如果您以任何方式對(duì)在線安全保持警惕，那么毫無疑問，您使用的每個(gè)受保護(hù)的在線資源都有一個(gè)不同的、復(fù)雜的密碼。此外，由于您保持警惕，有時(shí)您可能難以記住密碼。但弱密碼無法抵御黑客的安全問題。

密碼是一種痛苦，但強(qiáng)密碼也是防御黑客的必要手段，他們不會(huì)不惜一切代價(jià)訪問您的帳戶。值得花時(shí)間和精力用智能、極其強(qiáng)大的密碼（希望）你仍然記得，讓黑客失去平衡。

這就是為什么在慶祝 2022 年 5 月 5 日即將到來的世界密碼日之際，我們將分享密碼安全最佳實(shí)踐、您不應(yīng)該使用的常見密碼、要避免的錯(cuò)誤、黑客獲取密碼的方式以及每個(gè)人都想知道的一件事: 如何制作強(qiáng)密碼。

2022 年 10 個(gè)密碼安全最佳實(shí)踐

以下是有關(guān)如何在 2022 年制作強(qiáng)密碼的頂級(jí)安全最佳實(shí)踐：

1. 每個(gè)帳戶的唯一密碼

為不同的帳戶使用不同的密碼，因此如果一個(gè)被泄露，其他的則不會(huì)。這將避免諸如憑據(jù)填充攻擊之類的攻擊類型，其中黑客在其他常見平臺(tái)上使用被盜憑據(jù)以希望獲得進(jìn)入。

2. 字符和符號(hào)代替字母

短語使用諸如笑臉“:)”之類的符號(hào)而不是使用單詞happy，或?qū)卧~“to”替換為數(shù)字“2”。使用字符和符號(hào)代替字母會(huì)使您的密碼更難被黑客或暴力攻擊技術(shù)猜出。

3. 嘗試密碼短語

最重要的密碼安全最佳實(shí)踐之一是使用密碼短語和通常不在一起的單詞，而不是容易忘記的長字符密碼。像“小狗飛機(jī)吃香蕉”這樣的密碼比“小狗在院子里跑來跑去”更容易記住，也更不容易被黑客入侵。至少使用四個(gè)單詞作為密碼的一部分。

4. 長度至少為 12 個(gè)字符

為了獲得最佳密碼安全性，我們的最佳做法建議在密碼中使用至少十二個(gè)可互換的小寫字母、大寫字母、符號(hào)和數(shù)字字符，無論您是否使用密碼短語。對(duì)于安全性而言，密碼長度比單獨(dú)使用數(shù)字、字符或符號(hào)更重要。密碼長度是通過暴力攻擊或其他黑客密碼破解算法破解密碼可能需要多長時(shí)間的領(lǐng)先指標(biāo)。

5. 分析密碼強(qiáng)度

經(jīng)常檢查您的密碼強(qiáng)度。大多數(shù)網(wǎng)站都允許密碼分析器傳達(dá)您的密碼的強(qiáng)弱程度。注意分析儀結(jié)果并相應(yīng)地更改您的密碼以使其更強(qiáng)大。對(duì)如何制作強(qiáng)密碼感興趣？Nexcess 提供獨(dú)特的密碼生成器工具，可讓您輕松安全地生成復(fù)雜密碼、生成密碼，甚至檢查現(xiàn)有密碼的強(qiáng)度。

6. 每季度更改一次密碼

只要有足夠的時(shí)間，密碼仍然可以被猜到或破解。這就是為什么您應(yīng)該每 60-90 天更改一次用戶級(jí)帳戶的密碼。這可確保使用社會(huì)工程、暴力破解和憑據(jù)填充攻擊的黑客無法使用您的舊密碼來訪問您的系統(tǒng)或數(shù)據(jù)。

7. 啟用雙重身份驗(yàn)證

采用雙因素身份驗(yàn)證 (2FA)，也稱為多因素身份驗(yàn)證。這使用基于文本或基于應(yīng)用程序的身份驗(yàn)證方法在訪問之前驗(yàn)證您的身份。即使黑客以某種方式獲得了您的密碼，他們也將無法訪問您的系統(tǒng)而無需訪問您的手機(jī)。

8. 使用密碼管理器

最后，投資一個(gè)密碼管理器。密碼管理器使用多種形式的加密來確保您的密碼更難破解，并讓您只需要記住一個(gè)密碼。密碼短語非常適合用作您的密碼管理器主密碼，然后您可以為您的其他用戶級(jí)帳戶和系統(tǒng)使用極其困難的密碼。

9. 檢查您的用戶名和密碼以防數(shù)據(jù)泄露

另一個(gè)密碼安全最佳實(shí)踐是使用諸如Have I Been Pwned 之類的安全工具來檢查您的憑據(jù)是否包含在全球最近的任何數(shù)據(jù)泄露中。這使您可以就可能需要立即更改哪些密碼做出明智的決定。

10. 切勿在密碼中使用個(gè)人信息

切勿使用您的名字、姓氏、年齡、生日、電話號(hào)碼、地址、銀行賬戶或任何其他敏感的個(gè)人信息作為密碼的一部分。甚至不要使用您的狗的名字或您最喜歡的旅行地點(diǎn)。這樣做會(huì)使社會(huì)工程攻擊者的工作變得更容易；大部分信息都可以在您的 Facebook 帳戶上找到，這是公共信息。

