不要在不熟悉的計算機上輸入密碼。這些計算機可能安裝有特殊的鍵盤(pán)記錄程序，可以記錄每一次擊鍵輸入。即便不得不使用密碼，也可以采取以下措施：

使用屏幕鍵盤(pán)

不要記住登錄狀態(tài)且使用完畢后完全退出

回到自己的計算機上修改密碼

密碼在使用時(shí)還需要考慮到一些其他因素。除了老生常談的“不要將密碼泄露給他人”之外，有些用戶(hù)的密碼泄露居然是因為遭到了旁窺。在實(shí)際操作中，也應該使用額外的安全措施降低密碼在使用中泄露的機會(huì )。除了為自己的計算機安裝安全軟件，用戶(hù)還應該謹慎分辨要求輸入密碼的場(chǎng)合是否有異常，以免被釣魚(yú)網(wǎng)站利用。有些網(wǎng)站提供了密碼輸入控件和額外的驗證服務(wù)，比如短信驗證碼等，都是不錯的安全加強手段，我們稍后會(huì )仔細談一談。

密碼維護

除了日常使用以外，密碼也需要定期的維護。維護密碼最常見(jiàn)的一個(gè)目的就是防止遺忘。這個(gè) ID 我已經(jīng)多久沒(méi)有使用了？我還記得他的密碼嗎？這個(gè) ID 是在哪個(gè)網(wǎng)站注冊的？他還有效嗎？這些都是密碼維護過(guò)程中需要注意的問(wèn)題。除此之外，密碼維護也包含了對密碼的定期更換。誰(shuí)都無(wú)法保證在密碼使用過(guò)程中的絕對安全，因此定期對關(guān)鍵密碼進(jìn)行更換也是十分重要的。通常來(lái)說(shuō)，新更換的密碼應該從未在任何地方被使用過(guò)，且無(wú)法從已有的密碼中被類(lèi)推出來(lái)。密碼維護還包含一個(gè)非常重要的步驟，就是檢查已有的密碼是否已經(jīng)發(fā)生泄露。常見(jiàn)的檢查方式就是通過(guò)網(wǎng)站的賬戶(hù)記錄檢查工具查看賬戶(hù)是否有異常的登錄信息或者操作記錄，依此確認密碼是否發(fā)生了泄露。

密碼維護能夠使得密碼安全性得到顯著(zhù)加強，是必不可少卻常被人們忽視的一個(gè)步驟。

特殊密碼（身份憑據）

QQ 令牌，淘寶手機密令， Google 身份驗證工具，以及魔獸秘寶卡/安全令牌和各大銀行的短信登錄驗證碼/ USB Key 都是強度很高的額外身份驗證工具，通常來(lái)說(shuō)，他們的安全性強度排列如下：

令牌（動(dòng)態(tài)密碼，安全性最強）= 短信驗證碼 > USB Key > 秘寶卡

各類(lèi)手機令牌/實(shí)體電子令牌是目前安全性最佳的身份驗證工具，強烈建議每位用戶(hù)使用，尤其是手機令牌并不會(huì )給智能手機用戶(hù)帶來(lái)額外的費用，卻能夠顯著(zhù)增強安全性，非常值得推薦。這類(lèi)令牌在綁定后，會(huì )給用戶(hù)提供一個(gè)額外驗證碼。網(wǎng)站會(huì )在用戶(hù)進(jìn)行登錄操作時(shí)要求用戶(hù)輸入這個(gè)驗證碼，否則便無(wú)法登陸。驗證碼每幾分鐘就會(huì )改變一次，且每個(gè)驗證碼只能使用一次，因此即便有人獲取了其中一個(gè)，也無(wú)法登陸用戶(hù)的賬戶(hù)。使用令牌幾乎不會(huì )降低安全性，除非網(wǎng)站服務(wù)器中的根證書(shū)被盜，導致所有令牌被破解。此外，即便實(shí)體電子令牌/手機被盜，賬戶(hù)仍有密碼保護，黑客無(wú)法僅憑借令牌登錄。目前也沒(méi)有任何已知的黑客技術(shù)能夠從用戶(hù)的智能手機上直接獲取動(dòng)態(tài)密碼。

