大家好！如今，我们需要加以保护的所有东西几乎都涉及某种形式的密码保护，因此正确设置密码至关重要。

这在职场环境尤为重要，因为一个简单的密码可能是阻止恶意黑客获取公司宝贵数据的唯一屏障。

大家都知道这一点，对吧？然而，纵观全网，大大小小的企业因密码泄露而遭遇了无数本可避免的黑客攻击。种种迹象表明，并非所有人都足够重视这个问题。

人们往往会抱有一些侥幸观念，比如“谁会费心去黑我的账号？我只是个普通人，没人会在意我的账号。”或者“他们怎么可能破解我的密码？系统只给三次尝试机会啊！”

今天，我们将逐一指出这些观念中的逻辑漏洞，并向你展示如何稍稍努力（实际上还能让你的生活变得更轻松、更安全！）就能正确处理密码问题。

- 强力密码势在必行！SEIRIM 网络安全团队

 
好了，让我们从第一点开始：

• 密码管理器。 无论是个人还是企业组织都应该使用密码管理器。为什么？
  • 它能让你使用比人脑记忆极限多得多的、独一无二且强度极高的密码。
  • 它便于团队成员之间共享必要的密码，以防某位成员突然缺席或失联。这在你的个人生活中同样重要：可以考虑建立家庭账户，以便在紧急情况下或亲人意外去世时获取关键信息。
  • 优秀的密码管理器具备以下特点：
    • 账户管理功能：涵盖权限分配、分组管理、访问级别设定以及访问日志记录等。
    • 支持多种条目类型：例如，可用于存储“安全备忘录”或“浏览器登录凭据”等不同类型的信息。
    • 对存储的密码进行加密处理，并提供可靠的备份机制。
    • 出自值得信赖的开发团队，因为你将给予他们极大的信任。
  • 切记！
    • 请务必为您登录密码管理器的主账户设置一个极高强度的密码，并将其抄写在某个安全隐蔽的位置保存，确保他人无法轻易发现。
    • 考虑到密码管理器如今已成为所有账户的“单一入口点”，建议考虑搭配使用多个不同的密码管理器，以防其中某款应用发生故障导致彻底无法访问。
         
• 强力且唯一的密码。 为什么？
  • 为了有效抵御黑客攻击。密码越短，被破解的难度就越低（即越容易被破解）。
  • 强密码的特性：
    • 长度足够长，不滥用字典词汇或易猜的信息，包含多种字符类型。
    • 切勿使用易猜或可公开获取的信息等。
  • 唯一密码的特性：
    • 它必须不同于你的其他密码，这种不同绝不仅仅是微调一个字符（例如在末尾加一个数字，像从“mygreatpassword”变成“mygreatpassword2”）——这样远远不够，密码必须具有显著的、本质上的唯一性。
         
• 更改设备和服务上的默认用户名，例如路由器、服务器、网站内容管理系统（CMS）的管理面板等的“Admin”或“Root”。为什么？
  • 给黑客破解账号增加额外难度，迫使他们必须同时获取用户名和密码，而不仅仅是密码。
• 更改默认密码，如路由器、打印机等设备上的默认密码。为什么？
  • 同理，许多设备出厂时使用默认设置，这些配置必须加以更改。
• 不要在浏览器中保存对敏感网站或服务的密码。为什么？
  • 如果有人获取了你工作站的访问权限并打开了你的浏览器，就可以直接访问你保存的这些账户，风险太大。 
  • 浏览器中存储的密码在未来某一天也可能遭到黑客攻击，这本身就是一个潜在的安全薄弱点。
  • 因此，我们建议在对安全要求不高的网站（如你订阅的报纸网站）可以这样做。但涉任何及支付交易、金融信息，或是社交媒体账户（可被用来对你或他人发起更进一步攻击）都不应在浏览器中保存密码，比如邮箱这样有价值、可能被黑客用作勒索筹码的账户。
• 不要以明文形式通过邮箱或聊天软件明文发送密码。为什么？
  • 一旦黑客攻破了你或接收者的电子邮件/即时通讯账户，他们就能扫描你们的聊天记录以搜寻此类明文密码，进而接管你们在对话中提及的任何相关账户。
  • 解决办法——用例如Bitwarden Share这类临时、隐藏的共享链接系统。
  • 后续建议——当你接收到他人发送的密码后，立即更改为强密码。这样即使沟通渠道被黑客攻破，黑客所截获的那个旧密码也已失效，无法再用于登录你的账户。
• 更改旧密码
  • 现在你明白了上述风险，不会再设置弱密码，并且你和公司也将开始使用密码管理器，太棒了！
  • 但别因此掉以轻心，务必彻底检查并更换所有安全性不足的旧密码。请记住“一个坏苹果能坏一筐”，你的整体安全性取决于其中最薄弱的一环，所以请务必将所有密码都更新到位。