最常見的密碼是什么？

2021 年最常用和最差的密碼是“123456”。其他常見密碼包括“123456789”、“qwerty”甚至“密碼”。并且不要一分鐘認(rèn)為 password1 好多了。任何使用這些密碼的人都只是乞求被黑客入侵。黑客無處不在，他們不斷尋找密碼漏洞進(jìn)行攻擊。

您應(yīng)該避免哪些密碼錯(cuò)誤？

為了保護(hù)您的密碼，以下是要避免的八種常見密碼錯(cuò)誤：

1. 連續(xù)的鍵盤組合，例如“zxcvb”或“qwerty”。
2. 流行的俚語短語或單詞向后拼寫。
3. 您的配偶或孩子的名字、姓氏或姓名。
4. 沒有個(gè)人信息，例如您的生日或年齡。
5. 永遠(yuǎn)不要回收舊密碼，只使??用一次密碼。
6. 不要為您擁有的每個(gè)帳戶使用相同的密碼。
7. 不要讓任何人看到您輸入密碼。
8. 如果您將計(jì)算機(jī)留在周圍或在公共網(wǎng)絡(luò)上，請(qǐng)務(wù)必注銷您的帳戶。

這些都是非常有用的提示，可以讓您遠(yuǎn)離被黑客入侵，這通常會(huì)導(dǎo)致更糟糕的事件，例如身份盜竊或數(shù)據(jù)盜竊/丟失。

黑客使用什么方式來破解或獲取密碼？

蠻力攻擊

蠻力攻擊是指黑客試圖壓倒您的防御，嘗試將用戶名和密碼與將英語詞典單詞與數(shù)千種變體重新組合的軟件組合起來，以試圖訪問您的網(wǎng)站。雖然 WordPress 是最受歡迎的 CMS，因此最容易受到暴力攻擊，但其他 CMS 平臺(tái)和登錄系統(tǒng)也容易受到攻擊。

避免“管理員”

避免使用 WordPress 和其他登錄系統(tǒng)的默認(rèn)“管理員”名稱。黑客總是會(huì)嘗試使用“admin”。此外，請(qǐng)勿使用常用名稱甚至您的網(wǎng)站名稱作為用戶名。盡管認(rèn)為黑客無法拼寫出您難學(xué)的姓氏是很誘人的，但他/她總是可以從其他來源剪切和粘貼它。

社會(huì)工程學(xué)

社會(huì)工程是黑客用來操縱目標(biāo)泄露敏感和機(jī)密信息的惡意策略。社會(huì)工程可以發(fā)生在許多不同的平臺(tái)上，包括電子郵件、社交媒體，甚至電話。社會(huì)工程學(xué)與魚叉式網(wǎng)絡(luò)釣魚配合使用時(shí)，對(duì)于粗心且不在監(jiān)視范圍內(nèi)的目標(biāo)非常有效。社會(huì)工程攻擊的全部目的是獲取機(jī)密信息，這些信息可用于訪問系統(tǒng)、竊取數(shù)據(jù)或竊取您的身份。

無限次登錄嘗試

可以將網(wǎng)站登錄設(shè)置為無限制或設(shè)置的登錄嘗試次數(shù)。限制您可以訪問您的網(wǎng)站的登錄嘗試次數(shù)永遠(yuǎn)不會(huì)有什么壞處。這不僅可以消除暴力攻擊的威脅，還可以防止黑客通過人工輸入密碼來嘗試訪問他們的網(wǎng)站，從而避免社交工程攻擊。

如果您使用的是 WordPress，您可以下載一個(gè)插件來為您執(zhí)行此操作，甚至可以將特定 IP 列入白名單/黑名單以進(jìn)行訪問/拒絕訪問。這樣，您可以確保合法用戶可以訪問您的網(wǎng)站，而惡意黑客則不能。

如何慶祝世界密碼日

因此，您說所有圍繞密碼安全最佳實(shí)踐的討論都很棒，但您如何慶祝世界密碼日？

首先檢查您最常用的帳戶密碼：

• 這些密碼是否滿足密碼強(qiáng)度檢查器的最低要求？如果沒有，請(qǐng)立即更改。
• 這些密碼是否包含在數(shù)據(jù)泄露中？如果是這樣，請(qǐng)考慮后果以及是否有任何其他帳戶存在風(fēng)險(xiǎn)。
• 這些密碼是否用于其他用戶級(jí)帳戶？這些賬戶中是否有與之相關(guān)的銀行信息或其他敏感信息？如果是這樣，請(qǐng)盡快更改所有這些密碼。
• 這些密碼是否在內(nèi)部或外部與其他任何人共享？如果是這樣，請(qǐng)立即更改密碼。
• 您使用的是 2FA 還是密碼管理器？如果沒有，首先詢問您的 IT 經(jīng)理該組織是否有推薦的密碼工具。

花點(diǎn)時(shí)間回答這些問題，您將順利實(shí)施密碼安全最佳實(shí)踐。

認(rèn)真對(duì)待密碼安全最佳實(shí)踐

上述密碼安全最佳實(shí)踐將幫助您進(jìn)一步保護(hù)您的網(wǎng)站。誠然，徹底的密碼保護(hù)不是一項(xiàng)快速的任務(wù)，但值得花時(shí)間和精力讓黑客遠(yuǎn)離他們的游戲，同時(shí)保護(hù)您的網(wǎng)站和客戶數(shù)據(jù)不被盜。