短信驗證碼是手機服務(wù)運營(yíng)商和網(wǎng)銀常見(jiàn)的的一種驗證手段，但由于智能手機的普及，已經(jīng)有很多已知的黑客技術(shù)能夠從用戶(hù)的手機上取得短信，因此其安全性不如手機令牌要高。不過(guò)作為一種額外的身份驗證手段，它并不會(huì )因此降低密碼安全性。如果黑客沒(méi)有同時(shí)取得用戶(hù)的密碼，也無(wú)法憑借短信驗證碼登錄。在兩臺不同的計算機上申請所取得的驗證碼也完全不同。因此短信驗證碼仍是一種不錯的額外身份驗證服務(wù)。

各類(lèi)銀行的 USB Key 實(shí)際上是一個(gè)內置了加密證書(shū)的只讀存儲器，用戶(hù)在安裝了特殊的應用軟件之后，能夠通過(guò)該證書(shū)進(jìn)行身份驗證并進(jìn)行加密通訊。 USB Key 通常由銀行頒發(fā)，作為用戶(hù)在登錄網(wǎng)銀時(shí)的身份驗證。 USB Key 的強度取決于網(wǎng)銀配套軟件的安全性強度，如果黑客能夠破解網(wǎng)銀應用軟件的安全防護，當然也就能夠偽造各種交易指令了。因此， USB Key 最好也僅在自己信任的計算機上使用，且在不使用時(shí)從計算機上拔出。

秘寶卡是動(dòng)態(tài)密碼的一種原始版本，通常動(dòng)態(tài)密碼是一張 10 × 10 的表格，每個(gè)格子里填寫(xiě)有一位數字或字母，登錄網(wǎng)站時(shí)，用戶(hù)會(huì )被要求依次輸入幾個(gè)格子內的字符，這些格子的位置都是隨機選出的，因此即便黑客能夠取得其中幾個(gè)格子中的字符，也無(wú)法獲取整張秘寶卡的內容，從而登錄用戶(hù)帳戶(hù)。不過(guò)，許多用戶(hù)為了方便，將秘寶卡掃描到計算機中，給了黑客可乘之機。此外，黑客如果持續監視某一賬戶(hù)，在用戶(hù)多次執行登錄操作之后，就能夠大致得到整張秘寶卡的內容，因此秘寶卡是一種不完美的動(dòng)態(tài)密碼，其動(dòng)態(tài)的范圍是有限的，并不能夠真正實(shí)現一次一秘。

其他密碼管理

移動(dòng)設備，諸如運行 iOS 和 Android 系統的智能手機已經(jīng)承載了太多功能，大到各類(lèi)金融交易，小到各類(lèi)私人事務(wù)的處理都可以在上面完成。因此，智能手機上的密碼安全性也應該予以重視。智能手機除了應該和個(gè)人計算機一樣，不要安裝來(lái)路不明的軟件之外，還有一些值得注意的安全性漏洞：

手機鎖屏界面通常是一個(gè)四位數字的 PIN 碼或者九宮格的圖案鎖，由于手機屏幕表面常常覆蓋著(zhù)一層污垢，因此經(jīng)常點(diǎn)擊的位置會(huì )變得十分明顯。如果不懷好意的人盜取了你的智能手機，他們能夠通過(guò)觀(guān)察屏幕表面得到作為密碼的圖案或者數字，這是十分危險的，為了避免這種情況的產(chǎn)生，建議用戶(hù)在設置 PIN 碼時(shí)重復一位數字，使得黑客無(wú)法確認哪一位是被重復的數字，以提高安全性。在設置九宮格圖案鎖時(shí)重復一個(gè)路徑點(diǎn)，也能夠混淆圖案的真實(shí)畫(huà)法。此外，在 iOS 和 Android 設備上都有一些提供遠程鎖定，資料清除和設備追蹤的服務(wù)，用戶(hù)也可以啟用它們來(lái)給設備提供額外的安全性加強。

總結

密碼安全性是一種理念和行為，而非一個(gè)口號，從另一個(gè)角度上來(lái)說(shuō)，你無(wú)需保證自己的密碼絕對安全，這也是不可能做到的，你需要保證的只是密碼安全性與其賬戶(hù)價(jià)值相符，或者說(shuō)，比其他人的密碼更為安全就可以了。

作者：徐浩岑