密码泄露时应采取的措施

近期新闻事件增加了人们对密码使用及如何保护账户和密码的关注。

最近在与一位非技术行业的邻居交谈时，我被问到在其流媒体账户遭到入侵后应该怎么做。我的第一个问题是：“您能否恢复访问并更改密码？“他们自豪地回答：“是的，花了几分钟，但我把黑客踢出去了。“于是我提出了下一个问题：“您还在其他地方使用过相同的密码吗？“他们自豪的笑容慢慢消失，变成了困惑的表情。接着他们列出了几个使用了相同通用密码的服务。随着列举这些服务，他们开始意识到"黑客"可能并不像他们想象的那样被"踢出去"了。

这个教训是我们信息安全行业多年来一直倡导的：不要重复使用密码。我们推荐使用密码管理器来启用唯一密码。但当我们的建议成为新问题的源头时会发生什么：“当您的密码管理器被入侵时会发生什么？我现在该怎么办？“答案变得更加复杂，但以下是需要牢记的三个技巧。

更改密码

简单的答案（但更难接受）是更改所有密码。这已经足够令人望而生畏，但在面对密码管理器泄露时，我们不能止步于此。我们需要教授深度防御原则，这是一种利用多层安全措施来保护您的数据和敏感信息的策略。

查看在Optiv的密码破解图表中破解一个"复杂"密码需要多长时间。

我们Optiv建议遵循保护密码的指南，重点是使密码多样化。不仅每个密码都应该是唯一的，而且您应该选择包含大写字母、小写字母、数字和符号组合的更长密码。但每个用户都需要采取更多步骤来确保其账户保持安全。

启用多因素认证

我们信息安全行业一直建议在可能的地方启用多因素认证（MFA）。但在所有认证方法中，我们推荐使用令牌或密钥卡，而不是典型的短信或电子邮件代码。这里有几个解决方案，包括YubiKey、Google Authenticator、Microsoft Authenticator和OnlyKey。

挑战在于不同的服务可能支持不同的解决方案。对于任何仅提供安全问题作为MFA选项的服务，最好完全说谎（但仍要记住您的答案！）。毕竟，恶意黑客可以在社交媒体上研究您，并找到许多这些问题的正确答案。

监控账户访问和服务

监控对我们账户的访问非常重要。许多服务在用户登录账户时提供发送通知的功能。您应该启用此功能以增强账户安全性。您可能会因此收到更多电子邮件或短信。但在账户受损的情况下，知情就是成功的一半。许多其他解决方案提供某种类型的账户访问或受信任设备跟踪。定期查看这些列表，确保没有意外的登录或设备。

最后，监控您使用的服务的公开泄露情况，以便在密码可能已泄露时及时了解。通过https://haveibeenpwned.com/创建警报是开始提高对持续发生的泄露流意识的好地方。

通过提高安全意识和实践深度防御策略，您可以显著提高账户的安全性。鉴于最近所有的数据泄露头条新闻，在密码安全方面采取主动方法，而不仅仅是反应性方法。

如需更多网络智能提示和最佳实践，请查看Optiv的网络安全意识月资源中心。