实用密码安全指南
2023年12月2日,网络安全和基础设施安全局(CISA)报告称,一个与伊朗有关的黑客组织一直在针对美国关键基础设施,特别是美国水利设施进行攻击。
这次攻击得以实现的两个残酷现实是:首先,系统配置错误使得系统可以通过互联网公开访问,而不是将其访问限制在内网中;其次,管理员使用了弱密码(例如"1111")。
假设我们抛开这是关键基础设施的事实,这为我们所有人提供了一个独特的机会,花点时间清点我们日常接触的系统,并重新思考我们如何处理密码。
本文将分享我确保良好密码安全性的方法,并包含一个今天就可以使用的基本框架。
改善密码安全性的三个步骤
最简单的事情总是最复杂的。在这种情况下,几乎总是我们管理密码的方式。为了提供帮助,我将每个建议分为三个部分:
- 分类您的系统
- 利用密码管理器
- 启用双重认证
1. 分类您的系统
当我与用户交流时,挑战总是帮助他们掌握他们所接触系统的范围。
为了提供帮助,我总是建议按以下顺序对他们的系统进行分类:
| 优先级 | 分组 | 描述 | 示例 |
|---|---|---|---|
| 1 | 通信 | 这些是促进您与朋友、同事等沟通的系统 | Gmail、Signal、Verizon等 |
| 2 | 财务 | 这些是与财务相关的系统 | PayPal、Wize、Chase等 |
| 3 | 社交 | 这些是我们用于社交存在的系统 | TikTok、Instagram、Facebook等 |
| 4 | 工作 | 这些是特定于我们工作的系统 | Okta、Email等 |
| 5 | 其他所有 | 这是所有其他系统的总括 | Amazon、随机商店等 |
第一次进行这个过程可能会让人感到不知所措,但将其分解为这些类别有助于将任务分解为更易管理的部分。优先级排序也使您能够专注于最关键的系统。
您的具体需求可以定制确切的优先级排序。例如,我选择"通信"作为我的第一优先级,因为我使用的每个系统都与我的一封电子邮件相关联。在某些情况下,不仅我的电子邮件是登录机制,其他通信工具(例如电话)也可以用作访问代码和其他重要信息的验证来源。这成为一个重要类别。这对您可能不同,因此请根据您的需要进行调整。
2. 利用密码管理器
多年来,在谈论密码时,我会建议使用复杂、长且唯一的密码。然而,残酷的现实是,作为人类,我们相当懒惰,我们为我们接触的所有系统这样做的可能性微乎其微。
由于这个认识,我开始了一段忘记所有密码但仍使用密码的旅程。我通过利用密码管理器来实现这一点。
将密码管理器视为一个个人保险库,旨在存储您最敏感的信息,同时在您最需要时使其易于检索。大多数密码管理器能够存储的远不止您的密码。
不用担心;大多数现代密码管理器都有移动对应版本,可以通过您的移动设备访问。大多数应用程序也考虑到了密码管理器,如果安装了密码管理器,允许自动检测,并动态安全地推送凭据,使其易于使用。
一些较常见的密码管理器包括:
- LastPass
- Dashlane
- 1Password
3. 启用双重认证(2FA)
最后一点建议是始终启用双重认证(2FA)或某种形式的多因素认证。
双重认证(2FA)就像为您的在线账户增加了一层额外的安全性。想象一下,您有一个存放贵重物品的保险箱。2FA不是只需要一把钥匙打开它,而是需要第二把钥匙或一个独特的代码,除了您常规的钥匙之外。因此,即使有人掌握了您的主钥匙(如您的密码),他们仍然需要额外的信息才能访问您的贵重物品。这使得某人滥用您的系统变得更加困难。
今天的大多数现代系统都有某种形式的2FA选项可用。您通常可以在您的账户下的设置 > 安全中找到它。如果有疑问,请联系客户支持团队,询问他们如何启用2FA。
在几乎所有情况下,他们将允许您使用短信、电子邮件或认证器应用程序。我几乎总是选择认证器应用程序。一些较常见的应用程序包括:
- Google Authenticator(苹果和安卓)
- Microsoft Authenticator
- Authy
简单并不意味着容易
在过去的15年里,我一直在教育用户在线安全的重要性,我学到的一点是,最直接的建议(例如,使用强密码)往往是最难采用的。
我理解。我们很忙。我们每天与无数系统交互。我们通过移动设备或其他方式随时随地注册东西。
不幸的是,网络威胁对我们所有人来说都是真正的威胁。虽然我们可能不是关键基础设施,不必担心国家支持的威胁,但恶意行为者对我们拥有的东西感兴趣。我希望这篇文章能及时提醒这一点,并且您可以将其用作指南,帮助您改善一般的密码安全性。