- 值得花时间学习密码最佳实践

相关要点：

许多安全隐患都与密码的使用方式相关，请注意以下几点：

• 启用多重身份验证（MFA）
  • 不要让密码单独承担全部安全责任，因为单一的密码验证存在“单点故障”的风险。只要条件允许都应启用 MFA（如果目前尚不支持，请主动提出需求；如果是公司内部的 IT 服务，他们通常可以协助实施。欢迎联系 SEIRIM 提供协助）
• 使用如YubiKey等安全密钥
  • 这相当于一种物理形态的多重身份验证（MFA）解决方案；只有将该安全密钥连接至你的设备，才能成功登录并访问相关账户。
• 警惕网络钓鱼攻击
  • 黑客窃取密码最常见的方式就是诱骗用户自己泄露密码。切勿点击任何可疑链接或文件（对链接保持高度警惕），尤其是那些引导你跳转至特定页面并要求输入密码或类似信息的链接。
• 始终确认你访问的网站是安全的
  • 在输入用户名和密码时，请仔细核对网址（URL）。网站极易被仿冒，且此类仿冒事件屡见不鲜。
  • 确保网站已启用 HTTPS 加密协议。
  • 确保周围无人在偷窥你的屏幕。
• 使用后及时登出敏感账户
  • 不要只关闭浏览器来结束访问，否则下次打开网站时自动保持登录状态，同时也为黑客入侵大开了方便之门。
  • 请务必手动点击“退出登录”按钮，结束当前会话。这一操作不仅能终止当前的会话连接，还能使此前处于活跃状态的“会话密钥”失效，从而防止黑客利用这些密钥来冒充你的身份进行攻击。
• 如果被要求设置密保问题：
  • 请配合密码管理器使用，并为安全问题设置复杂答案。请避免使用那些只需通过公开信息（如社交媒体资料）稍加调查便能轻易猜出的简单答案。
  • 简而言之，请将这些安全问题的答案视为另一组密码。例如母亲的婚前姓氏是“Smith”，可以将答案设置为“Smith$%@K”，并将该答案妥善保存在密码管理器中。
• 切勿忽视移动设备安全
  • 移动设备往往是黑客攻击的潜在切入点（攻击向量），因为这些设备通常已自动登录并关联了许多重要的网络服务。
  • 请对可疑的应用程序保持警惕，及时卸载所有闲置的 APP。在条件允许的情况下，使用完毕后请务必从敏感网站和应用中登出。此外，请务必确保你的设备始终处于锁屏保护状态。
  • 你还可以为关键应用单独加密（具体操作方法可参考iPhone和Android 设备的设置指南，或点击此处查看 另一篇Android教程）
• 使用VPN，尤其是在公共 WiFi 等不安全的网络环境中
  • 为 Android 等设备或其他设备选用可信赖的免费VPN服务，这样网络连接将多一层“隧道”加密保护。
  • 这一点至关重要，因为 WiFi 热点很容易被黑客伪造（即“热点欺诈”），黑客随后可发起“中间人攻击”，窃取你的登录凭证。
• 避免过度使用单点登录（SSO） 
  • 很多服务支持通过Google、LinkedIn、Twitter、Facebook等账户直接登录。我们建议不要随意向各类服务广泛授权此类访问权限，这样不仅会为您的账户制造更多潜在的连接点和入口，同时也让那些 SSO 服务供应商能够追踪你的活动数据。这些数据在日后一旦遭遇泄露，之后可能成为被攻击对象。更多相关信息，见单点登录注意事项。

- 密码在职场环境中至关重要

 
企业环境下的密码管理注意事项

IT或网络安全部门的技术视角并非本文关注点，但了解以下几点对于每位员工都大有裨益。密码管理的最佳实践不断发展，最近几年更是发生了显著变化。请留意以下最新观点：

• 频繁强制更换密码，比如每月或每90天更换一次，现如今已被认为是适得其反的做法，因为这样反而容易助长用户重复使用旧密码。
  • 频繁要求设置新密码会让人难以记住密码，用户会因难以记忆而倾向于使用过于简单的密码（这非常危险）。习惯性地在旧密码的基础上稍作变体（例如将“mygreatpassword3”改为“mygreatpassword4”），一旦黑客获取了旧密码，便极易通过这种规律猜解出新密码。
• 鼓励设置更长、复杂的密码，但在密码强度方面，“长度”的重要性高于“复杂性”。
  
  • 其他条件相同的情况下，密码越长，安全强度就越高，建议将密码长度的最低标准设定为 12~15 位。
  • 字符类型越多越好，建议至少包含大/小写字母、数字和符号这四类字符中的任意三种。
  • 注意：过度追求复杂性可能会打破大多数人方便记忆的规律，导致频繁忘记密码。
  • 现在普遍推荐用长串看似随机的单词或生僻的句子，再混入一些特殊字符，这样密码足够长又便于记忆。
• 使用密码历史检查服务
  • 检测用户提交的密码是否存在安全隐患，或是否曾遭遇过泄露。
  • 在SEIRIM开发网站应用时，都会集成一项服务：自动检测用户提交的密码是否曾出现在数据泄露事件中，防止用户继续使用此类密码，从而提高安全性。
• 如你必须存储密码（我们建议尽量避免这样做）
  
  • 请务必采用强度极高的哈希（Hashing）算法。
  • 对密码进行“加盐”（Salt）处理，甚至可以加上“胡椒”（Pepper），来大大提升破解哈希密码的难度，有效抵御彩虹表攻击。
  • 更多详尽信息可参考OWASP相关指南：https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html。总之，这一步至关重要，务必予以高度重视。
• 特别提醒——如你通过表单收集密码及其它信息，务必做好输入校验，防止字段注入攻击。

结语

好了，以上便是本文的全部内容！即便你只是普通用户，也请记住，你并不是黑客眼中的“免疫体”。黑客企图攻破所有账户访问权限，哪怕只是将其作为跳板去获取更多信息或攻克更有价值的目标。此外，许多攻击手段已实现自动化，恶意程序可能正悄然扫描你的账户。

为了始终领先于这些恶意攻击者一步，请设置强度高、唯一且防护严密的密码，同时确保对密码进行妥善备份，并建立冗余机制以防万一。

更多内容可查阅我们网络安全工程师Nemanja撰写的关于密码安全的相关笔记。还可以观看演示视频，亲眼见证强度较弱的密码怎样轻易被黑客攻破：

如果你需要安全方面的协助，欢迎随时联系SEIRIM的网络安全专家团队获得支持。