实用密码安全指南
作者:Tony Perez | 2023年12月28日
2023年12月2日,网络安全和基础设施安全局(CISA)报告称,一个与伊朗有关的黑客组织一直在针对美国关键基础设施,特别是美国水设施进行攻击。这次攻击得以实现的两个严峻现实是:首先,系统配置错误导致系统可以通过互联网公开访问,而非限制在其内网中;其次,管理员使用了弱密码(例如"1111")。
假设我们抛开这是关键基础设施的事实,这为我们所有人提供了一个独特的机会,花点时间清点我们日常交互的系统,并重新思考我们如何处理密码。
本文将分享我确保良好密码卫生的方法,并包含一个今天就可以使用的基本框架。
提升密码卫生的三个步骤
最简单的事情往往最复杂。在这种情况下,几乎总是我们管理密码的方式。为了提供帮助,我将每个建议分为三个部分:
- 系统分类
- 利用密码管理器
- 启用双因素认证
1 – 系统分类
当我与用户交流时,挑战总是帮助他们理解他们所交互系统的范围。
为了提供帮助,我总是建议按以下顺序对他们的系统进行分类:
| 优先级 | 分组 | 描述 | 示例 |
|---|---|---|---|
| 1 | 通信 | 这些是促进您与朋友、同事等沟通的系统。 | Gmail, Signal, Verizon 等… |
| 2 | 财务 | 这些是与财务相关的系统。 | PayPal, Wise, Chase 等… |
| 3 | 社交 | 这些是我们用于社交存在的系统。 | TikTok, Instagram, Facebook 等… |
| 4 | 工作 | 这些是特定于我们工作的系统… | Okta, Email 等… |
| 5 | 其他所有 | 这是所有其他系统的统称… | Amazon, 随机商店 等… |
第一次进行这个过程可能会让人感到不知所措,但将其分解为这些类别有助于将任务分解成更易管理的部分。优先级排序也使您能够专注于最关键的系统。
具体的优先级可以根据您的特定需求进行调整。例如,我选择"通信"作为我的第一优先级,因为我使用的每个系统都与我的一封电子邮件相关联。在某些情况下,不仅我的电子邮件是登录机制,其他通信工具(例如,电话)也可以用作访问代码和其他重要信息的验证来源。这使其成为一个重要类别。这对您来说可能不同,因此请根据您的需要进行调整。
2 – 利用密码管理器
多年来,在谈论密码时,我会建议使用复杂、长且唯一的密码。然而,严酷的现实是,作为人类,我们相当懒惰,我们为我们交互的所有系统都这样做的可能性微乎其微。
由于认识到这一点,我开始了一段旅程:在仍然使用密码的同时忘记我所有的密码。我通过利用密码管理器来实现这一点。
将密码管理器视为一个个人保险库,旨在存储您最敏感的信息,同时在您最需要时易于检索。大多数密码管理器能够存储的远不止您的密码。
别担心;大多数现代密码管理器都有对应的移动版本,可以通过您的移动设备访问。大多数应用程序也考虑到了密码管理器,如果安装了密码管理器,允许自动检测,并动态安全地推送凭据,使其易于使用。
一些较常见的密码管理器包括:
- LastPass
- Dashlane
- 1Password
3 – 启用双因素认证(2FA)
最后一点建议是始终启用双因素认证(2FA) 或某种形式的多因素认证。
双因素认证(2FA)就像为您的在线账户增加了一层额外的安全保护。想象一下您有一个存放贵重物品的保险箱。2FA 不是只需要一把钥匙就能打开它,而是像要求除了常规钥匙之外还需要第二把钥匙或一个独特的代码。因此,即使有人拿到了您的主钥匙(如您的密码),他们仍然需要那个额外的信息才能访问您的贵重物品。这使得滥用您的系统变得更加困难。
当今大多数现代系统都提供某种形式的 2FA 选项。您通常可以在您的账户设置 > 安全下找到它。如果有疑问,请联系客户支持团队,询问如何启用 2FA。
在几乎所有情况下,他们会允许您使用短信、电子邮件或认证器应用程序。我几乎总是选择认证器应用程序。一些较常见的应用程序包括:
- Google Authenticator(苹果和安卓)
- Microsoft Authenticator
- Authy
简单并不意味着容易
在过去的15年里,我一直在教育用户在线安全的重要性,我学到的一点是,最直接的建议(例如,使用强密码)往往是最难采纳的。
我理解。我们很忙。我们每天与无数系统交互。我们通过移动设备或其他方式随时随地注册各种服务。
不幸的是,网络威胁对我们所有人来说都是真实的威胁。虽然我们可能不是关键基础设施,不必担心国家支持的威胁,但恶意行为者对我们所拥有的东西感兴趣。我希望这篇文章能及时提醒您这一点,并且您可以将其作为指南来帮助您改善整体的密码卫生状况。
发布类别:安全