如果您以任何方式对在线安全保持警惕,那么毫无疑问,您使用的每个受保护的在线资源都有一个不同的、复杂的密码。此外,由于您保持警惕,有时您可能难以记住密码。但弱密码无法抵御黑客的安全问题。
密码是一种痛苦,但强密码也是防御黑客的必要手段,他们不会不惜一切代价访问您的帐户。值得花时间和精力用智能、极其强大的密码(希望)你仍然记得,让黑客失去平衡。
这就是为什么在庆祝 2022 年 5 月 5 日即将到来的世界密码日之际,我们将分享密码安全最佳实践、您不应该使用的常见密码、要避免的错误、黑客获取密码的方式以及每个人都想知道的一件事: 如何制作强密码。
2022 年 10 个密码安全最佳实践
以下是有关如何在 2022 年制作强密码的顶级安全最佳实践:
1. 每个帐户的唯一密码
为不同的帐户使用不同的密码,因此如果一个被泄露,其他的则不会。这将避免诸如凭据填充攻击之类的攻击类型,其中黑客在其他常见平台上使用被盗凭据以希望获得进入。
2. 字符和符号代替字母
短语使用诸如笑脸“:)”之类的符号而不是使用单词happy,或将单词“to”替换为数字“2”。使用字符和符号代替字母会使您的密码更难被黑客或暴力攻击技术猜出。
3. 尝试密码短语
最重要的密码安全最佳实践之一是使用密码短语和通常不在一起的单词,而不是容易忘记的长字符密码。像“小狗飞机吃香蕉”这样的密码比“小狗在院子里跑来跑去”更容易记住,也更不容易被黑客入侵。至少使用四个单词作为密码的一部分。
4. 长度至少为 12 个字符
为了获得最佳密码安全性,我们的最佳做法建议在密码中使用至少十二个可互换的小写字母、大写字母、符号和数字字符,无论您是否使用密码短语。对于安全性而言,密码长度比单独使用数字、字符或符号更重要。密码长度是通过暴力攻击或其他黑客密码破解算法破解密码可能需要多长时间的领先指标。
5. 分析密码强度
经常检查您的密码强度。大多数网站都允许密码分析器传达您的密码的强弱程度。注意分析仪结果并相应地更改您的密码以使其更强大。对如何制作强密码感兴趣?Nexcess 提供独特的密码生成器工具,可让您轻松安全地生成复杂密码、生成密码,甚至检查现有密码的强度。
6. 每季度更改一次密码
只要有足够的时间,密码仍然可以被猜到或破解。这就是为什么您应该每 60-90 天更改一次用户级帐户的密码。这可确保使用社会工程、暴力破解和凭据填充攻击的黑客无法使用您的旧密码来访问您的系统或数据。
7. 启用双重身份验证
采用双因素身份验证 (2FA),也称为多因素身份验证。这使用基于文本或基于应用程序的身份验证方法在访问之前验证您的身份。即使黑客以某种方式获得了您的密码,他们也将无法访问您的系统而无需访问您的手机。
8. 使用密码管理器
最后,投资一个密码管理器。密码管理器使用多种形式的加密来确保您的密码更难破解,并让您只需要记住一个密码。密码短语非常适合用作您的密码管理器主密码,然后您可以为您的其他用户级帐户和系统使用极其困难的密码。
9. 检查您的用户名和密码以防数据泄露
另一个密码安全最佳实践是使用诸如Have I Been Pwned 之类的安全工具来检查您的凭据是否包含在全球最近的任何数据泄露中。这使您可以就可能需要立即更改哪些密码做出明智的决定。
10. 切勿在密码中使用个人信息
切勿使用您的名字、姓氏、年龄、生日、电话号码、地址、银行账户或任何其他敏感的个人信息作为密码的一部分。甚至不要使用您的狗的名字或您最喜欢的旅行地点。这样做会使社会工程攻击者的工作变得更容易;大部分信息都可以在您的 Facebook 帐户上找到,这是公共信息。
最常见的密码是什么?
