科技在进化，但密码这个存在上千年的“古董”似乎一点都没进化。

BITWARDEN，一款开源的密码管理器

近日，不让人省心的A站泄露了大量了用户数据。特别提醒，如果您有其他网站和A站使用了同一个密码，请务必也要修改密码，以免留下安全隐患。

今天凌晨，AcFun弹幕视频网（简称A站）发布公告，称AcFun受黑客攻击，近千万条用户数据外泄。建议在2017年7月7日之后未登录A站的用户尽快修改密码。如果在其他网站使用同一密码，也请及时修改。泄露的用户数据包含用户ID、用户昵称、加密存储的密码等信息。

WHY？不让人省心的网站总是有的，令人发指的明文或“弱加密”存储用户数据。一但数据泄露，这些数据就容易漂流在各大社工库，成为黑客撞库攻击的武器。

形象的举个例子，比如您AB两个网站都用一把钥匙开门，然而不幸的是，A网站的钥匙圈被黑客偷走了，那么您的B网站很有可能被黑客用钥匙圈一把把的试钥匙，把门打开。

那么，在这个让人不安的“后密码”时代，我们应如何保护自己不成为那些“不省心”网站的受害者呢？

1.使用两步验证

重要的网站务必开启两步验证，如动态口令，手机令牌，短信验证码，设备锁等。这是最基础的安全防范措施，往往能在关键时刻成为保护你的最后一道屏障。

例子。前些日子吃鸡正火的时候，网吧STEAM账号被盗处于高发状态，账号被盗后联系客服往往超过一周才能取回账号。如果你开启了STEAM手机版的令牌，令牌变会成为保护你账号的最后一道屏障，然而笔者询问了很多账号被盗的人，他们都嫌麻烦没有开启。

2.优先扫码或动态密码登录

尤其是在陌生的环境，如网吧等，优先使用扫码或手机验证码登录网站。相比于直接输入密码登录，可以规避键盘记录等常见的木马，安全系数大幅提高。

还是上一个例子，如果STEAM支持扫码登录，可能账号被盗的概率会少很多。

3.使用更安全的密码策略

这里主要谈谈“弱密码”和“重复密码”。

3.1别用“弱密码”

万幸，现在很多账号在注册的时候都会检测密码强度。但如果您过去注册的账号有弱密码，如“password”“123456”记得去修改。这些弱密码很容易被黑客暴力破解，且也是社工库里的“常客”，容易成为撞库攻击的牺牲品。

3.2关于“重复密码”

如前文所提，重复的密码很容易让您成为撞库攻击的牺牲品。理论上讲，安全起见每个网站都应该使用不同的密码。

可是问题就来了，怎么记住这么多密码？

对网络来说，最安全的方式是把密码记在一个本子上，然后把本子放在安全的地方（误）。

那是不是要用密码管理器？

如果您会用，那就用密码管理器吧。不过我在这里提一个“分级密码策略”，比每个网站使用不同的密码安全性低一些，但方便记忆一些，更适合普通用户使用。

3.3分级密码策略

3.3.1密码生成器

如何生成一个安全的密码？我推荐使用“古诗词”，“名言”“歌词”等。用他们的音序，保留中间的标点符号，在适当的添加一些数字，就可以过得一个便于记忆且强度合格的密码。

如，“W2bjtam,Tamstys.”（我爱北京天安门……暴露年龄系列）

3.3.2密码分级

• 一级密码。支付类，重要社交账户，找回密码的“总邮箱”，务必使用独立不同的密码。可能的话并定期更换密码。

特别注意，找回密码的“总邮箱”必须使用独立的密码。试想一下，您用这个邮箱注册的某网站账号刚好与您的这个邮箱密码相同……那么您其他用这个邮箱注册的账号也危险了。想到了什么？对，QQ邮箱，登录QQ号和QQ邮箱的密码是一样的。如果已经您用QQ邮箱注册了很多账号，建议开启QQ邮箱的二级密码。

顺便一提，看看您的邮箱密码有没有泄露：haveibeenpwned.com

• 二级密码。边缘的社交账号，小论坛社区等等，使用“部分有区别”的账号，减轻记忆负担。如JIANxxxxxxxxSHU（简书）。

4.如果账户已经被盗了

别慌，赶快去安全中心或联系客服冻结账号，再看情况进一步找回账号。一般来讲，账号冻结的越快损失越少。

• 腾讯 110.qq.com
• 阿里 110.alibaba.com
• 网易 aq.163.com
• STEAM help.steampowered.com

真的不再谈谈密码管理器？

我对它们“又爱又怕”。首先，你要跨过密码管理器“易用性”的门槛。其次你要把所有的密码都托付给他们……它们真的安全吗？

lastpass是全球最大的密码管理平台。
15年6月，lastpass被曝用户数据泄露。官方称这些数据已加密。但强度低的密码可能被破解。
17年3月，lastpass的Chrome插件被曝重大漏洞，可能导致密码泄露。官方建议用户立即更新插件以修复漏洞。

密码管理平台大是黑客重点照顾的对象，也可能自身出现零日漏洞。你可能需要挑选一个口碑好一些的平台，但他们往往需要一些不低的费用。

另外一个问题就是网络问题，很多密码管理器是在线同步的，而且绝大多数是国外的品牌。一但网络出现问题，你取回密码可能就要费些力气了。

最后，回到最初的问题，密码这个“古董”是不是该进化了？

也许是的。据说一些科技巨头已经在研发密码的“进化品”，终有一天密码会真的成为“古董”出现在历史博物馆，我们的账户信息却可以变得更加安全可靠。

最后的后面，我推荐一组漫画，《神秘的程序员》之我的女友是程序员Ⅰ，也许能帮您更好的理解记住密码安全问题。

完整漫画见链接