自从昨天CSDN爆出年度大乌龙后,貌似这种乌龙事件有愈演愈烈之势。今天,被爆出明文密码的又有7k7k,多玩,嘟嘟牛,还传闻有人人网的……且不说这些明文密码的真实性,至少CSDN的密码已经得到了验证,包括我的几个同事的帐号和密码都在其中……
仔细看了看csdn爆出的密码,其中大部分不乏弱密码,大致分为以下几种:
生日:比如19801123 过于简单的密码:111111,123456,654321,12344321,123456789 又如:1q3e2w, 1q2w3e4r, 等等……
这就是大多数IT从业者的密码,更何况是一般用户呢?
利用社会工程学,你要是细心找,肯定能找到对应的邮箱的密码,因为很多邮箱的密码,也就是CSDN的明文密码…… 在这里,除了鄙视CSDN之外,其实我们也应该想想,怎样能避免这样的情况。也许,在国内的这些网站密码没被暴露出来之前,你还不太在意自己的密码,而最近一些事件爆发之后,我们也应该好好来管理一下我们的密码了。
下面是对管理密码的一些建议,仅供参考:
- 提升你的密码强度:如果你还在用上面提到的那些弱密码,那你简直弱爆了,就算密码没被曝光,弱密码也是经不起暴力破解的。现在的CPU越来越快,破个复杂密码只是时间问题,更何况你的弱密码呢? 微软的网站有一篇教你怎样建立强密码的文章,值得一看 (点此进入传送门)
- 采用更好的密码策略:好吧,其实如果每个网站都很厚道,都不存明文密码的话,你可以采用弱一点的策略。但事实恰恰相反,国内的网站,他们都想偷窥用户的数据,因此,你最好把你的帐号和密码分为两类:一类,是专门用来注册国内的网站(对你来说不是特别重要的站点),另外一类,是对你来说,比较重要的站点(比如你的twitter,faceb00k,gmail邮箱,等……) 两类的帐号和密码,区别对待。就算那些不太重要的密码被爆了,也不用担心自己重要的邮箱,数据被盗。其实这还不是最佳策略,最佳策略,就是每个网站都用不通的帐户密码。
- 采用密码管理软件,更好的管理你的密码:其实,我们都是人,是人,都有会忘记的时候。由于注册的站点和帐号都比较多,我有时候也会经常忘记一些密码,最近经常用密码找回功能,重置了一些站点的密码。俗话说,一个好脑袋,不如一支烂笔尖,你可以把你的密码,用安全的密码管理工具,管理起来,这样,也不用担心密码忘记和丢失了。
推荐几个不错而又常用的密码管理软件:
- LassPass (点击访问官网) 支持多平台,比如MacOS,windows,Linux,密码可在多平台之间自动同步。版本分为免费版和付费版,免费版的不支持移动设备,付费版的支持iPhone,Android,WebOS,黑莓等平台移动终端。另外,导入,导出功能也不错,支持从1password,keepass导入密码,这招够狠!另外,付费版的也不贵,一个月1美元,有兴趣的同学可以购买收费版本,以获得更好的服务。
- KeePass (点此访问官网) 也是支持多平台系统,而且是个免费开源的软件。不但支持桌面系统,也支持移动平台,免费。大致版本分为1.X和2.X,使用时最好分清版本,避免不兼容现象……唯一不太方便的地方:密码不会自动同步,你需要导出和管理你的密码数据。
- 1Password (点此访问官网) 1Password算是这三款之中的贵族软件了,支持MacOS,windows,貌似还没看到Linux的版本。同样,也支持主流的iOS和Android系统。之所以说它是贵族软件,主要是软件界面比较精美,价格也比较贵,另外也支持多平台之间自动无缝同步。1Password的授权比较贵,windows的单用户授权和MacOS的需要分别购买,分别是接近30到的价格,而iOS上的,售价8.99刀,加起来需要60多刀。而最近圣诞,1Password搞优惠,MacOS和windows的单用户授权,捆绑销售,需要41.99刀。推荐资金实力比较雄厚的童鞋购买……
谈了这么多密码管理的东东,其实要管理好自己的密码也不难,关键取决于你自己……
