您不僅僅是一個數據點。 「選擇退出」功能旨在協助您重掌隱私。
你的密碼可能很糟糕,你需要加強密碼強度。我們知道,每次做哪怕是最微不足道的小事都要絞盡腦汁想新的密碼,這的確很煩人,但密碼強度是防止黑客和其他惡意行為者入侵你業務的最有效方法之一。
科技公司、記者和關注網路安全意識的組織多年來一直強調安全密碼的重要性。遺憾的是,這些努力似乎收效甚微。憑證管理公司 NordPass 在 2022 年發布的一份報告令人尷尬,其中「password」、「123456」和「123456789」被列為三種最常用的密碼。而且,排名越往後情況越糟:「Password1」僅排在第 192 名。
值得注意的是,科技業幾十年來一直在構想一個無密碼的世界,一些公司也已經開始提供繞過或完全放棄這種身分驗證方式的方案。但只要密碼仍然是存取我們資料的主要方式,我們就需要提升自身安全意識,才能真正保護我們的資訊和財產安全。
什麼是強密碼?為什麼創建強密碼如此困難?
惡意第三方為了取得您的帳戶存取權限,可能會嘗試使用諸如密碼猜測攻擊之類的方法。這種方法有多種變體,但其工作原理都類似:取得一個金鑰(例如已知的常用密碼或洩漏到網路上的個人憑證),然後嘗試用它打開多少扇門。
【相關閱讀:為什麼政府機構會遭到駭客攻擊】
當然,攻擊者追求的是效率,所以他們不會在某個地方手動用筆記型電腦輸入密碼。例如,他們會使用軟體自動嘗試常用密碼字典中的每個條目,或利用已知資料外洩事件中的資訊來嘗試洩漏的密碼及其可能的變體。這是因為人們更新密碼的頻率不夠高(他們一年只更新一兩次,而不是建議的每三個月更新一次),而且即使更新,他們通常也只是對現有密碼進行一些細微的改動。
這就是為什麼強密碼必須獨一無二、長度足夠,並且包含標點符號、數字和大寫字母等特殊字元。我們所說的獨一無二,是指密碼中找不到的單字。常用名或名人名也不可取——密碼越原創越好。密碼長度和特殊字元的使用都能提高其真正獨一無二的機率。這其實很簡單──密碼中使用的字元數量和種類越多,可能的組合就越多,就越難被破解。
很多人會自己編造密碼,例如用歌曲、詩歌或電影中容易記住的短語。經典的方法是將字母替換成數字(例如用 4 代替 A,用 0 代替 O),並交替使用大小寫字母。如果你也採用這種方法,那方向是對的,但實際上你需要讓你的個人加密系統更加複雜,才能真正提升密碼的安全性。我們不會透露我們是如何加密憑證的,但你可以透過替換字母來創建自己的文字或字母表。記住,克林貢語原本是由完全亂碼構成的,所以你的想像力是無限的。
當然,增加密碼難度的代價是更高的認知負擔。這意味著,密碼與你常用的單字或短語越不相關,你就越難記住。這本身就很複雜,但考慮到普通人平均擁有大約100個線上帳戶,記住所有這些加密後的唯一密碼就幾乎是不可能的了。
請幫助我們更好地幫助您
密碼管理器。你可能會想,這就是解決方案。理論上來說,的確是如此。這些獨立應用程式、可下載的擴充功能和內建瀏覽器實用程式具有三大主要功能:建議強密碼、安全儲存密碼以及在你造訪擁有帳戶的網站時記住密碼。
基本上,這些工具讓我們能夠徹底擺脫憑證管理的煩惱,前提是我們記住一個有效的主密碼,或持有其他類型的身份驗證金鑰,例如指紋。而且它確實有效。根據你選擇的密碼管理器,你會發現它們具備一些特色功能,例如設計精美、支援跨裝置同步,以及可以設定欄位自動填入的選項。
但密碼管理器並非完美無缺,它們的便利性也使它們成為駭客眼中極具吸引力的目標。畢竟,這個承載著你所有網路安全雞蛋的籃子價值連城:不法分子只需破解一個帳戶,就能免費竊取你所有的登入憑證。像 NordPass、KeyPass、1Password 等公司已經採取了額外的安全措施來保護他們的應用程序,例如加入自動註銷和一次性唯一驗證碼等功能,以防你丟失帳戶訪問權限。
【相關閱讀:如何開始使用密碼管理器】
然而,有時這些措施還不夠。 2022年12月,另一款流行的密碼管理器LastPass報告了一起安全漏洞事件,洩漏的用戶姓名、電話號碼、電子郵件地址和帳單資訊都被洩露。更令人擔憂的是,該公司當時的危機管理措施也十分糟糕,直到兩個多月後才在一篇部落格文章中披露了漏洞詳情以及用戶應採取的措施。
