多维度账户体系与密码保护策略

也许在未来,所谓的传承也只是一个账户一个密码的交接而已。

是时候大致梳理一下,在这个无时无刻不与网络连接的时代中,我们该如何去使用密码的问题了。

你的密码强度够吗?

在谈密码管理的问题之前,我们不妨先明确一下当前自己所使用或新创建的密码,安全系数足够高么?

如果你不确信,可以先做一个密码强度的测试:Password Strength Checker

注意:检验时,尽量使用密码结构(长度和字符类型)类似但具体片段不同的密码。

网络账户密码管理思路

关于密码保护,比较好的方式是根据用途、重要程度以及日常使用场景进行区分,并有针对性地采用相互独立的账户体系和密码模型。

一方面,保障最为重要的服务能在遭遇大规模密码泄漏时能安然置身事外;
另一方面,依照重要性差异隔离开不同类型账户,建立起一个屏障;

哪怕遭遇密码泄漏,也只是一部分账户受牵连,其它密码集合依旧可以安全可靠地使用。

这里的策略是:建立一个多维度的账户体系。相当于创造出几个能够互不干扰的平行世界。

邮箱使用策略

目前各类网络服务依旧以邮箱 ID 为核心。互联网在未来不短的历史时期也会延续这样的帐号注册和使用方式,因而这里以邮箱使用策略开头。

我们对于不同的服务以邮箱账户来分隔。

  • 多账户

至少拥有 3 个不同类型的邮箱,每类邮箱使用的密码都不重复;

  • 核心邮箱

  • 注册每一个核心邮箱账户都配置独立(不同于其它核心服务)的最高强度密码;

  • 只用最为安全的邮箱服务注册,Gmail,Outlook;
  • 用于注册最重要的连接并授权各种其它服务的服务平台,Facebook、Twitter、Dropbox、GitHub、微信、Evernote 与几大支付工具等;
  • 用于作为日常邮箱的安全辅助邮箱;

  • 日常邮箱

  • 用于注册国内外日常频繁使用的各类站点,比如 Instagram、Quora、豆瓣、微博、知乎、Steam 等平台;

  • 工具类注册,Instapaper、Pocket、Workflowy、Telegram、IFTTT 等工具;
  • 为注册同一服务多账户(例如 Dropbox、Evernote 一些网盘服务或其它)策略的道具;

  • 普通邮箱

  • 用于注册日常需要使用,但不重要、不频繁使用的各类服务;

  • 购置、试玩不常用的工具时需要的注册;
  • 为同一服务注册多账户策略的道具;

  • 临时邮箱

  • 相当于临时使用的道具;

  • 注册国内外各大邮箱平台的额外邮箱账户,整理为常备列表
  • 论坛注册下载;
  • 有邀请优惠时可用到
  • 应付充当自家水军所需的各种注册服务…

核心邮箱保护机制

核心邮箱,需要特别提及一下,如何完善保护机制。包括但不限于:

  • 高强度(长且复杂)且单独创建(不在其它服务中使用)的独立密码;
  • 完善个人信息,搭配辅助邮箱,便于密码找回;
  • 安全设置,如有,则开启两步验证;

对于日常的账户注册和使用。嗯…这里需要的特质是:

  • 理解前述多账户策略
  • 界定清晰(便于划分并采取不同应对)
  • 归档明确(便于提取并及时使用)
  • 资料完备(一个个人的密码表)

网络服务使用注意事项

  • 网站服务,可以不注册就不注册;
  • 可以用邮箱注册,就不要用手机号;
  • 注意使用不同邮箱注册,不同类型服务的策略;
  • 能用虚构信息注册,就用虚构信息;
  • 相关身份信息可以不补全就不补全;
  • 重要服务,有必要添加辅助邮箱和找回密码途径就尽量添加;
  • 注意使用不同类型密码;

密码构成要素与创建策略

在注册账户使用各类互联网服务时,除了运用多账户策略,我们也需要重点关注一下密码设置问题,先来了解一下密码的构成。

密码可能/可以的构成元素:

