设置什么样的密码比较安全?
密码作为一种最原始、最广泛使用的安全手段,到底应该如何设置?什么样的密码才是安全的?有没有什么好用的工具可以管理好自己的密码?甚至,如果我们能明白这些密码泄露事件的根源与原理,对我们加强安全意识会不会有额外的帮助?在开始介绍具体的方法和措施前,我们希望先让您明白,密码到底是如何泄露的,正所谓知其然,也要知其所以然,密码安全不仅仅只是一些教条性的操作指南,更重要的是我们懂得在各个途径和过程中,如何保护好我们的密码 。
密码到底是如何泄露的?想要知道密码是如何泄露的,不妨先想一想,你的密码都在哪?概括地来说,它只会在三个地方:本地、传输过程中、远程数据库中 。举个例子来说,如果你在浏览器中输入或保存了密码,这个密码在你点击登录前,只存在于你的本地,一旦你点击登录,浏览器就会将你的登录名和密码打包成为一个请求,发送给远程的服务器,这时候你的密码会经历一段非常短暂的旅程,最终到达远程服务器 。
如果你是第一次注册的话,你的密码还会以某种形式存储在对方的数据库中 。搞清楚了这个过程,我们来看一下各个环节里,都存在着哪些风险,会让你的密码泄露吧 。1. 本地泄露1.1 恶意木马/恶意植入/键盘监听电脑中病毒后,有些病毒只会在后台静悄悄地运行着,监控着你键盘上输入的每一个字符,然后偷偷发送给黑客 。或者,前段时间的 XcodeGhost 事件,本质上也是应用程序中被植入了一段恶意代码,在后台偷偷地向远程服务器发送你的一些个人信息……然而实际上,如果你能坚持使用可信任的设备,不安装未知来源的(盗版)软件,不对设备进行高危操作(如越狱、Root),感染恶意木马病毒的概率并不大 。
特别是在 iOS 系统上,得益于沙盒机制,每一个 App 的密码文件都单独加密保存,在不越狱的情况下,第三方是无法直接访问的 。建议:不在公共或有潜在安全风险的设备上进行密码操作;除非你非常有自信,否则请不越狱,不 Root;不安装未知来源的(盗版)软件 。1.2 伪造伪造在 Android 平台上特别常见,也出现过由于 URL Scheme 的无验证机制,而出现的伪造情况 。
很好理解,如果你开发一款和支付宝长得一模一样的 App,或者抢先占用 alipay:// 这个协议的 URL Scheme,理论上你可以诱骗或劫持用户打开你的伪造支付宝来进行资金安全操作,试想如果你没有任何安全知识,仅仅看着界面一模一样的伪造支付宝,你又如何保证自己不被钓鱼呢?建议: 从可信的源(如 App Store、Google Play)下载安装软件 。
2. 传输过程泄露2.1 明文传输你有没有想过,当你在一个网页上点击登录时,到底发生了什么?大多数情况下,浏览器其实是向服务器发送一个 POST 请求,这个请求可能是长这个样子的: 。发现了吗?你的登录名和密码是直接暴露在这个 URL 里面的 。尽管有些网站会对这个链接进行所谓的加密处理,但有些所谓的加密是不可靠的,例如仅仅只是把这些字符串转化为 Base64 码,或者用 Javascript 进行加密处理,或许对于小白来说已经完全看不懂了,但是对于真正的黑客来说,这些加密都是可逆的,很多情况下完全可以不费吹灰之力恢复密码的本来面貌 。
如果是在一个不可靠的网络环境下,黑客完全可以使用 Wireshark 这样的工具拦截请求包,直接看到你的密码 。建议:不使用不可信的 WiFi 网络,特别是公共场合的陌生、免费 WiFi 。2.2 非加密传输实际上,由于成本的考量,很多国内网站的登录页面使用的仍然是 Http 协议,而在国外诸如 Facebook、Twitter 这样的网站,早已经全站强制 Https 协议 。
推荐阅读
- 11月卖得最好的手机排行 2017手机排行榜
- 打了疫苗为什么得细小,明明接种了疫苗为什么还是得了水痘
- 小米10怎么样值得购买吗 现在还值得入手吗
- iphone se值得买吗 新款iPhone
- iphone哪款值得入手 目前这3款值得入手
- 2020柳州房价,您觉得广西柳州的房价虚高吗
- 火影忍者ol人物怎么获得,《火影忍者OL
- 赛尔号加体力的套装怎么得,玩赛尔号这个钱绝对值得花
- 金装传奇技能书怎么获得,高级技能书怎么获取
- 神枪手怎么得末日镰刀,我的末世基地车