年初时出了个索尼的明文密码事件,当时就想写篇文章聊一聊,可是被博客大巴给和谐了,后来就不了了之。到了年底,轮到国内出事了,CSDN,7K7K,人人网,还有刚刚得知的天涯,都出现了用户数据泄密事件。感觉这次事件规模较大,值得大家重视。
网站端我们无法控制,只能从己方的密码管理下手,强化个人密码安全管理策略。如何管理个人密码,这个问题的答案五花八门。无论使用何种方法,有一个事实是无法忽略的:越严格的密码保护手段,同时也意味着越糟糕的使用便捷性。有鉴于此,我们只能在安全性和便捷性之间设法找到符合个人需求的平衡点。
一般来讲,个人密码管理可以大致分为两大流派:人脑派和工具派。前者主张还是自己的大脑最可靠,不要依赖外部工具;后者认为工具就是用来解放大脑的,应当善用密码管理工具。
在实践上,人脑派并不是简单的强记密码(显然没人能牢记几十组复杂的密码)。比较多人采用的方案是建立个人的密码规则,既可以方便记忆,又因为规律的独特性而很安全。所谓个人密码规则,其实不难理解,例如你可以用“特定语句+特定数字+特定符号+网站/服务代码”的方式来制定一个规则:特定语句可以是一句古诗(如“飞流直下三千尺”)或一句个人熟悉的句子,然后取首字母(flzxsqc对应“飞流直下三千尺”);特定数字,即一串固定的数字组合,只有你才知道(如4895678);至于特定符号,通常很多密码安全指南都会提到,不要使用简单的数字和字母,而是要包含一定的符号(如&),以便提高安全性;网站/服务代码,这是此规则中唯一的变量,如用QQ表示腾讯的服务,用RR表示人人网的服务。按照前面的这个规则,我们可以用“flzxsqc4895678&RR”作为人人网账户的登录密码。怎么样,是不是看起来很方便,密码又够复杂呢?这种方法的主要缺点在于,个人规则一旦泄露,那么你的所有账户密码就有可能被各个击破。以前可能会有人认为,个人密码规则只有自己才知道,怎么会被识破呢?不过,最近出现的一系列密码泄密事件表明,很有可能你在多个网站的账号密码都是被明文储存的。这又意味着什么呢?当多个网站出现类似的泄密事件后,有心人可以收集和对比你在不同网站的密码,找出规律(特别是很多人喜欢在不同网站使用同一个ID)。这个时候,有规律的密码反而是最危险的。
工具派认为靠大脑来记忆太费劲了,而且还存在上面提到的潜在危险,干脆用工具来管理得了。实践上,工具派的通用做法是使用一个主密码来管理所有的密码。此方法的形象描述就是,将你的所有密码放在一个“保险柜”里面,然后你只需要记得开保险柜的密码,有需要时开柜取用即可。既然只有主密码才是最重要的,那么其他需要管理的密码我们就无需费心去设置了,直接使用工具来生成随机密码就行了。显然,此类密码管理方式的关键就在于你必须设置一个足够长且足够复杂的主密码。即便是你的某个网站账号密码被泄露了,只要你使用的是随机密码,那别人也无法通过规律来破解你的其他账号密码。工具派的典型应用有两种,第一种是没有联网功能的本地客户端,典型代表是开源的KeePass;另一种是把密码信息放在网上,有需要时登录即可使用,以LastPass最为知名。
本人属于工具派,使用LastPass也有好几年了,并很积极的向大家推荐之。有人使用工具来管理密码,但又不喜欢联网功能,认为把密码放在别人的服务器上是不安全的。在这个问题上,我的看法是,如果绝对的不联网来使用密码管理工具,在便捷性上将会大打折扣。实际上,好多使用类似KeePass工具的用户,为了能够随时进入个人密码库,都选择使用在线储存服务(如Dropbox)来同步KeePass数据。可是,这不相当于变相增加了一层风险么?第三方在线储存服务也是需要账户和密码的,如果这些服务也出问题怎么办?实际上,不管有没有联网,主密码都是最后一道防线。说起LastPass,也有人会说这家公司也出过安全事故,部分用户数据被泄露(详见这里)。实际上,LastPass没有用明文来储存用户密码,所以即便是它们的用户数据被窃,破解者也只能用暴力方式来破解。如果你的主密码足够长,足够复杂,你可以一点也不用担心。当然,那次事故发生后,LastPass还是建议用户修改密码,这是从对用户负责的角度出发而采取的姿态(当时我倒是没有去修改,个人认为自己的主密码够BT了……)。
回到本文开头提到的这些泄密事件,作为用户,我们有两个选择:1)用脚投票,不去使用这些网站;2)有需要使用这些网站的话,一定要用随机密码,而且有可能的话,建议用一个重要性不太高的邮箱来注册这些网站的账号。邮箱是另外一道重要的个人安全防线,因为很多网络服务都靠邮箱验证的,而且重置密码的服务一般也是通过邮箱进行的。所以,如果你用类似LastPass的工具来管理密码的话,建议不要把重要邮箱交给这些工具来管理,而是单独用大脑来记忆。同样的道理,银行卡密码什么的,用大脑记忆应该也不成问题。这样一来,你一般只需要记住几个密码即可应付绝大多数情形了。
Update: 建议使用Gmail的用户开启两步验证功能。凡是使用你的Gmail来注册的网上服务,如果需要通过邮箱来找回密码,安全性会大为提高(因为基本上没有人能够拿下你的Gmail帐号)。
Update2: LastPass也支持两步验证了,建议开启。
我属于人脑派~~
试下LastPass吧,不会让你失望滴~