gojira.net
密码安全
我们都知道,密码当然是强度越强越好,比如我们可以同时使用「数字」、「小写字母」、「大写字母」、「标点符号」混合生成一个密码,字符尽可能不重复,密码尽可能无意义,同时密码长度尽可能的长一些,不能让他人很轻易的就可以猜测出来。
针对不同的帐号,我们也应该使用不同的密码,以防止某个站点被拖库,或者被撞库后,导致密码泄漏。
密码应当经常更换,不能等到帐号已经被盗的那一天再去申诉更改密码,等到那时候你的个人信息已经泄漏得差不多了,即使更改完密码也不可弥补了。
但是我们都知道,一个人的帐号数量会越来越多,同时做到上面的三点是十分困难的,很可能时不时就忘记了某个帐号的密码是什么,所以,我强烈推荐使用专业的密码管理工具管理密码,生成随机密码并安全存储,而不是靠大脑去记忆。
注意:请务必确定密码管理工具的可靠性,确保它不会收集密码数据,并且确定它的存储加密方式足够安全,并设置一个高强度的主密码。
开源且免费的KeePass对于大多数人来说,可能会是一个不错的选择。
如果你不信任任何一个密码管理工具,或者觉得把密码存储下来是一种很不安全的做法,那么你也可以选择使用大脑去记忆。但单纯的靠大脑去记忆,我们很难同时记住很多个不重复的高强度密码,所以,靠传统的记忆方法,密码强度就有可能会相应的降低一些。
这里我分享一个很实用的记忆密码的方式。
我们可以把网站的域名,在键盘上,向左偏移一个键位之后,作为密码的一部分。
比如,我有一个主密码,是123456,那么我在Google的密码就是123456-Fiifkw,我在V2EX的密码就是123456-C1WZ,这样,我们只需要记住一个主密码,并且主密码的强度高一些即可,更换密码的时候也只需要更换主密码。
当然,你也可以使用类似于花密这类非储存型的密码管理工具。
无论如何,请永远不要使用类似于「123456」、「111111」、「5201314」、「123123」、「woaini」、「147258」、「password」、「qwerty」这样子的密码。
此外,无论强度多么高的密码,都存在被破解的可能性。所以,给帐号启用两步验证,也是必不可少的。
这里强烈不推荐使用短信验证码作为两步验证。比如,你的Twitter绑定了国内的手机号码作为两步验证,那么你很有可能收不到Twitter发来的验证码短信(别问我为什么,说多了都是泪),同时也存在着短信验证码被伪基站截获的可能性。
这里所说的「密码安全」,当然不单单指「帐号密码」。给你的电脑、手机设置一个解锁密码,并且养成随手锁屏的好习惯,在很大程度上也可以保障你的个人隐私不会被他人窃取。
数据安全
我们的手机、电脑等设备里,存储了包括联系人、通话记录、短信、照片、浏览记录、工作文档等大量的隐私信息,这些信息一旦被曝光到互联网上,无异于我们在别人面前裸奔。
所以,我们应当在上网的同时,养成及时清理掉无用的历史记录,并对数据进行加密存储的好习惯。
同时记住:珍爱生命,远离毒瘤。对于一切不能确定安全性和可靠性的软件,我们都不应该运行它,如果确实需要使用,在虚拟机中运行可能是个最可行的方案。但请注意:测试运行未知软件的虚拟机,我们不应该安装虚拟机的增强工具(如VMware虚拟机中自带的VMware Tools等),以防止软件通过漏洞由虚拟机渗透至宿主机,继而获取到我们的隐私数据。
设备性能条件允许的话,我们可以将设备的硬盘进行全盘加密,同时设置一个高强度的解锁密码,这样基本可以满足绝大多数人对于数据加密的需求。
如果设备性能条件不能满足全盘加密的话,也一定要将关键的隐私数据单独进行加密,以防这些数据被他人轻易获取。
一般情况下,常见的操作系统已经内置了全盘加密方案,例如Windows的BitLocker、macOS的FileVault等;Android也可以在Settings的Security中,找到Encrypt phone的选项。
如果不希望进行全盘数据加密的话,可以考虑使用开源且免费的VeraCrypt对关键的数据单独进行加密。
其他
我在刚开始写这篇文章的时候,觉得这个标题的范围太广了,很多东西都能写,但是都比较零散,不知道怎么互相联系起来,所以,我单独写了「密码安全」和「数据安全」两个方面,其他的一些内容就全都堆在这里吧,想到什么就说什么。
尽可能不要安装和使用毒瘤应用,合理管理应用权限,不要给应用一些不必要的权限。
尽可能不要使用那些无密码的公共WiFi,如果一定要用的话,也应该挂个全局SS,加密转发一下数据流量。
杀软的话,尽可能不要使用一些国产的毒瘤(比如大数字),在很多情况下,免费的其实是最贵的。
尽可能使用独立的帐号密码进行登录,而不是使用QQ、微信、微博等帐号进行授权登录,因为,授权登录很可能会导致网站能够获取到你帐号内的隐私信息。
Apple ID这类很重要的帐号,一定不要使用不安全的邮箱进行注册。这里推荐使用Gmail进行注册。(点名批评网易邮箱,注册和登录页面竟然连HTTPS协议都不支持,前些阵子还被拖库,很大一部分Apple ID被盗导致iPhone等设备被锁、隐私信息被泄漏的案例,都是因为使用了网易邮箱作为Apple ID的主邮箱)
你有什么才的经验,请在下方留言。