你的账号又被泄露了?这里有一份「密码安全应急手册」

2018年6月13日,弹幕视频网站 Acfun 向用户公开致歉,宣布网站遭受黑客攻击,近千万条用户数据泄露。数据泄漏早已不是新鲜事,但当这样的事情发生时,作为普通用户,究竟应该如何有效地降低损失,保证自己的账户和信息安全?

更换重复使用的密码 

泄露事件发生后,第一件要做的事就是更换被泄露的密码。除了泄露密码的网站,你还应该更换使用同一账户名和密码注册的其他网站密码。例如,你在 Acfun 和 bilibili 使用了同样的邮箱和密码注册,那么既然在 Acfun 的个人数据很有可能已经泄漏,那么 bilibili 的个人信息也就很危险了。

查找自己已有的账户和密码

iOS 自带的密码管理工具

很多用户现在都会使用系统和浏览器自带的密码管理工具。例如 iOS 用户可以尝试在「设置 – 账户与密码 – 应用与网站密码」中查看自己的账号与密码,macOS 用户则可以在 Safari 设置中的「密码」进行管理。

如果你正在使用 Google Chrome,可以在「设置 – 高级 – 密码和表单」中找到自己保存的信息。如果你开启了 Smart Lock 自动填充功能,你还可以在 password.google.com 中管理你在其他设备上保存的密码。

图 / 谷歌开发者网站

Windows 10 的 Edge 浏览器也提供了 Password Manager(密码管理器),你可以在设置中找到它。

图 / Neowin

当然,以上的方法都需要你自己手动查询,如果你正在使用类似 1Password 或者 Lastpass 这样的密码管理工具,它们都提供了更方便的自动查询功能。

自动查找重复使用的密码

在最新的 1Password 7 Mac 版 中,你可以在应用侧边栏找到「暸望塔」功能,其中「重复使用的密码」里便是使用了重复密码的账号和网站。不仅如此,1Password 还与 Pwned Passwords 进行合作,在网上检索公开泄漏的账户密码,来确认用户的密码是否被泄漏。

1Password 7 可以检测重复密码

LastPass 也提供了类似的名为「安全挑战」的功能。它能够自动检索你的密码库来寻找那些重复或有潜在安全威胁的密码。

图 / 少数派用户 Plzbecute

除了第三方工具,在苹果刚刚推出的 iOS 12 测试版中,原生的密码管理工具得到了更新。现在它可以提示有哪些密码被重复使用,并建议用户直接前往网站修改密码。

创建一个方便又安全的密码

找到重复的密码后,下一步就是重新修改一个安全的密码。一般来说,密码的安全性与复杂度息息相关,但复杂的密码通常又不方便记忆。想要做到又安全又方便,你可以试试下面几个办法。

使用根密码进行变换

首先,在不同服务中使用不同密码是一个基本原则。但如果你觉得每次记忆一个完全不同的密码太麻烦,可以使用「一个根密码 + 网站名称」这种方式创建密码。

例如,你可以生成一个像 wangjuNo1! 这样的根密码。然后注册少数派的账号密码可以使用 wangjuNo1!#sspai,注册 Acfun 的密码则使用 wangjuNo1!#acfun,以此类推。

如果觉得还不放心,你还可以使用一套规则把密码变换得更复杂。举个简单的例子:将字母和数字、符号进行替换,s 变换为 $,i 变换为 !,a 变换为 4 等等。那么 wangjuNo1!#sspai 就变换为 w4ngjuNo!#$$p4!。密码规则当然是自己决定,以方便自己记忆为标准。

使用系统和浏览器的自动生成功能

如前文所述,目前许多主流的系统和浏览器都自带密码生成和管理功能。你可以利用它们来生成一个随机的安全密码。生成的密码会被加密进行保存,有的还支持云端同步,例如 iOS 和 macOS 的钥匙串。

Safari 的自动填充功能

生成密码后,当你在访问网站需要登录时,系统和浏览器可以为你进行自动填充,省去你手动输入的麻烦,iOS 11 和 Android 8.0 都已经拥有这个功能,主流的桌面端浏览器也都提供支持。

不过,使用这些自带的密码生成功能也有一些弊端。例如你在使用跨多个平台的设备,比如一台 WIndows 电脑和一部 iPhone,如何同步密码就成了一个难题。面对这种情况,一些第三方的工具密码管理工具就能帮到你。

使用专门的密码管理应用

目前市面上的密码管理软件很多,比较知名的如 Keepass、Lastpass、1Password 等,相比系统自带的密码管理功能,这些软件的功能更加全面。这些密码管理应用支持多平台同步,并提供多种浏览器支持。

1Password 7 for Mac

以上文提到的 1Password 为例。它不仅拥有生成随机密码这些常用的功能,还有一系列丰富的管理功能。例如可以针对不同的使用者设立不同的密码仓库,可以通过文件夹、标签的形式管理密码,还能存储银行账号、护照、授权码等一系列重要的数据资料。

作为一款全平台应用,1Password 对 iOS 和 Android 都有不错的适配,并支持系统级的自动填充功能。此外许多第三方 App 支持使用 1Password,比如 iOS 上的微博客户端墨客,邮件客户端 Spark、日历应用 Fantastical 等等。丰富的功能加入不错的设计,如果你需要更高级的密码管理工具,相信 1Password 足以满足你的需求。

开启两步验证,为你的密码再加一道锁

发生密码泄露事件后,如果你曾经为你的账户设置过两步验证,那么账户的安全威胁会大大降低。

Google 的两步验证

简单来说,开启了两步验证之后,当用户在陌生的设备登录时,网站或 App 会要求用户通过另一种方式进行二次确认。目前各家都提供了不同的两步验证措施,比如 Google 就会要求在 Google App 中进行确认,Steam 会要求用户输入手机 App 中的验证码,微信则提供了有声纹锁和应急联系人来确认用户身份,支付宝还有面部识别等等。对于重要的账户,开启两步验证是非常有效的保护手段,建议大家一定要开启。

小结

当数字生活成为了当代生活不可分割的重要组成部分,我们也必须提高对数字生活安全的重视。谨慎使用第三方输入法,不用其输入隐私信息,定期更换网站和 App 的密码、注重系统剪切板管理与清理,不安装盗版(未知来源)软件等等。你的密码或许总有一天会泄露,但你至少可以通过注意日常生活中的安全细节,最大限度地在发生密码泄露事件时降低损失。

> 更多密码管理知识,欢迎继续阅读少数派 这样管理密码最安全 专题。

> 下载 少数派客户端、关注 少数派公众号,找到数字时代更好的生活方式 🏃