搜索

2009年8月23日星期日

如何设置密码

别误会,我不是想介绍如何创建一个“高强度”密码,那已
经被很多人写过很多次了。我感兴趣的是,在目前这样一个不得不拥有繁多“账号/密码”的互联网世界,我们如何创建一个安全的账号/密码体系。

肯定很多人还是被我搞糊涂了……

如果你为一个网站创建了一组“账户/密码”,代号A吧,为了方便叙述;我们当然不会只用一个网站,所以我们又创建了另一组“账户/密码”,代号B,假如;以此类推,我们会有C、D、E、F……(我实在不认为24个字母是够用的)。

很多安全教科书肯定会告诉你——不要为所有网站建立同样的密码——那么他们主张我们有多少个网站就有多少组不同的“帐户/密码”组合吗?

很多专家说,“是的”。

很好,我不相信这些专家自己有那么多“账户/密码”——他们都是老头子,记性不会比你我更好。

反正,我是记不了那么多账户密码的。

嗯,来聊一下典型的方式吧——我们会把所有网站的密码都设成一样的。这样做的危害来源于一个简单的事实:

A网站肯定知道你的A账号密码组合;B网站也一样;C、D、E……他们都一样。

假如A网站有一个网络管理员打算试试运气的话,他可以用你在A网站建立的账户/密码在B、C、D……试试运气——通常,是成功的。

我们能信任这些家伙不做类似的尝试吗?例如我们使用100个网站,那么只要有1%的管理员打算这么干,事实上我们的所有网站必然是不安全的——别忘了大多数网站不单单只有一个管理员……

他们都宣称他们会遵守隐私条款,可是他们实际上会吗?

----------------------------------------------

回到我们最初的问题,如何建立一个安全的“账户/密码”体系——我相信你这会儿肯定是能明白这个表述方式了。

在“每个账户都不一样”与“每个账户都一样”之间,我们还有第三条选择:级别。

根据自己的经验(或者别的什么专家),把我们的账户做一下分类:
  1. 不安全的网站(个人博客、新成立的社区……);
  2. 安全的网站(大公司、大型机构、商誉卓著的别的什么东西);
  3. 涉及财经类的(购物、付费账户……)
  4. 银行级
好了,每个类分别设置一个独立的“账户/密码”,在该级别的网站可以共享这个组合,但是绝对不要越级使用。

你会发现,或者你不会发现(这更好),你的安全性提高了一个层次。

祝您好运……在安全领域,我们只能说,这是一种安全的可能性……

没有评论:

发表评论