改密码有感

查看源码

我从来都是一个很懒的人,网上的帐号大部分都是同一组Email/密码。最近 heartbleed 闹得沸沸扬扬,想想作为一个互联网人,是时候行动了。因此花了一个下午的时间,把能想起来的帐号密码都改了一遍,在改密码的过程中有很多有意思的发现和体会,在这里记录下来和大家分享。

##不要以为你很安全

让我迟迟不愿意着手修改密码的很大一个因素就是我觉得自己的帐号还是很安全的,因为也没有发生过什么支付宝余额被盗啊(说到这里鄙视一下那些整天黑支付宝安全性的人)、QQ帐号被盗啊的问题。但是当我登录一些很久之前用来注册帐号的邮箱时,部分邮件还是让我惊出了一身冷汗。

去哪儿帐号被盗

去哪儿

Gmail帐号被盗
Gmail

DNSPOD帐号被盗
DNSPOD

微博帐号被盗
微博帐号被盗

你以为自己的帐号很安全,其实早就已经被其他人掌握了帐号密码,只是他们暂时没有作恶而已!

##怎样才能最安全

改密码之前,给你一个友情提示:改完密码后注销帐号重新登录一遍,一来确保密码已经修改成功,二来也让浏览器或App记住你的密码。

###尽量使用动态密码

动态密码包括但不限于

  • 手机短信密码
  • 手机动态密码(Google Authenticator、QQ手机密保等)
  • 实体密保(如网易将军令,支付宝宝令等)

动态密码目前看来是最安全的,基本不存在被暴力破解的可能性。因此我的QQ密码即使设置的很简单我也不担心,因为不论何时登录我的QQ帐号都需要输入动态密码。

这里还需要插一句,如果需要注册的网站支持Google或者QQ帐号登录,尽量选择这样的方式,由Google和QQ来保证你的帐号安全。(不过国内大部分论坛所谓的QQ一键登录还是比较扯淡的)

###开启异常登录提醒

基本上稍微大点儿的网站都会有这样的服务,如微博、Facebook、人人网等。异常登录的好处就是让你第一时间知道自己的帐号已经不安全了,需要尽快更换密码。

当然,鉴于有部分人使用的ISP会经常改变出口所在地,所以可能会存在误报的情况。

###不同的网站设置不同的密码

很多人会觉得记密码很头疼,需要设置密码的服务那么多,怎么可能通通记得过来。其实很简答, 指导思想就是自己定义一个密码加密规则,然后对不同的网站应用该规则,就能获得不同的密码

举个例子,你原本熟悉的密码是xiaomi2014,现在设定规则如下:

若注册网站的网址第一个字母是奇数,如 apple.com 的 a1,那么默认密码前加上英文逗号『,』,最终密码是 ,xiaoming2014

若是偶数,则加上英文句号『.』

若是数字,则加上英文分号『;』

当然这只是一个很简单的例子,按照这样的规则设置,你只需要多记住一个规则,和你原来熟悉的密码,就能保证帐号的安全。

为什么要这么设置?你可能听说过拖库。之前闹得沸沸扬扬的CSDN密码泄露事件就是CSDN的密码库被黑客明文下载到了。黑客拿到了你在CSDN的帐号密码,由于很多人和我之前一样习惯用同样的密码设置其它网站的帐号,这样黑客就能轻松登录你在其它网站的帐号。

##吐槽时间

其实下面的内容才是本题『改密码有感』的正文。

先看看业界标杆是怎么做的,以Evernote为例,我同时更换了绑定在Evernote帐号上的Email和密码。每次操作Evernote都会给我发送确认邮件,同时在操作完成后告诉我我进行了什么操作,地理位置是什么,时间是什么。

Evernote

然后就是国内某二逼视频网站,注册密码竟然限制只能是数字和字母,没见过比这更二逼的限制了。别的网站都嫌你输入的密码太简单,某二逼视频网站还怕你输入的太复杂!

爱奇艺密码

最后是国内某二逼社交网站,虽然我早早就停用了帐号(国内特色,只能停用不能注销,想恢复直接重新登录一次就好……这里向豆瓣致敬),但是密码还是要改的。

结果你要改密码,就需要先重新启用帐号,重新启用帐号后,修改密码又收不到验证邮件,好不容易改好了密码,还得再把你停用了。你们是多缺KPI啊!

##友情提示

经过一下午的改密码操作,我认为最大的安全隐患不是在这些常规互联网网站,而是:

  • 各大论坛
  • 电信、移动、联通等凭手机号和6位服务密码就能登录的网站

上网容易,安全不易,各位且行且珍惜啊。

(为什么我不用Lastpass等密码管理软件?什么时候能解决移动App登录我马上买!)