身份验证
大多数数据泄露都是由于使用了弱密码、默认密码或被盗密码造成的 (参考Verizon报告)。 使用足够长、强且唯一的密码,在安全的密码管理器中管理它们,启用 双因素认证,关注数据泄露动态,并在登录账户时保持警惕。
0/21 (0%) 完成,0 忽略
| 是否完成 | 名称 | 级别 | 描述 |
|---|---|---|---|
基本 | 如果你的密码太短,或包含字典单词、地名或人名,那么它很容易被暴力破解或被猜到。 创建强密码最简单的方法就是让它足够长(12位以上),可以考虑使用由多个单词组成的“密码短语”。 或者,使用密码生成器生成一个长且随机的密码。你可以试试 Security.org的密码安全性测试,了解常见密码被破解的速度。 了解更多关于创建强密码的信息:securityinabox.org | ||
基本 | 如果你在多个网站重复使用密码,一旦其中一个网站发生泄露,攻击者就可以轻松访问你的其他账户。 这通常通过大规模自动化登录尝试实现,被称为“凭证填充攻击”。 这种情况很常见,但只要为每个账户使用不同的密码就能有效防护。 | ||
基本 | 对大多数人来说,记住数百个强且唯一的密码几乎不可能。 密码管理器是一种应用程序,可以为你生成、存储并自动填写登录凭据。 所有密码都用一个主密码加密(你必须记住这个主密码,并且它应该非常强)。 大多数密码管理器都有浏览器扩展和移动应用,无论你用什么设备,都能自动填写密码。 推荐Bitwarden, 或参考推荐的密码管理器。 | ||
基本 | 虽然有时你可能需要与他人共享账户访问权限,但一般应避免这样做,因为这会增加账户被攻破的风险。 如果确实需要共享密码,比如团队协作时,建议通过密码管理器内置的分享功能进行。 | ||
基本 | 2FA要求你在登录时同时提供你知道的信息(如密码)和你拥有的东西(如手机上的验证码)。 这样即使有人获得了你的密码(比如通过钓鱼、恶意软件或数据泄露),也无法登录你的账户。 启用方法很简单,下载身份验证器应用, 然后在账户安全设置中启用2FA。下次在新设备登录时,你需要输入手机应用上的验证码(无需联网,验证码每30秒变化一次)。 | ||
基本 | 启用多因素认证后,通常会获得一些备份码,用于2FA方式丢失、损坏或不可用时使用。 请将这些备份码保存在安全的地方,防止丢失或被他人获取。建议写在纸上或存储在离线加密文件/磁盘中。 不要将这些备份码和密码一起存放在密码管理器中,2FA源和密码应分开保存。 | ||
可选 | 网站发生重大数据泄露后,泄露的数据常常会在互联网上流传。 有一些网站收集这些泄露记录,并允许你通过邮箱查询是否在泄露名单中。 Firefox Monitor、Have I been pwned 和 DeHashed 都支持邮箱监控,发现新泄露时会通知你。 这样你可以第一时间修改受影响账户的密码。Have I been pwned 还支持域名范围通知,适合用别名邮箱的用户。 | ||
可选 | 在公共场所输入密码时,确保没有摄像头正对你,也没有人能从肩膀后偷看。 输入时用手遮挡,不要在屏幕上显示明文密码。 | ||
可选 | 数据库泄露和数据泄漏很常见,你的部分密码很可能已经在网上流传。 定期(如每年)更新重要账户的密码有助于降低风险。但只要所有密码都足够长、强且唯一,就无需频繁更换。 企业强制定期更换密码已不再推荐, 因为这反而容易导致弱密码。 | ||
可选 | 现代浏览器常常会提示你保存登录凭据。不要允许浏览器保存密码,因为它们未必加密,容易被他人获取。 建议使用专用密码管理器存储和自动填写密码。 | ||
可选 | 避免在他人电脑上登录账户,因为你无法确定对方设备是否安全。 公共电脑尤其危险,恶意软件和跟踪更常见。必须使用时,请开启隐私/无痕模式(Ctrl+Shift+N), 这样浏览器不会保存你的凭据、Cookie和历史记录。 | ||
可选 | 有些网站允许设置密码提示,答案往往很容易被猜到。如果必须设置,建议用随机答案,并记录在密码管理器中。 | ||
可选 | 如果网站要求设置安全问题(如出生地、母亲姓名、第一辆车等),不要填写真实答案。 黑客很容易通过网络或社交工程获取这些信息。建议用虚构答案,并记录在密码管理器中。 | ||
可选 | 不要用4位数字PIN解锁手机或电脑,建议用文本密码或更长的PIN。 数字PIN很容易被破解(4位PIN只有1万种组合,4位字母数字码有740万种)。 | ||
可选 | 启用多因素认证时,优先选择基于应用的验证码或硬件令牌。短信容易被SIM卡劫持 或拦截,而且手机号的存储和用途也无法保证安全。 实际上,短信只有有信号时才能用,且速度较慢。如果网站强制要求短信恢复,建议专门买一张预付费卡只用于恢复。 | ||
高级 | 许多密码管理器也能生成2FA验证码。建议不要用主密码管理器同时做2FA认证器,否则一旦被攻破就是单点失效。 建议用专用的身份验证器应用。 | ||
高级 | 大多数手机和电脑都支持面部识别解锁,虽然方便,但有很多被破解的方法, 比如用照片或监控视频重建。你的脸在互联网上很容易被找到,而密码不会。 | ||
高级 | 硬件键盘记录器是一种插在键盘和USB口之间的物理设备, 能截获所有按键,有时还会远程上传数据。最好的防护方法是离开电脑后检查USB接口。 也有可能被植入键盘内部,注意外壳是否被撬动。虚拟键盘、剪贴板粘贴或密码管理器自动填写的数据不会被硬件记录器截获。 | ||
高级 | U2F/FIDO2安全密钥是一种USB(或NFC)设备,登录时插入以验证身份,替代手机验证码。 SoloKey和NitroKey是常见产品。 这种方式有很多安全优势,因为浏览器会直接与设备通信,并校验TLS证书,无法被伪造。 详细原理见这篇帖子。 物理密钥要妥善保管。部分账户支持多种2FA方式同时启用。 | ||
高级 | 为了更高安全性,可以使用加密的离线密码管理器,完全掌控数据。 KeePass是流行选择,有丰富的插件和社区分支。 常用客户端有:KeePassXC(桌面)、KeePassDX(安卓)、StrongBox(iOS)。 缺点是略微不便,需要自己备份和安全存储。 | ||
高级 | 每个账户用不同密码是第一步,如果还能用唯一的用户名、邮箱或手机号登录,将大大增加攻击难度。 邮箱可以用自动生成的别名实现匿名转发(如[anything]@yourdomain.com),每个账户用不同邮箱。 用户名也可以用密码管理器生成和保存。虚拟手机号可通过VOIP服务商生成。 |