虽然世界上充斥着各种莫名其妙的节日(比如“罐头节”这种冷门日子),但“世界密码日”可是获得PCWorld团队全力支持的正经节日。我们都坚决反对使用弱密码——尤其是当提升安全性只需举手之劳时。
遵循以下四个简单建议,未来你会感谢现在的自己。不仅能有效防范数据泄露和黑客攻击,还能摆脱记忆一堆用户名密码的烦恼。特别是如果你选择比密码更简单的新型账户保护方式,效果会更显著。
请相信,自我保护刻不容缓。如今数据泄露已成常态,而根据Bitwarden2024年调查显示,令人担忧的是仍有大量用户重复使用密码(美国31%的用户在11-20+个网站使用相同密码)。还有许多人使用非常简单的PIN码。在数据泄露频发的当下,黑客能轻易破解弱密码以及你可能用作密码的个人信息——后者在美国用户中占比高达42%。这实在太危险了。
获取密码管理器
密码管理器让账户安全变得轻而易举。你只需记住一个高强度主密码,就能保护几乎所有其他登录信息。(这里教你如何设置优质主密码)
选择适合自己的密码管理器并不困难——虽然对其存有疑虑很正常,但市场上有丰富选择。想要与手机或浏览器无缝衔接?谷歌、苹果和火狐自带的密码管理器基础但可靠。反感密码存储在云端?可以尝试KeePass或其衍生版本。需要支持YubiKey等高级双因素认证?多数付费服务都包含此功能。现代密码管理器还普遍支持通行密钥(passkey)——这种更简单却更安全的账户保护方式。
付费并非必须,我们的最佳付费密码管理器和最佳免费密码管理器榜单可供参考。付费功能确实实用(特别是多设备同步或家庭共享场景),但对普通用户并非刚需。不过我们首推的Dashlane年度套餐仅需239.91元人民币(33美元)(月均20.03元人民币),其流畅体验绝对物超所值。
别担心试用不满意,密码数据库的导入导出非常简单。
为每个账户设置高强度独立密码
即使是记忆模糊的冷门网站,也该使用高强度独立密码。任何残留的个人信息(或存储的信用卡等财务信息)都可能因账户被盗用引发后续麻烦。
传统方式下,为每个网站记忆随机密码简直是噩梦——毕竟现在处处都要登录。但有了密码管理器(想必你已经安装好了),这个负担就不复存在。只要安装浏览器插件或手机应用,就能让它自动生成密码(安全专家目前建议采用24位包含数字、字母和特殊字符的随机组合;需要手动输入的场合也可改用等长密语)。妙处在于,既然无需记忆,再复杂的密码串也不再困扰。
想进一步提升安全性?还可以使用随机用户名。让密码管理器记录“随机网友13960”“关节痛4582”“披萨昏迷2259”等各不相同的ID。必须用邮箱登录?Gmail等服务支持通过添加加号(+)创建别名,例如“邮箱地址+喜欢读书@gmail.com”来区分不同网站。更彻底的方案是直接使用匿名邮箱面具。
启用双因素认证
不得不承认,单靠强密码已不足以应对当前威胁。数据泄露和钓鱼攻击防不胜防。
双因素认证为登录流程增加保护层,输入密码后还需通过二次验证(详见我们关于2FA工作原理的解析)。和密码管理器一样,现代2FA应用(如Authy、Aegis、Ravio)既便捷又支持生物识别等防护措施。
虽然建议尽可能多地启用2FA,但至少要为邮箱和金融服务等关键账户开启——这些地方一旦失守后果严重。亚马逊、社交媒体、Steam和工作账户同样值得保护,它们储存的信息常被用于社会工程攻击。
对于不支持2FA的网站(遗憾地说包括大量电商平台),避免存储信用卡和地址信息能降低潜在损失。
使用通行密钥
这种新型认证方式自去年开始普及,来得正是时候。通行密钥(passkey)既简化操作又提供更强安全保障——在网络安全日益复杂的当下,这种体验升级堪称及时雨。
只需用手机、平板或PC作为认证设备,生成通行密钥时会绑定账户。之后登录时会弹出认证提示,通过面部识别、指纹或PIN码即可确认。其精妙之处在于采用非对称加密,即使网站数据泄露,黑客也无法通过加密登录数据反推你的密钥——解密的另一半拼图只存在于你的设备中,且与网站存储的数据类型完全不同。
虽然目前用密码管理器存储通行密钥安全性略低于物理设备,但仍是可行方案(谷歌账户通行密钥支持文档有详细说明)。优秀网站会同时支持密码和通行密钥——因此你可以保留“密码+2FA”作为备用登录方式(防止丢失绑定设备),同时享受日常使用通行密钥的便利。
更进一步的安全措施
配置好密码管理器和双因素认证后还想继续升级?深入了解密码管理器功能能让使用更得心应手。安装配套手机应用和浏览器插件只是开始(参见我们的密码管理器高效使用指南),还可以尝试5个快速提升安全性的小技巧。如果你已实践本文建议,安全水平其实早已超越大多数人!
编者注:本文最初发布于2024年世界密码日,但2025年我们依然推荐这些实用建议!
