Skip to main content
Surveillance
Self-Defense

< Basics

创建安全性强的密码

最后更新: August 18, 2023

This page was translated from English. The English version may be more up-to-date.

重复使用密码是一种危险的安全行为。如果有人掌握了你的密码(无论是数据泄露还是其他原因),他们往往可以访问你使用相同密码的任何其他账户。解决方法是在任何地方都使用唯一的密码,并尽可能采取额外措施确保账户安全。

使用密码管理器创建安全性强的密码 anchor link

密码管理器是一种创建和存储唯一密码的工具,这样我们就可以在不同的网站和服务上使用不同的密码,而且无需记住它们。密码管理器可以:

  • 生成人类不太可能猜到的安全性强的密码。
  • 安全存储多个密码(以及安全问题的答案)。          
  • 用一个主密码(或口令)保护你的所有密码。
  • 同步不同设备的密码,实现在任何地方访问这些复杂的密码。
               

选择合适的密码管理器可能需要一些研究,我们的指南将为你提供帮助。

密码管理器可能并不适合所有人,但一个好的密码管理器会尽力减少潜在的安全问题。我们要记住:

  • 使用密码管理器会造成单点故障。
  • 密码管理器会成为对手的明显攻击目标。     

因此,你要有一个强大的主密码,并尽可能启用双因素认证。但是,如果有强大的对手(如政府)盯上了你,就必须谨慎选择合适的密码管理器,并将其设置为最高安全性。

对有些人来说,低技术含量的解决方案可能比密码管理器更好。这取决于你面临的威胁模型,但每个网站使用不同的密码、将它们写在一张纸上并保存在一个安全的地方,总比在每个网站上重复使用一个密码要好。

使用骰子创建安全性强的密码 anchor link

你应该记住几个需要安全性特别强的密码。包括:

  • 设备的密码
  • 加密密码(例如全盘加密)
  • 用于密码管理器的主密码(或者“口令”)
  • 电子邮件的密码

人们在自己选择密码时会遇到很多困难,其中之一就是人们并不擅长做出随机的、不可预测的选择。要创建一个安全性强而且能记住的密码,有一个有效方法是使用骰子单词表来随机选择单词。这些单词组成了你的“口令”。 “口令”是指一种较长的密码,可提高安全性。对于磁盘加密和密码管理器,我们建议至少选择六个单词。

为什么至少用六个单词?为什么使用骰子随机选择短语中的单词? 密码越长、越随机,计算机和人类就越难猜到。要了解为什么需要如此长且难以猜测的密码,请观看视频讲解

密码管理器会为你制作安全性强的口令,但如果你想尝试模拟版本来了解它是如何工作的,你可以使用 EFF 的标准单词表之一,或受粉圈启发的单词表

如果你的电脑或设备被入侵并安装了间谍软件,间谍软件就会监视你输入主密码,并可能窃取密码管理器中的内容。因此,在使用密码管理器时,保持电脑和其他设备没有恶意软件仍然非常重要。

关于“安全问题”的建议 anchor link

警惕一些网站用来确认你的身份的“安全问题”。这些问题的真实答案往往是可以从公开渠道找到的事实,锲而不舍的对手可以轻易找到答案,然后直接绕过你的密码。

相反,你可以用只有自己知道的虚构答案。例如,如果安全问题是:

“你的第一只宠物叫什么名字?”

你的答案可以是密码管理器生成的随机密码。你可以将这些虚构答案存储在密码管理器中。

想想你使用过安全问题的网站,考虑更改答案。切勿在不同网站或服务的多个账户中使用相同的密码或安全问题答案。

多因素认证和一次性密码 anchor link

安全性强的唯一密码能大大加强账户安全。为进一步保护你的账户,请尽可能启用双因素认证。

有些服务提供双因素认证(也称为 2FA、多因素认证或两步验证),要求你拥有两个组成部分(一个密码和一个第二因素)才能访问你的账户。第二因素可以是一次性的暗码,也可以是移动设备上运行的应用程序生成的数字。

使用手机进行双因素认证有两种方式:

  • 手机可以运行一个可生成验证码的身份验证程序(大多数密码管理器都能做到这一点,或者也可以使用一个独立的应用程序,如 Authy),或者也可以使用一个独立的硬件设备(如 YubiKey)。
  • 该服务可向你发送短信或电子邮件,其中包含每次登录时需要输入的额外验证码。

如果可以选择,请选择身份验证程序或独立硬件设备,而不是通过短信接收验证码。对攻击者来说,将这些验证码重定向到自己的手机比绕过验证器更容易。

谷歌等一些服务也会生成一次性密码列表。可以将这些密码打印出来或写在纸上随身携带。每个密码只能使用一次,因此如果在输入密码时被间谍软件窃取,该密码也已经不再有用。

比一次性密码更有用的是验证码备份。许多身份验证程序都提供可选的备份功能,将验证码存储在第三方服务器上。这样,如果你手机丢了,你可以恢复备份,无需查找一次性密码就能轻松进入账户。

如果你没有备份,也没有保存一次性密码,就可能永远无法访问你的账户。与密码管理器一样,这也需要权衡安全性,有些人可能不想备份令牌。请查阅相关应用程序的文档,确保备份是端到端加密的。如果从来没有要求你为备份创建密码,那就很有可能不是。

有时你可能需要公开密码 anchor link

关于披露密码的法律因地而异。在某些司法管辖区,你可以依法对索取密码的要求提出质疑,而在另一些司法管辖区,当地法律允许政府要求披露密码,甚至怀疑你可能知道密码或密钥就能将你监禁。甚至可以使用人身伤害威胁来迫使一个人交出密码。或者,你可能会发现自己处于这样一种境地,比如在跨境旅行时,如果你拒绝交出密码或解锁设备,当局就会拖延你的行程或扣押你的设备。

我们另有一份穿越美国边境指南,就如何应对往返美国途中的设备访问请求提供建议。在其他情况下,请考虑别人会如何强迫你或其他人交出你的密码,以及会有什么后果。