2018年6月13日,彈幕視頻網站 Acfun 向用戶公開致歉,宣佈網站遭受黑客攻擊,近千萬條用戶數據洩露。數據洩漏早已不是新鮮事,但當這樣的事情發生時,作為普通用戶,究竟應該如何有效地降低損失,保證自己的賬戶和信息安全?
更換重複使用的密碼
洩露事件發生後,第一件要做的事就是更換被洩露的密碼。除了洩露密碼的網站,你還應該更換使用同一賬戶名和密碼註冊的其他網站密碼。例如,你在 Acfun 和 bilibili 使用了同樣的郵箱和密碼註冊,那麼既然在 Acfun 的個人數據很有可能已經洩漏,那麼 bilibili 的個人信息也就很危險了。
查找自己已有的賬戶和密碼
很多用戶現在都會使用系統和瀏覽器自帶的密碼管理工具。例如 iOS 用戶可以嘗試在「設置 - 賬戶與密碼 - 應用與網站密碼」中查看自己的賬號與密碼,macOS 用戶則可以在 Safari 設置中的「密碼」進行管理。
如果你正在使用 Google Chrome,可以在「設置 - 高級 - 密碼和表單」中找到自己保存的信息。如果你開啟了 Smart Lock 自動填充功能,你還可以在 passwords.google.com 中管理你在其他設備上保存的密碼。
Windows 10 的 Edge 瀏覽器也提供了 Password Manager(密碼管理器),你可以在設置中找到它。
當然,以上的方法都需要你自己手動查詢,如果你正在使用類似 1Password 或者 Lastpass 這樣的密碼管理工具,它們都提供了更方便的自動查詢功能。
自動查找重複使用的密碼
在最新的 1Password 7 Mac 版 中,你可以在應用側邊欄找到「暸望塔」功能,其中「重複使用的密碼」裡便是使用了重複密碼的賬號和網站。不僅如此,1Password 還與 Pwned Passwords 進行合作,在網上檢索公開洩漏的賬戶密碼,來確認用戶的密碼是否被洩漏。
LastPass 也提供了類似的名為「安全挑戰」的功能。它能夠自動檢索你的密碼庫來尋找那些重複或有潛在安全威脅的密碼。
除了第三方工具,在蘋果剛剛推出的 iOS 12 測試版中,原生的密碼管理工具得到了更新。現在它可以提示有哪些密碼被重複使用,並建議用戶直接前往網站修改密碼。
創建一個方便又安全的密碼
找到重複的密碼後,下一步就是重新修改一個安全的密碼。一般來說,密碼的安全性與複雜度息息相關,但複雜的密碼通常又不方便記憶。想要做到又安全又方便,你可以試試下面幾個辦法。
使用根密碼進行變換
首先,在不同服務中使用不同密碼是一個基本原則。但如果你覺得每次記憶一個完全不同的密碼太麻煩,可以使用「一個根密碼 + 網站名稱」這種方式創建密碼。
例如,你可以生成一個像 wangjuNo1! 這樣的根密碼。然後註冊少數派的賬號密碼可以使用 wangjuNo1!#sspai,註冊 Acfun 的密碼則使用 wangjuNo1!#acfun,以此類推。
如果覺得還不放心,你還可以使用一套規則把密碼變換得更復雜。舉個簡單的例子:將字母和數字、符號進行替換,s 變換為 $,i 變換為 !,a 變換為 4 等等。那麼 wangjuNo1!#sspai 就變換為 w4ngjuNo!#$$p4!。密碼規則當然是自己決定,以方便自己記憶為標準。
使用系統和瀏覽器的自動生成功能
如前文所述,目前許多主流的系統和瀏覽器都自帶密碼生成和管理功能。你可以利用它們來生成一個隨機的安全密碼。生成的密碼會被加密進行保存,有的還支持雲端同步,例如 iOS 和 macOS 的鑰匙串。
生成密碼後,當你在訪問網站需要登錄時,系統和瀏覽器可以為你進行自動填充,省去你手動輸入的麻煩,iOS 11 和 Android 8.0 都已經擁有這個功能,主流的桌面端瀏覽器也都提供支持。
不過,使用這些自帶的密碼生成功能也有一些弊端。例如你在使用跨多個平臺的設備,比如一臺 WIndows 電腦和一部 iPhone,如何同步密碼就成了一個難題。面對這種情況,一些第三方的工具密碼管理工具就能幫到你。
使用專門的密碼管理應用
目前市面上的密碼管理軟件很多,比較知名的如 Keepass、Lastpass、1Password 等,相比系統自帶的密碼管理功能,這些軟件的功能更加全面。這些密碼管理應用支持多平臺同步,並提供多種瀏覽器支持。
以上文提到的 1Password 為例。它不僅擁有生成隨機密碼這些常用的功能,還有一系列豐富的管理功能。例如可以針對不同的使用者設立不同的密碼倉庫,可以通過文件夾、標籤的形式管理密碼,還能存儲銀行賬號、護照、授權碼等一系列重要的數據資料。
作為一款全平臺應用,1Password 對 iOS 和 Android 都有不錯的適配,並支持系統級的自動填充功能。此外許多第三方 App 支持使用 1Password,比如 iOS 上的微博客戶端墨客,郵件客戶端 Spark、日曆應用 Fantastical 等等。豐富的功能加入不錯的設計,如果你需要更高級的密碼管理工具,相信 1Password 足以滿足你的需求。
開啟兩步驗證,為你的密碼再加一道鎖
發生密碼洩露事件後,如果你曾經為你的賬戶設置過兩步驗證,那麼賬戶的安全威脅會大大降低。
簡單來說,開啟了兩步驗證之後,當用戶在陌生的設備登錄時,網站或 App 會要求用戶通過另一種方式進行二次確認。目前各家都提供了不同的兩步驗證措施,比如 Google 就會要求在 Google App 中進行確認,Steam 會要求用戶輸入手機 App 中的驗證碼,微信則提供了有聲紋鎖和應急聯繫人來確認用戶身份,支付寶還有面部識別等等。對於重要的賬戶,開啟兩步驗證是非常有效的保護手段,建議大家一定要開啟。
小結
當數字生活成為了當代生活不可分割的重要組成部分,我們也必須提高對數字生活安全的重視。謹慎使用第三方輸入法,不用其輸入隱私信息,定期更換網站和 App 的密碼、注重系統剪切板管理與清理,不安裝盜版(未知來源)軟件等等。你的密碼或許總有一天會洩露,但你至少可以通過注意日常生活中的安全細節,最大限度地在發生密碼洩露事件時降低損失。
> 更多密碼管理知識,歡迎繼續閱讀少數派 這樣管理密碼最安全 專題。
閱讀更多 少數派 的文章