除了資料外洩之外,密碼管理器的一些功能本身安全性就不高。田納西大學諾克斯維爾分校使用者實驗室的研究人員在2020年的研究中指出,自動填充功能是最令人擔憂的問題之一。尤其當密碼管理器在未經使用者任何輸入的情況下自動填入憑證時,情況就更加危險。在跨站腳本攻擊(XSS)中,駭客會將惡意腳本注入網站程式碼,一旦正確的欄位被填充,就能竊取密碼。該研究的作者肖恩·奧施和斯科特·魯蒂解釋說:“如果密碼管理器在未事先提示用戶的情況下自動填充密碼,那麼用戶只需訪問被入侵的網站,密碼就會被悄悄竊取。”
XSS攻擊成功的可能性取決於多種因素,例如網站是否使用安全連線(例如HTTPS)。但最好始終選擇需要使用者互動才能自動填入或允許您手動停用此功能的密碼管理器。大多數基於瀏覽器的密碼管理器在填充憑證之前不需要使用者交互,但也有一些例外。 Mozilla Firefox預設會自動填入字段,但您可以關閉此功能:點擊主選單(三條橫線),依序選擇「設定」 、 「隱私與安全性」 ,然後向下捲動至「登入名稱與密碼」 。找到後,取消選取「自動填入登入名稱和密碼」旁的核取方塊。更簡單的解決方案是使用Apple的Safari瀏覽器,它始終需要使用者輸入才能自動填入。如果您使用的是PC或不想切換瀏覽器,研究發現,流行的1Password應用程式的瀏覽器擴充功能也需要點擊才能顯示您的資訊。
多喝水,塗抹防曬霜,並啟用多重身份驗證
健康的生活習慣能帶來更美好的生活,而對於網路生活而言,使用多因素身份驗證更是真正的自我關懷。
這項如今幾乎無所不在的功能,相當於增加了一層額外的安全保障,即使有人擁有正確的憑證,也能防止網路竊賊存取您的帳戶。這意味著,即使您的密碼在互聯網上洩露,如果沒有額外的驗證方式,例如直接發送到您手機的短信、應用程序生成的驗證碼、其他設備上的提示,或者指紋或面部等生物識別信息,他人也無法使用您的帳戶。
您使用哪些驗證方式以及使用多少種,取決於您希望帳戶達到的安全等級以及哪種方式最符合您的實際情況。請記住,啟用的驗證方式越多,他人存取您帳戶的途徑就越多。這並非絕對安全,但如果您經常丟失手機或帳戶被鎖定,那麼這樣做或許是有意義的。
【相關閱讀:如何在Twitter上免費繼續使用雙重認證】
請注意,雖然大多數現代平台都提供某種形式的多因素身份驗證,但並非所有類型都支援。最常見的選項是透過簡訊發送驗證碼進行身份驗證,其次是透過程式碼產生應用程式進行身份驗證。這兩種方式本質上相同,只是後一種方法使用互聯網而非電話網路來發送驗證碼。值得注意的是,透過電磁頻譜傳輸的簡訊可能會被攔截。據 Ruoti 稱,美國電信公司在用戶身份驗證方面採用的低標準使得將他人的電話號碼轉移到 SIM 卡並在自己的設備上接收其驗證碼成為可能。如果您對此感到擔憂,可以選擇更高級的替代方案,例如安全金鑰。它們的工作原理與您的家門鑰匙完全相同——只需在提示時將其插入設備的 USB 連接埠即可。如果您想深入了解各種選項,我們專門編寫了一份指南,幫助您選擇最適合自己的多因素身份驗證方法。
即使有些方法比其他方法更好,但有一點始終不變:任何多重身份驗證都比沒有好。因此,如果您有手機,最好設定簡訊驗證碼,以便在新裝置嘗試存取您的帳戶時收到驗證碼。只需確保已停用在鎖定畫面上預覽訊息內容的功能,否則有人可能會透過偷走您的手機來使用您的驗證碼。在 Android 裝置上,您可以依序進入「設定」 、 「通知」 ,然後在「隱私權」下關閉「敏感通知」來完成此操作。在 iOS 裝置上,開啟「設定」 ,進入「通知」 ,輕點「顯示預覽」 ,然後選擇「從不」 。如果您想在 iPhone 上查看不太敏感的通知的預覽,您可以單獨關閉各個應用程式的預覽。例如,如果您透過「訊息」應用程式接收驗證碼,請開啟「設定」 ,進入「通知」 ,輕點「訊息」 ,找到「顯示預覽」 ,然後選擇「從不」 。
希望這是你一直在等待的警示,讓你趕緊重視網路安全。別等到春季大掃除,也別等到新年制定計畫的時候——現在就行動。別讓你的帳號出現在2023年最糟密碼榜單上。你一定不想出現在那份榜單上。
現在你趕快去修改密碼吧。很高興我們進行了這次談話。
