王志安:怎样设置并记住好记又难猜的密码?
每天我们都要和许许多多的用户名/密码打交道:各种各样的网站要我们注册或登录,银行卡提款要输入密码,还有连接无线网等等。
鉴于密码的频繁使用和它的重要性,好的密码要同时具备两种特性:好记又难猜。在设置密码时,我们要考虑哪些因素?更重要的是,我们如何来记住这个密码?这儿给出一些设置密码的小贴士,希望对你有帮助。
不要在所有的场合都用一个密码
不管干嘛都用同一个密码的坏处是显而易见的:只要某一个密码被人发现,你的其他信息也就一并泄露了。
举个例子:假如为你提供服务的共同基金公司出现安全漏洞,所有的用户名/密码都暴露了,而你又恰好使用同样的信息来登陆亚马逊的网上银行,这时如果哪个不怀好意的人获知了这一情况,悲剧的就不仅仅是共同基金账户了,存储在亚马逊上的网银账户、信用卡信息也就都暴露在他面前。
用统一规则记住多个不同密码
你可能要说,每个密码都不一样的话,大脑的压力会很大啊!只要所有的密码都遵循统一的规则,对此你就丝毫不必担心了。
首先选取一个基本密码,然后根据服务的不同,在这个密码的基础上按照一定的规则叠加一些其他元素。举个例子:基本密码+网站名称的前两辅音字母+网站名称的前两元音字母。
比如说,基本密码是“asdf”,那么要登录Yahoo时密码就是ASDFYHAO,登陆eBay时就是ASDFBYEA。本质上相同,但更简单一点的办法是以同样的几个字母(例如自己名字的首字母,或是最爱的数字)做开头,叠加上网站名称的开头三个字母。这样一来,我的亚马逊(Amazon)登录密码就是GMLT10AMA,而Lifehacker的密码就是GMLT10LIF。
为了更加安全,还可以在中间加上几个不为人知的字母,比如自己的乳名。在你选取生成最终密码的规则之前,有一点应该铭记于心:虽然各大网站对密码的要求可能有些许不同,但有一个准则肯定是适用的——好的密码应该有至少8个字符的长度,而且最好同时包含字母和数字。
想要更加安全?用网站允许的符号把密码“包围”起来,就像#GMLT10LIF#。
下面是选择基本密码的几点小贴士:
(1)某句短语或是某首歌曲副歌的首字母。比如说,如果你很喜欢The Jackson 5的那首成名曲 I Want You Back,就可以用“IWUB”。怎么记?当然是在心里哼唱一下这首歌啦。
(2)用键盘上比较靠近的按键组合,比如说“yui”或是“zxcv”。要记住它就更简单啦——低头看下键盘就好。
(3)用你另一半的名字首字母,或者你们的周年纪念日,比如“TFB0602”。这一方法还能带来其他好处:你再也不会忘记周年纪念日了吧!
(4) 更安全的方法:选了一个容易记忆的基础密码之后,键入时将手指在键盘上再向上移一格。比如说,基础密码是“cat“,在稍作变化之后,就变成了”dq5“。基础密码选取工作完成后,再根据不同的服务商名来叠加不同信息就好。
还是不想自己设密码? 还有密码生成器。它使用MD5算法,根据你的基础密码和网站地址来生成不同的密码,并在生成后自动复制,方便你在登陆框中粘贴,真是懒人的福音。
如果碰到有的网站对密码有些苛刻的要求,比如说“不许含有特殊字符“,或是”长度必须不少于12个字符“,还有”只能是数字/数字和字母/必须按照字母表顺序排列“,可能你必须要对这些规则之外的密码做个另外的记录了。
这样就够了吗?不!很多网站有设置安全问题取回密码这一功能。因为通常可选择的问题既少又很常规,不排除有人通过这一途径得到我们精心设置密码的可能,所以我们还是要在问题的回答上下功夫。按照以上“密码生成法”炮制不同网站的安全问题回答,应该能保住我们那无比重要的密码了吧!
