密码不安全 – 从“DNS被修改”说起

有关“密码”两个字,让人想到的首先是“安全”。但是这几年国内的网络安全环境实在让人感到后怕,先是2011年的CSDN社区600万明文密码遭到泄露,后有2000万开房记录。就在前天的携程网支付系统漏洞,导致信用卡卡号和密码找到泄露。

这些话题说起来觉得离我们挺远的,博主Xiaole君也没有太当回事,直到最近,的各类账号经常被莫名奇妙的登陆。更甚者,昨天在西楼博客的DNS遭到恶意修改(托管到DNSPOD),Xiaole君才终于觉醒,决定写一篇文章来和朋友们讨论一下“密码安全策略”。

safe-password2

1.密码分级+不相同密码

在网上某社工库查了下,有关Xiaole君的密码信息多达16项,大多是一些社区、论坛,而真正的安全大头——支付宝、QQ之类的密码还是相对安全的。

基于上面的发现,Xiaole君得出以下等式:密码等级=网站可信度+保密等级。其中,网站可信度是指,这个网站的安全设置是否令你放心,而保密等级这是指:你要用密码保护什么!

举个栗子,支付宝的可信度为高,因为Xiaole君还是相对放心支付宝的;在支付宝上设定密码是为了保护自己的财产,说的俗点就是钱!再举个栗子:技术宅在某云盘上上传了N张女神艳照,那么涉及到隐私(重要隐私),也就是脸面问题,那就必须得提高安全等级。

上面的栗子(只是一个栗子)说明,必须把和自己财产、隐私、生命有关的密码,设置为最高级。

那不同的密码应该如何实现呢?Xiaole君自己做的就非常简单而又非常容易记忆。即:Xiaole的安全密码=服务代码+通用密码。比如QQ,就可以设置为qq123456,支付宝(alipay)可以设置为alipay123456。微信可以设置为wx123456。这样一来方便记忆,而且还比同一密码安全。

2.提醒功能+定时修改

有一些服务提供了一些提醒服务,比如DNSPOD就可以设置登录提醒、修改提醒、宕机提醒等,这样一来可以在最短的时间知道并进行修改。

定时修改也是很重要的一点,给自己设定一个周期,比如:重要的服务密码,每60天修改一次,使用前面的“安全密码”,只需要修改通用密码就可以。

最后,西楼博客上线一个在线密码生成的网页,可以在网页上生成复杂的密码,更换密码的时候,可以搭配Keepass工具使用。

Links:Keepass官网在线生成复杂密码工具(BETA) – 西楼博客

2 条评论

发表评论

*