2021 年最常用和最差的密码是“123456”。其他常见密码包括“123456789”、“qwerty”甚至“密码”。并且不要一分钟认为 password1 好多了。任何使用这些密码的人都只是乞求被黑客入侵。黑客无处不在,他们不断寻找密码漏洞进行攻击。
您应该避免哪些密码错误?
为了保护您的密码,以下是要避免的八种常见密码错误:
- 连续的键盘组合,例如“zxcvb”或“qwerty”。
- 流行的俚语短语或单词向后拼写。
- 您的配偶或孩子的名字、姓氏或姓名。
- 没有个人信息,例如您的生日或年龄。
- 永远不要回收旧密码,只使用一次密码。
- 不要为您拥有的每个帐户使用相同的密码。
- 不要让任何人看到您输入密码。
- 如果您将计算机留在周围或在公共网络上,请务必注销您的帐户。
这些都是非常有用的提示,可以让您远离被黑客入侵,这通常会导致更糟糕的事件,例如身份盗窃或数据盗窃/丢失。
黑客使用什么方式来破解或获取密码?
蛮力攻击
蛮力攻击是指黑客试图压倒您的防御,尝试将用户名和密码与将英语词典单词与数千种变体重新组合的软件组合起来,以试图访问您的网站。虽然 WordPress 是最受欢迎的 CMS,因此最容易受到暴力攻击,但其他 CMS 平台和登录系统也容易受到攻击。
避免“管理员”
避免使用 WordPress 和其他登录系统的默认“管理员”名称。黑客总是会尝试使用“admin”。此外,请勿使用常用名称甚至您的网站名称作为用户名。尽管认为黑客无法拼写出您难学的姓氏是很诱人的,但他/她总是可以从其他来源剪切和粘贴它。
社会工程学
社会工程是黑客用来操纵目标泄露敏感和机密信息的恶意策略。社会工程可以发生在许多不同的平台上,包括电子邮件、社交媒体,甚至电话。社会工程学与鱼叉式网络钓鱼配合使用时,对于粗心且不在监视范围内的目标非常有效。社会工程攻击的全部目的是获取机密信息,这些信息可用于访问系统、窃取数据或窃取您的身份。
无限次登录尝试
可以将网站登录设置为无限制或设置的登录尝试次数。限制您可以访问您的网站的登录尝试次数永远不会有什么坏处。这不仅可以消除暴力攻击的威胁,还可以防止黑客通过人工输入密码来尝试访问他们的网站,从而避免社交工程攻击。
如果您使用的是 WordPress,您可以下载一个插件来为您执行此操作,甚至可以将特定 IP 列入白名单/黑名单以进行访问/拒绝访问。这样,您可以确保合法用户可以访问您的网站,而恶意黑客则不能。
如何庆祝世界密码日
因此,您说所有围绕密码安全最佳实践的讨论都很棒,但您如何庆祝世界密码日?
首先检查您最常用的帐户密码:
- 这些密码是否满足密码强度检查器的最低要求?如果没有,请立即更改。
- 这些密码是否包含在数据泄露中?如果是这样,请考虑后果以及是否有任何其他帐户存在风险。
- 这些密码是否用于其他用户级帐户?这些账户中是否有与之相关的银行信息或其他敏感信息?如果是这样,请尽快更改所有这些密码。
- 这些密码是否在内部或外部与其他任何人共享?如果是这样,请立即更改密码。
- 您使用的是 2FA 还是密码管理器?如果没有,首先询问您的 IT 经理该组织是否有推荐的密码工具。
花点时间回答这些问题,您将顺利实施密码安全最佳实践。
认真对待密码安全最佳实践
上述密码安全最佳实践将帮助您进一步保护您的网站。诚然,彻底的密码保护不是一项快速的任务,但值得花时间和精力让黑客远离他们的游戏,同时保护您的网站和客户数据不被盗。