钥匙

小米密码泄露后,且说怎样的金融账户密码是安全的

这周,小米账号出现泄露事件。身边有几个朋友忙不迭修改密码,以防泄密扩散到其他账号。伴随互联网金融的兴起,我们越来越多的资产以电子账号的形式存在在互联网上,这使得密码的安全性比以往来得影响更大。这里就作为一个曾经的IT青年和如今的互联网金融爱好者,和大家谈谈密码选取和保护这回事。

小米账号泄露的可能影响

小米账号泄露,只是众多IT网站账号泄露中的一件。

泄露会有多大影响?且让我来帮你分析一下。当然,如果你是技术小白不愿看复杂的,请直接看本段最后标红部分。

据报道,这次小米账号的用户名和密码是同时泄露的。当然,密码应该不是明文保存,照惯例应该是MD5形式存储的。

这里要简单介绍一个密码方面的尝试,眼下靠谱的网站,是不会直接将你的密码存储在数据库中的,这样一旦数据库泄露就太不安全了。一般,网站会将你的密码以MD5转码的形式保存——MD5是一种单向算法,你可以通过算法将字符串A变成字符串B,假若你的密码就是seekingbeta,那么用32位MD5就转码成F10961BE9B54C5C1C38E93349E869E63。

但是,你只有字符串B却没法将其转换回到字符串A,这样就确保即使MD5转码后的字符串B泄露了,别人也不知道你密码的字符串A。

当然,虽然用算法,没法把字符串B回到字符串A,但是我们也可以看到,上面我们已经知道了seekingbeta的MD5嘛,我们只要有一个足够大的密码辞典库,包含了常用密码和对应的MD5码,一旦得到泄露的MD5码,只要查字典,就能知道你真正的密码是多少了。

所以,在确保自己金融账户密码安全上,第一要义就是确保密码足够长且足够少见,以便不会出现在常见的密码辞典库中,许多网站在你注册时要求密码位数长,有大小写字母和数字,就是出于这个考虑。

如何防止密码泄露后的跨站攻击

虽然通过字母数字还有非常见字符的组合,我们可以尽量确保密码不会出现在黑客的密码辞典库中,但是我们并不能100%确定这一点。所以接下来,我们就要防范黑客拿到你某个应用后的跨站攻击。

我知道,许多人在所有的网站都是使用同一组密码的,而这是极其危险的。比如假如你小米账号的密码被人破解了,而你同时又将这么密码用于某个基金公司账户,同时还用了小米中保存的邮箱作为用户名,那么对方就可以利用账号密码进入这个基金公司账户——虽然现在的安保下对方未必能转移你的资金,但是恶意帮你抛售些基金之类还是做得到的。

更何况,若对方不仅是攻击金融账号,还偷看你的邮箱,或者在你的微博上发一些不合时宜的东西,一样会让你头痛。

所以,要避免这种密码泄露后的跨站供给,最理想的就是再每个网站使用不同的密码——看到这身为懒人的你是不是要昏倒了?没错,为每个网站使用不同的密码固然是安全了,但是使用起来却是极端麻烦,虽然可以用类似Keepass这样的软件辅助管理,但依然烦琐。

所以我个人建议的一个折中方法就是分层密码和密码前缀两种应对方法。

分层密码

所谓分层密码,就是根据网上账户的重要性不同,使用几组密码。

比如随便注册看看小说或者发帖的,可以用一组密码;重要的邮箱和社交网站,用第二组密码,类似支付宝或者金融网站这些牵扯大额资金的,则用第三组密码(而且可以是最复杂的密码),这样即使某个小说网站的密码泄露,也不会危及到你的重要邮箱社交网站和金融账户。

密码前缀

密码前缀则是比分层密码更进一步的防范措施,它的思路是使用一组通用密码,但是利用所使用服务的域名信息作为前缀,使得每个网站实际的密码不同。

假设密码是seekingbeta(这绝不是一个好密码,至少要有大小写字母和数字!),我决定用域名第一个字母做前缀,那么用在gmail的实际密码就是gseekingbeta,用在微博的就是wseekingbeta。

当然,顺着这个法子我们可以引申,以增加隐蔽性。比如采用域名的前三个字母分别最为前缀、居中和后缀,还是以gmail为例,密码就可以设置为gseekingmbetaa,而微博则设置为wseekingebetai

密码前缀的好处就在于不需要增加你的记忆量,但是用一组密码又能衍生出无数个不同的密码应付不同网站,进而防止简单的跨站密码攻击。

超强密码与居家办公

分组密码和前缀密码,对于普通人是足矣了。

但如果你实在焦虑,希望将密码泄露的风险降低到最小,那么个人建议你就要启用Keepass这样的专用密码软件,为每个账户生成不同密码使用了。

Keepass是一个密码管理软件,你可以为不同账号分门别类,纪录下相应的密码;当然Keepass还内置了强大的密码生成工具,按照你的要求为你生成随机密码,比如我要求一个16位的包含各类字符的密码,Keepass就为我生成了类似下面这样的密码:

&T6*y/Hk1:liPrLZ

Xbd3″LkP,92z#CRq

这样的密码,光输入一遍就是一把汗了,更不要说黑客通过辞典或者暴力法的方式来破解了,所以安全性是绝对高的,只要严格按照一站一密码,即使某个网站的密码泄露,也不会影响其他网站的安全。

当然,如此安全的密码,背肯定是背不出的!

其实,许多金融服务,不需要过于追求便利性,一般几天甚至几周查看一次账户即可,在这样的情况下,把所有金融账户都在家中的电脑里面处理,利用电脑中安装的Keepass来管理,是更安全的选择——如此你也不用担心手机丢失一堆账户被人窥探的风险了。

  1. Keepass就是跟浏览器结合的不大好,要自己ctrl+c,ctrl+v的,麻烦,没有那种自动填表软件方便。

沪ICP备13034850号-1