文/和菜头
今天有一条真正的好消息:现行的密码设置原则是错的!
我们都知道,许多公司、网站、APP都推荐甚至强制我们设定所谓的“强密码”。也就是说,一个密码应该由大小写字母、数字和特殊符号组成,类似:
AABaCc2017@)!&
有些公司和网站,还会要求用户每90天要更换一次密码。比如说我当年在腾讯工作的时候就是如此,而且,每次要求密码不能和上次的一样,不允许有重复的部分,所以每过90天就要痛苦地构思一次密码,可以说是季度性头疼了。
强密码+定期更换,这就是现行的密码设置原则。它是怎么来的呢?说出来你可能不相信,全球那么多人,那么多公司忍受了那么多年的折磨,全只是因为一个人,他就是Bill Burr先生。2003年,Bill先生在美国国家标准与技术研究院工作期间,起草了一份密码指南。在这份指南里,他提出了这个密码设置原则。在其后的14年间,这个原则漂洋过海,成为全球性标准,一直荼毒我们到了今天。
但就在今天,Bill Burr接受华尔街日报采访的时候,向媒体表示说:他很后悔做了这些事情。因为他所设计的密码设置原则对于提高密码的安全性并没有帮助,相反的,它还可能提高了密码泄露的风险。
由于密码太过复杂,而且需要定期更换,人们难于记忆这些密码,这就导致人们会把密码写在计算机边上的即时贴、纸张、笔记本上。于是,这些看似强大的密码反而更容易被发现和破获。同时,字母和数字的组合对于使用暴力破解的黑客来说,也并没有增加多少难度,只不过是为难了用户而已。最后,由于定期强制更改密码,造成许多人只是修改密码中的个别字母或者数字,整体上密码的安全性和修改前并没有发生本质性的变化。甚至会造成用户在所有的服务上使用相同的密码,以避免记忆密码的麻烦,这样反而降低了密码的安全性。
有鉴于此,美国国家标准与技术研究院最近已经修改了它们的密码指南。和设置复杂多变的密码相比,它们更推荐使用那些很长但是容易记住的习惯用语或者个人密码,例如:
xlxhcdstg(小龙虾好吃但是太贵)
wlshzczwz(我裸睡时只穿着袜子)
dgggjysr2300(大咕咕咕鸡月收入2300)
sswnszykfqhh(世上无难事只要肯放弃哈哈)
laozhangnifenglemalaozhang(老张你疯了吗老张)
wdicyhszdrfcs1995n(我第一次约会是在大润发超市1995年)
buyaoxiangcaibuyaocongxiexielaoban(不要香菜不要葱谢谢老板)
这种非常长的习惯用语或者个人密码的长字符串,比大小写字母加数字的组合更加难以攻破。
分享完这个好消息之后,我还有几点个人感想:
1、一个人,一个机构决定了全球几十亿人的行为,这件事情看似不可思议,但是它的确在发生。尤其是一些行业标准和政策,尤其如此。比如说当年我在民航的时候,相关的业内标准大多直接引自美国FAA的标准,而且,会随着FAA标准的修改而随之修改。
2、一旦某个标准设立起来,想要改变和废除就变得相当困难。以密码设置的要求来说,Bill表示了遗憾和后悔,并不意味着银行、网站、公司的IT部门会立即随之调整政策,Apple公司的密码设置还会是那么艰难。以后的很多年里,我们还要因此而受苦。
一个典型的例子就是飞机上能否开手机的问题,它的缘起是有两次飞行员向FAA提交了报告,宣称飞机的仪表遭到了手机信号的干扰,以至于高度表失灵。于是,FAA下达了航行通告,要求不允许在飞行过程中使用手机,于是诸国航空公司都开始执行这个通告,变为航空公司自己的政策。·今天,这个政策已经遭到了很多挑战,部分航空公司做了让步,只是在起降阶段不允许使用,部分航空公司则提供了机上上网能力。但对于大部分正在执行这个政策的航空公司而言,废止这个政策意味着要签署文件,并且对此产生的安全后果负责。那么,哪一个CEO愿意去做这种事情呢?
