也许在未来,所谓的传承也只是一个账户一个密码的交接而已。
是时候大致梳理一下,在这个无时无刻不与网络连接的时代中,我们该如何去使用密码的问题了。
多维度保护
关于密码保护,比较好的方式是根据用途、重要程度以及日常使用场景进行区分,并有针对性地采用相互独立的账户体系和密码模型。
一方面,保障最为重要的服务能安然置身事外;
一方面,对于不同的重要性差异巨大的账户进行有效隔离,建立起一个数据屏障;
哪怕被泄露了密码,也只是一部分账户因此受到牵连和进行挽救,其它密码集合依旧能安全并且可靠地使用。
这里的策略是:建立一个多维度的账户体系。相当于创造出几个能够互不干扰的平行世界。
邮箱使用策略
目前的各类网络服务依旧是以邮箱 ID 为核心进行的。在未来漫长的历史时期也会延续这样的方式,因而这里以邮箱使用策略开头。
我们对于不同的服务以邮箱账户来分隔。
- 多账户
至少拥有三个不同类型的邮箱,每类邮箱使用的密码都不重复;
- 核心邮箱
- 注册每一个核心邮箱账户都配置独立(不同于其它核心服务)的最高强度密码;
- 只用最为安全的邮箱服务注册,Gmail,Outlook;
- 用于注册最重要的连接并授权各种其它服务的服务平台,Facebook、Twitter、Dropbox、GitHub、微信、Evernote 与支付工具等;
- 用于作为日常邮箱的安全辅助邮箱;
- 日常邮箱
- 用于注册国内外日常频繁使用的各类站点,比如 Instagram、Quora、豆瓣、微博、知乎、Steam 等平台;
- 工具类注册,Instapaper、Pocket、Workflowy、Telegram、IFTTT 等工具;
- 为同一服务(例如 Dropbox、Evernote 一些网盘服务或其它)注册多账户策略的道具;
- 普通邮箱
- 用于注册日常需要使用,但不重要、不频繁使用的各类服务;
- 购置、试玩不常用的工具时需要的注册;
- 为同一服务注册多账户策略的道具;
- 临时邮箱
- 相当于临时使用的道具;
- 注册国内外各大邮箱平台的额外邮箱账户,整理为常备列表;
- 论坛注册下载;
- 有邀请优惠时可用到
- 应付充当自家水军所需的各种注册服务…
| Type | Complexity |
|---|---|
| 核心邮箱 | 最高强度且分别创建的密码 |
| 日常邮箱 | 高强度,分组独立使用,尽量不出现前一类搭配的密码片段及组合模式 |
| 普通邮箱 | 高强度,分组使用,不使用前两类密码片段 |
| 临时邮箱 | 随意,不使用第一第二类邮箱的密码片段 |
核心邮箱,需要特别提及一下,如何完善保护机制。包括但不限于:
- 高强度(长且复杂)且单独创建(不在其它服务中使用)的独立密码;
- 完善个人信息,搭配辅助邮箱,便于密码找回;
- 安全设置,如有,则开启两步验证;
对于日常的账户注册和使用。嗯…这里需要的特质是:
- 理解前述多账户策略;
- 界定清晰(便于划分并采取不同应对)
- 归档明确(便于提取并及时使用)
- 资料完备(一个个人的密码表)
一些注意事项:
- 可以不注册就不注册;
- 可以用邮箱注册就不要用手机号;
- 注意使用不同邮箱注册不同类型服务的策略;
- 注意使用不同类型密码;
- 可以用虚构信息就用虚构;
- 可以不补全信息就不补全;
- 重要服务,有必要添加辅助邮箱和找回密码途径就尽量添加;
密码创建策略
我们先来了解一下密码的构成。
密码可能/可以的构成元素:
- Uppercase Letters 大写字母 A..Z
- Lowercase Letters 小写字母 a..z
- Numbers 数字 0..9
- Symbol 符号
~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ? /
密码不合适使用的内容/组合:
- 字符过少(8 位乃至更少);
- 单一/连续/重复的字母;
- 单一/连续/重复的数字;
- 单一/连续/重复的字符;
- 完整的英文单词/中文拼音;
- 用户名/真实姓名/其它真实信息的字母/拼音;
- 年份/生日/邮编等含有个人信息的数字;
- 尽量不使用 */!/#/@ 比较常见的特殊符号,尤其不要作为密码最后的部分使用;
进而,我们推导出一个相对合理的密码策略:
- 长密码
- 组合、组合
- 大小写字母、数字与特殊字符都用起来
- 混合搭配
- 常用字符 + 固定符号 + 变量 Ender_Expl0re_2Twitter Lily_Expl0re*2Face8ook 一类,不算最佳,但减少记忆负担又有效;
- 多模块编码 + 特殊符号连缀 3Key&Board@MyDesk
- 短语(歌词 格言 诗歌等)首字母缩写连结 jutouwangmingyue(举头望明月) → JTwmy
- 拼写变形或符号替代 Walkthreedogs → Wk3Dgs 一个来自 Apple 的例子:You will be welcomed → UW1llBvv3lc0meD;
- 有意义(便于记忆。尽量只自己知晓,只对自己存在意义);
- 不要长期重复使用同一密码;
- 不同服务不同账户,多维度匹配,多维度保护;
- 核心账户,如有可能不定期更换密码;
- 不在并非自己的设备上登录重要账户,如必须,用隐身窗口访问;
- 使用密码生成器生成高强度随机密码;
- 要记得住记得住记得住,或者,借助 1Password/LastPass 来创建、保存;
- 不要把密码表保存在别人接触得到的地方;
密码强度测试
创建了自己的新密码,来做一下密码强度的测试:
注意:可以使用模式类似但具体内容不同的密码进行检验。
记忆与存储方案
如果有必要保存密码方便取用,尽量不直接写下,而是进行编码后记录。
特制密码表。哪怕明文保存,别人看到一般也看不懂。所以,有必要对记录的密码表进行编码。
不对,在记录时记下的就是编码后的密码表。
编码思路(参考密码创建的思路),可用以下模式:
- 翻转
- 缩略
- 谐音
- 错误
保存途径:
- Dropbox 下文件格式保存。以自己记得住,但无法联想到「password」「密码」等词汇的文件名命名;
- 笔记本。类似 Evernote 或其它自己常用而安全性相对可靠,可随时自各平台访问的笔记工具中存储。
- 实体纸质笔记本
符合以下条件为佳:
- 保存安全度高;
- 如果是软件/应用,服务需注册账户,该账户本身密码强度就非常高且为独立密码(不曾在其它服务注册时使用过);
- 一定要记得住这个核心密码;
- 使用编码进行记录;
- 以能随时随地提取为佳;
- 更新密码表相对便捷;
- 以不依赖云端保存为佳;
地球不那么安全,心不要太大啦。
切记切记。