吉宁博士观点
文 | Mikal E. Belicove
Q:我真的需要每三个月就换一次登录密码吗?
A:没错,面对现实吧!美国国家安全局系统与网络分析中心建议每个人都要三个月换一次登录密码,但提及在线安全,其最弱的一环就是大部分人都做不到每隔90天就去创建、修改并记住各种登录密码。
在线密码管理网站Passpack(后被总部设在犹他州的Kemesa控股公司收购)的联合创始人Tara Kelly认为:应对在线安全问题的唯一解决方案就是为你访问的每一个站点设置不同的登录密码。然而,我们日常访问的网站数量十分庞大,记住所有这些密码信息的唯一途径就是根本不要费力去记住它。
“这就是密码管理器的意义所在。”Kelly说。在此,我们将向她请教有关密码的最佳实践方案。
Q:有没有另外的方法去记忆每隔90天就要更换的复杂的新密码呢?
A:可以考虑使用密码短语。用一个带有空格和标点符号的整句来代替复杂难记且无实际意义的字母数字组合。例如,用“Lady Gaga rocks my world!”(Lady Gaga毁三观!)代替掉“gaga72013”。前者不仅是个安全性较强的密码,还能让你在每次输入时会心一笑。
Q:但是,万一站点不支持短语密码呢?
A:这就是密码管理器大显神威的地方了。很多密码管理器都是免费的,而且它们不仅可以存储密码,还能为用户生成如“4G!rhxn-KAnwεw5”这样复杂的神密码。你所需要做的只是输入一次主密钥来启动密码管理器,然后它就会接管后续所有密码的输入问题。
Q:有人说可以建立一套自己特有的密码排列方法,你推荐这种做法吗?
A:虽然这比只用一个密码通行所有网站要好一点点,但相比完全随机的密码或者构造良好的密码短语,还是不够安全。人们常用的一个密码排列方法就是(网站名称)+(出生年份)+(宠物猫的名字)。这个排列中,出生年份和宠物猫的名字不会变,唯一能使密码不同的部分就只有你要登录的网站名了。问题在于,密码算法很容易被逆向工程破解,尤其是有黑客特别锁定你的时候。一旦攻击者发现了你的密码排列方法,各个网站的登录密码是否不同根本不重要。黑客们可以很容易地将你的所有密码都破解出来。 译 | Nana
