迎接2022世界密码日：保持良好使用习惯、善用多因素认证与密码管理器

资料图（来自：Bitwarden）

业内知名开源密码器（US News & World Report 赋予 A 级评价）开发商 Bitwarden 首席执行官 Michael CranDELL 表示：

最重要的一点，是用户个人必须要有安全方面的意识。与此同时，他们可通过触手可得且免费的密码管理器等工具来更好地保护自己，以减轻跨多个站点的账号服务的强密码记忆负担。

该公司的第二次年度调查发现：

● 超八成（85%）美国人会在多个网站上使用重复的密码、且超半数受访者都纯靠记忆力来管理密码。

● 此外约六成（60%）美国人使用了长度 9~15 个字符的密码，不过出于安全方面的考量，Bitwarden 还是建议 14 位起步。

● 还有近 1/3（31%）受访者在过去 18 个月中经历过数据泄露，相比之下，全球平均仅为 1/4 左右（23%）。

作为参考，一些简单的预防措施，就在密码保护工作上起到很好的作用，尤其是避免使用名字、或生日等特征信息，来为多个账户重复设置相同的密码。

微软指出，15% 用户的密码灵感来自于他们的宠物。而且俗话说得好 —— 密码就像内衣，不该轻易与他人（其它服务）分享。

此外我们建议大家定期（比如每隔 60 天）修改一次密码，以降低数据泄露的风险。如果觉得这方面的工作太过劳心劳力，一款功能强大且值得信赖的密码管理器，就是一个不错的选择。

以 Bitwarden 为例，这项服务就使用了银行级的 AES-256 加密，来妥善保管用户的所有账密，且其受到单个长主密码的保护。

错误示例“宾果卡”（图自：Microsoft）

有趣的是，一些网络安全专家认为“密钥”（passphrase）比“密码”（password）更实在且易于记住。

前者可以是一串词汇，也能够包含数字与符号 —— 比如“Barking up the wrong tree”就可演变为“Bark1ngupthewr0ngtree！”。

不过在微软看来，最安全的密码，不如直接弃用密码 —— 而该公司的免密登录方案，就允许用户爽快地删除 Microsoft 账户的密码。

作为替代，该微软提供了 Microsoft Authenticator 验证器 App、Windows Hello 生物验证、安全密钥、或验证码等‘无密码’登录方式。

基于此，用户可安全、便捷地访问 Outlook 和 OneDrive 等内容，且有一段视频来简洁明了地介绍。

The passwordless future is here with Microsoft Security（via）

对于注重网购、网银、云存储安全的人们来说，还可借助“多因素认证”，来为账户添加一层额外的防御措施。

在常用的密码之外，多因素方案还会要求通过一次性的短信验证码、或指纹 / 面容等生物识别解决方案来作为额外的验证。

Bitwarden 指出，这一策略已经变得相当流行。79% 的美国受访者表示已在工作账户上启用，另有 77% 的个人账户在使用。

即使持卡人无需对未经其手的盗刷交易买单，支付商还是希望唤醒广大客户的主动风险规避意识 —— 尤其注意甄别短信验证码的使用场景、以及浏览器网址前是否带有 https 的安全超文本传输协议前缀。

Visa 副总裁兼全球反欺诈服务负责人 Michael Jabbara 补充道，一些简单技巧有助于您加强抵御网络犯罪分子的‘第一道防线’，例如多因素身份验证和订阅消费提醒（避免盗刷）。

另外在日常生活中，用户也得养成良好的网上冲浪习惯，包括不要点击可疑链接 / 邮件附件、或低价到离谱的促销广告，以免泄露密码或 PIN 码。

最后、但并非最不重要的一点，就是在设备上安装信誉良好的反病毒软件、并在安全性欠佳的公共网络环境中合理使用虚拟专用网软件。

前者能够将避免间谍、勒索、蠕虫、rootkit、木马等恶意软件尽力挡在门外，而后者有助于抵御复杂的中间人攻击等事件。

而且在企业、家庭网络环境中，也需注意及时更新无线路由器、打印机等物联网设备的操作系统和打上安全补丁。