3、在人类社会生活中,一小部分人的行为,会让所有人承担后果。从事密码盗窃的网络犯罪团伙,在人数上只是全世界网民里微不足道的一部分。但是因为他们的存在,所有人不得不提升自己的密码安全等级,每年为防御电脑病毒、木马程序和钓鱼网站耗费大量的资金,甚至使得后者成为了一个专门的产业。
2002年5·7大连空难过去15年了,直到今天中国人还在承受后果—上飞机前交出打火机和火柴,因为调查结果显示飞机坠毁是因为人为纵火。911事件过去16年了,直到今天全世界的人也依然在承受后果—上飞机前要专门拿出计算机和充电宝单独检查,因为恐怖分子曾经用它们作为炸弹的伪装;过安检要脱掉皮带和厚底鞋,交给安检人员仔细检查,因为恐怖分子曾经用它们作为夹带工具;全世界的民航飞机在飞行途中都实施驾驶舱全程锁闭政策,而且加固了驾驶舱门,在门上加装了摄像头,因为911时恐怖分子采取了冲击驾驶舱,控制飞行员的袭击方式……
在攻击与防御的博弈里,人类大量的时间、精力和智慧就这样耗散掉了。因此,世界的和平和稳定从经济学的角度看,对于每一个地球居民都是一种节约。而世界上哪里出现了问题,最终的结果很可能是所有人一起背负结果,支付代价—索马里的贫困和战乱是它的本地问题,但是,商船为了防御索马里海盗必须配备武装押运人员,有时候甚至需要出动军舰,而因此产生的费用,会体现在运输的货物价格上,并且通过消费环节放大。
4、人始终是人,向人们提供某种产品,某种建议,某种使用方式,不能脱离于人本身和人所处的环境。Bill Burr先生出于良善的目的,向人们提供了设置密码的指南。但是,他所思考的问题仅仅局限于密码本身的强度上,根本没有考虑过密码是由一个个具体的人去使用,而一个个具体的人处在各自不同的环境之中,有不同的缺陷和不足,这导致了使用密码的时候完全和设置初衷相悖。
如果Bill Burr先生的建议对象是一台机器,那么它大可以记住所有复杂的密码。但是,人的天性就是容易遗忘,增强密码强度的同时,也就增加了记忆密码的难度。为了降低记忆的难度,人们往往选择了那些极度提升密码泄露风险的方式。这是因为,对于绝大多数人来说,密码安全是一个重要问题,但是重要问题远远比不上易用性问题。绝大多数人,绝大多数时候并不会面临密码失窃的直接威胁,但他们会在每一天里面对想不起密码的真实痛苦。为了避免这种痛苦,他们可以做出各种匪夷所思的事情来,比如说:在电脑屏幕边上贴上写有密码的纸条。
因此,工程师、商人、UI设计师、工程师、产品经理在向用户交付产品和服务的时候,务必要把人和人所处的环境考虑进去,尤其是把人的天性、行为习惯考虑进去。在结束这篇太长的文章之前,我想分享一个案例:
意大利罗马达芬奇机场的吸烟室,大门是按照日式风格设计的,只能横向推拉。目的也非常明确,最大限度减少开关门的时候,把室内的烟雾抽吸出来,影响到外面的旅客。但是,设计师给大门安装了一个金属拉手,类似下图:
按照设计师的原意,这样的把手安装起来之后,因为金属条在固定螺丝的右方,用户应该理解这扇门是水平拉动。但事实上大多数用户不是那么理解的,当他们看到把手的金属杆的时候,本能地就向外直接拉。拉不动,就开始往里推。因为这么做的人太多,造成整扇门摇摇欲坠。用户往往要尝试好几次,在别人的提示或者自己的思索之后,才找到正确的开门方式—横向拉开。
我想,他应该是太看重玻璃门外表的美观和门的气密性了,以至于门框上没有空间去安装这种一目了然、绝无误解的门把手: