密码最佳实践

1. 密码最佳实践

  1. 密码应至少包含12个字符(理想情况下是16个字符或更多);
  2. 密码应包含字母(大写和小写)、数字和特殊字符 4 种组合;
  3. 每个账户都必须有一个独特的密码(防止被撞库);
  4. 密码不应包含任何个人信息,如生日或地址,因为身份盗窃和数据泄露可能会泄露这些信息。
  5. 密码不应包含任何连续的字母或数字(例如:ABCD,1234,666888 等等)。

2. 使用密码管理器

大部分人为了使自己的密码容易记住,都会使用较弱的密码,或者在多个在线账户中重复使用密码。这都属于危险行为,因为黑客可以通过各种方式,如暴力攻击、字典攻击或社会工程等手段来破解这些密码。

可能有的人觉得这纯属危言耸听,普通账号根本没啥利用价值。但这种想法是不对的,每一个账户,无论是邮箱、社交媒体、网购,都可能包含一些个人信息,比如登陆电话号码、IP 地址、地理位置等,一旦这些信息被黑客获取,他们就有可能利用这些信息为你建立画像,将多个具有相同信息的账户关联到一块,然后批量进行暴力破解。比如破解一个 8 位的纯数字密码 14785236,只要 2 毫秒:

image.png

为了安全起见,最好使用密码管理器来管理自己的重要密码。密码管理器的优势在于,可以辅助生成复杂密码并保存,在需要输入的时候可以自动填充密码。
个人最推荐的密码管理器是 Bitwarden,全平台通用(包括浏览器扩展),开源免费,可自部署:

image-1.png

3. 其他

生成 16 位复杂密码的 shell 命令:< /dev/urandom tr -dc 'A-Za-z0-9!@#$%^&*()' | head -c16; echo

破解某个密码所需时间:https://www.security.org/how-secure-is-my-password/

检测密码强度以及密码是否泄露(卡巴斯基):https://password.kaspersky.com/ch/

检查电子邮件地址是否遭遇数据泄露:https://haveibeenpwned.com/