  • Uppercase Letters 大写字母 A..Z
  • Lowercase Letters 小写字母 a..z
  • Numbers 数字 0..9
  • Symbol 符号 ~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ? /

密码不合适使用的内容/组合:

  • 字符过少(8 位乃至更少);
  • 单一/连续/重复的字母;
  • 单一/连续/重复的数字;
  • 单一/连续/重复的字符;
  • 完整的英文单词/中文拼音;
  • 用户名/真实姓名/其它真实信息的字母/拼音;
  • 年份/生日/邮编等含有个人信息的数字;
  • 尽量不使用 */!/#/@ 比较常见的特殊符号,尤其不要作为密码最后的部分使用;

进而,我们推导出一个相对合理的密码策略,其中大部分密码,可借助 1Password 一类密码管理工具的随机强密码生成器自动创建,为一部分重要帐号手动创建密码时,依旧可以参考如下策略:

  • 长密码 (14~16 位 或更多)
  • 组合、尽情搭配,大小写字母、数字与特殊字符都用起来
  • 常用字符 + 固定符号 + 变量 「Ender_Expl0re_2Twitter」「Lily_Expl0re*2Face8ook」 一类,不算最佳,但减少记忆负担又有效
  • 多模块编码 + 特殊符号连缀 「3Key&Board@MyDesk」
  • 短语(歌词 格言 诗歌等)首字母缩写连结 「jutouwangmingyue」(举头望明月) → 「JTwmy」
  • 拼写变形或符号替代 「Walkthreedogs」 → 「Wk3Dgs」 一个来自 Apple 的例子:「You will be welcomed」 → 「UW1llBvv3lc0meD」
  • 或是其它形态和出处的有意义的密码——密码只对自己存在意义;便于记忆

密码使用习惯

  • 使用密码生成器生成高强度随机密码;
  • 不要长期重复使用同一密码;
  • 不同服务不同账户,多维度匹配,多维度保护;
  • 核心账户,如有可能不定期更换密码;
  • 不在并非自己所有的设备上登录重要账户,如必须,用隐身窗口访问;
  • 要记得住记得住记得住,包括借助 1Password/LastPass 等密码管理器创建、保存密码时,一定要记住主密码;
  • 不要把密码表保存在别人接触得到的地方,比如某些公共相册,博客文章等位置,哪怕编码过;

记忆与存储方案

如果有必要保存密码方便取用,尽量不直接写下,而是进行编码后记录。
特制密码表。哪怕明文保存,别人看到一般也看不懂。所以,有必要对记录的密码表进行编码。
在记录时记下的就是编码后的密码表。

编码思路(参考密码创建的思路),可用以下模式:

  • 翻转
  • 缩略
  • 谐音
  • 错误

保存途径:

  • Dropbox 下文件格式保存。以自己记得住,但无法联想到「password」「passwd」「code」「key」「密码」等词汇的文件名命名;
  • 笔记本。类似 Evernote 或其它自己常用而安全性相对可靠,可随时自各平台访问的笔记工具中存储。
  • 实体纸质笔记本

符合以下条件为佳:

  • 保存安全度高;
  • 如果是软件/应用,服务需注册账户,该账户本身密码强度就非常高且为独立密码(不曾在其它服务注册时使用过);
  • 一定要记得住这个核心密码;
  • 使用编码进行记录;
  • 以能随时随地提取为佳;
  • 更新密码表相对便捷;
  • 以不依赖云端保存为佳;

地球不那么安全,心不要太大啦。

切记切记。

参考资料

  • 创建强密码的技巧 - Microsoft
  • OS X El Capitan: 创建安全密码的技巧
  • 一个密码怎样改变了我的人生

转自:https://www.douban.com/note/660805316/

阅读更多

扫码向博主提问

霖声

500包夜...聊天
  • 擅长领域:
  • UX
  • UI
  • UE
  • 设计
  • 交互
去开通我的Chat快问
上一篇The Evolution of UX Process Methodology
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