输入密码以访问我们使用的数十或数百种应用、网站、APP中的一种已成为我们生活中如此日常的一部分,我们很少再考虑一下。很多时候,我们试图让我们的密码简单易记,这样我们就可以快速跳过登录并继续处理重要的事情。这只是我们在依赖某些东西来保护我们数字身份的一部分时所犯的众多错误之一。本文列举了您在密码方面可能犯的五个最常见的错误。
1. 密码重复使用
最常见和普遍的错误之一是密码重复使用。通常情况下,人们创建易于记忆的密码,这意味着它们简短而简单,尽管现在大多数服务都对最小长度和必须包含的字符类型有要求。一旦我们记住了密码,然后注册了另一个网站或应用,一个又一个,我们不想记住一个又一个密码。所以我们重复使用我们已经承诺的密码记忆。根据调查,53%的受访者对多个帐户重复使用相同的密码,而惊人的 14% 的受访者为所有帐户使用相同的密码。这是一种帐户接管攻击,它利用机器人利用从其他站点的数据泄露中窃取的访问凭据来尝试登录尝试攻击站点,直到他们偶然发现新站点和“旧”凭据的正确组合。如您所见,使密码多样化符合您的最大利益。
2、使用简单密码
很多问题都是在创建密码时开始的。简单的人往往领先。如果您认为在现实生活中人们对密码的选择更加谨慎,那么您就错了。调查表明,当谈到密码时,人们会做出有问题的选择,12345位居最流行密码的前五名。
除了简单的模式和明显的单词之外,您在创建密码时可能经常犯的一个错误是将我们个人生活中的细节融入密码中,这些细节很容易被猜到或找到。60%的调查者已将姓名(他们的、配偶的、孩子的或宠物的名字)或生日加入到他们的密码中。
理想情况下,切换到强密码比使用密码更可取。 如果可能,也应激活双因素身份验证(2FA),因为它增加了额外的安全层,以防止旨在泄露您的登录凭据的各种类型的攻击。
3、以纯文本形式存储密码
另一个经常发生的错误是写下我们的密码。两种形式:将它们记在纸上或便签上,或者将它们保存在我们的计算机或智能手机上的电子表格或文本文档中。
如果将它们存储在您的设备上,您将面临一系列挑战。如果黑客入侵您的设备并翻找它,他们将可以轻松访问大量敏感数据,包括您以纯文本形式存储的密码。或者,如果您的设备受到恶意软件的攻击,该恶意软件会复制您的数据并将其发送到远程服务器,那么不法分子可以在您有机会注意到之前访问您的所有帐户。可以说在任何连接的设备上以纯文本形式存储密码是一个坏主意。
4、共享密码
“分享即关怀”确实适用于生活中的很多领域,但密码是一个例外。然而,有些人会不同意,45%受访者承认过去曾与其他人分享过他们的密码。其中包括流媒体服务、电子邮件帐户、社交媒体帐户甚至在线购物帐户的密码。超过一半的人表示,他们与重要的其他人分享了密码。一旦您与其他人共享您的密码,您帐户的安全性就会急剧下降,因为您已经失去了对它的严格控制。您无法确定它将如何处理,以及您信任的人是否不会与其他人分享。
5、定期更改密码(使用规律性密码)
一些组织“出于安全原因”强制其用户每两三个月更改一次密码。研究表明,当人们被迫频繁更改密码时,他们并没有考虑太多。用户倾向于创建遵循他们称之为“转换”的可预测模式的密码。“比如增加一个数字,把一个字母改成相似的符号(例如把 S 改成 $),添加或删除一个特殊字符(例如,从末尾的三个感叹号开始将密码改为 2),或切换数字或特殊字符的顺序(例如将数字移到开头而不是结尾)。” 她接着补充说,她听说过一些示例,其中用户将密码更改的月份和年份包括在内,以便轻松记住这些频繁更改。
这使得黑客很容易完成他们的工作,一旦黑客知道一个密码,他们就可以毫不费力地猜测下一个密码。还值得注意的是,一旦网络犯罪分子获得您的设备的访问权限,他们就可以安装一个键盘记录器,以便在您更改密码时跟踪您的密码。当然,如果您的设备上安装了顶级安全端点解决方案,则键盘记录器被检测到和破坏的可能性要大得多。
小结:
创建适合您的密码似乎是一项艰巨的任务,但有多种方法可以让您更轻松。通过在可用的情况下激活 双因素身份认证2FA 来增加额外的安全层应该是有必要的。如果您发现记住您想出的所有唯一密码很乏味,那么密码管理器可能会满足您的需求:这样您只需记住一个密码,但要确保它遵循我们在上面给了你很好的建议。
安当身份认证平台支持OTP,FIDO多因素身份认证,FIDO认证更是基于PKI公钥密码体系,实现让用户告别密码,目前国外主流互联网巨头纷纷加入到FIDO认证体系中。
附链接:
上海安当技术有限公司致力于开发身份认证、数据加密类产品,依托集中化、跨平台的密钥管理系统,专注于为金融、政府、企业等客户提供更加安全,便捷的身份认证管理和数据加密解决方案。公司主要产品及服务简称为4S:身份认证服务平台(Authentication Service Platform),密钥管理平台(Key Safe Platform),硬件加密机(Hardware Security Module),数据加密集成服务(Data Security Integration)。
