选择退出：别再选择坏密码了

你不仅仅是一个数据点。选择退出功能可帮助你恢复隐私。

您的密码可能很糟糕，您需要让它们更强大。是的，我们知道没有什么比每次需要完成最微不足道的任务时都要花心思重新设置一个凭证更烦人的了，但它们是阻止黑客和其他恶意行为者侵入您的业务的最实用方法之一。

科技公司、记者和关注网络安全意识的组织多年来一直在强调安全密码的重要性。可悲的是，这似乎收效甚微。凭证管理器 NordPass 的 2022 年报告确实令人尴尬，将“password”、“123456”和“123456789”列为三个最常见的密码。如果你再往下看，情况也不会好到哪里去：“Password1”排名第 192 位。

值得注意的是，科技行业花了几十年时间想象一个没有密码的世界，一些公司已经提供了绕过或完全放弃这种身份验证的选项。但只要密码仍然是访问我们数据的主要方式，我们就需要提高自己的水平，妥善保护我们的信息和资金。

什么是强密码？为什么创建强密码如此困难？

为了尝试访问您的帐户，恶意第三方可能会尝试使用猜测攻击等方法。这种方法有几种变体，但它们的工作方式都类似：获取钥匙（已知的通用密码或在线泄露的个人凭据）并查看它能打开多少扇门。

[相关：政府机构为何不断遭受黑客攻击]

当然，攻击者追求的是效率，所以他们不会在某台笔记本电脑上手动输入。例如，他们会使用软件自动尝试常用密码字典中的每个条目，或者使用已知数据泄露的信息来尝试泄露的密码和/或其可能的迭代。这是因为人们没有像他们应该的那样定期更新密码（他们每年更新一两次，而不是建议的每三个月更新一次），而且当他们更新密码时，他们往往只会对已有的密码进行微小的更改。

这就是为什么强密码是独一无二的、很长的，并且包含标点符号、数字和大写字母等特殊字符。当我们说独特时，我们指的是你在字典里找不到的单词。普通或著名的名字也不行——密码越原创越好。密码的长度和特殊字符的使用都会增加它真正独一无二的可能性。这只是数学问题——你在凭证中使用的字符数量和种类越多，可能的组合就越多，它们就越难被猜到。

许多人都想出了自己的密码，使用歌曲、诗歌和电影中容易记住的短语来开发密码。一种经典方法是用数字代替字母（例如用 4 代替 A，用 0 代替 O），并交替使用大写和小写字母。如果您这样做，那么您走在正确的道路上，但实际上您需要使您的个人加密更加复杂，才能真正增加密码的安全性。我们不会告诉您我们如何加密我们的凭证，但您可以通过用其他字符替换字母来创建自己的书面语言或字母表。请记住，克林贡语是由完全胡言乱语构建的，因此天空才是极限。

当然，增加难度的代价是更高的认知负担。这意味着密码离你常用的单词或短语越远，你就越难记住。这虽然很复杂，但如果你考虑到普通人有大约 100 个在线账户，记住所有这些编码的唯一密码的可行性就变得微不足道了。

帮助我们帮助您

密码管理器。您认为这就是解决方案。从理论上讲，确实如此。这些独立应用程序、可下载扩展程序和内置浏览器实用程序具有三种主要功能：建议强密码、安全存储密码以及在您访问拥有帐户的网站时记住密码。

基本上，这些工具让我们可以将整个凭证问题从生活中转移出去，条件是我们记住一个好的主密码——或者持有另一种类型的身份验证密钥，例如指纹。而且它确实有效。根据您获得的密码管理器，您会发现一些功能，例如良好的设计、跨设备同步以及选择字段自动填充时间的能力。

但密码管理器并非完美无缺，它们方便易用的特点也使它们成为黑客极具吸引力的目标。毕竟，装着你所有网络安全鸡蛋的篮子是一笔大买卖：黑客可以破解一个账户并免费窃取你所有的凭证。NordPass、KeyPass、1Password 等公司已采取额外预防措施来保护其应用程序，包括持续注销和独特的一次性代码等功能，以防你无法访问你的账户。

[相关：如何开始使用密码管理器]

不过，有时这些措施还不够。2022 年 12 月，另一款流行的密码管理器 LastPass 报告了一起安全漏洞，其中包括用户的姓名、电话号码、电子邮件和账单信息。似乎这还不够令人担忧，该公司当时的危机管理也存在不足，它只是在两个多月后发布的一篇博客文章中披露了有关漏洞的详细信息以及客户应遵循的步骤。

除了漏洞之外，密码管理器中的某些功能通常不太安全。在 2020 年的一项审查中，田纳西大学诺克斯维尔分校用户实验室的研究人员将自动填充功能列为最令人担忧的功能之一。当密码管理器自动输入凭据而无需用户输入任何信息时，尤其如此。在跨站点脚本 (XSS) 攻击中，黑客会在网站代码中注入恶意脚本，以便在填写正确字段后立即窃取密码。研究作者 Sean Oesch 和 Scott Ruoti 解释说：“如果密码管理器在没有先提示用户的情况下自动填充密码，那么用户只需访问受感染的网站，密码就会被偷偷窃取。”

XSS 攻击成功的可能性取决于多种因素，例如站点是否使用安全连接（例如 HTTPS）。但最好选择需要用户交互才能自动填充或允许您手动禁用该功能的密码管理器。大多数基于浏览器的密码管理器在填写凭据之前不需要用户交互，但也有一些例外。Mozilla Firefox 默认会自动填充字段，但您可以通过单击主菜单（三行），转到设置、隐私和安全，然后向下滚动到登录名和密码来关闭此功能。到达那里后，取消选中自动填充登录名和密码旁边的框。更简单的解决方案是使用 Apple 的 Safari，它始终需要用户输入才能自动填充。如果您使用的是 PC 或不想切换浏览器，研究发现，流行的 1Password 应用程序的浏览器扩展也需要单击才能显示您的信息。

喝水、涂防晒霜并启用多因素身份验证

健康的习惯带来更好的生活，当涉及到您的在线生活时，使用多因素身份验证才是真正的自我保健。

这项功能现已无处不在，是一种额外的安全保护措施，即使拥有正确的凭据，也无法让虚拟窃贼访问您的帐户。这意味着，即使您的密码在互联网上泄露，如果没有额外的验证方式，例如直接发送到您手机的短信、应用生成的代码、另一台设备上的提示或指纹或面部等生物识别元素，人们也无法使用它们。

您使用哪种方法以及使用多少种方法取决于您希望您的帐户具有的安全级别以及哪种方法对您来说最实用。请记住，您启用的方法越多，访问您帐户的方法就越多。这不是特别安全，但如果您经常丢失手机或被锁定在帐户之外，这种方法可能很有意义。

[相关：如何继续在Twitter上免费使用双因素身份验证]

请记住，尽管大多数现代平台都提供某种多因素身份验证，但您不会每次都能找到每种类型。最常见的选项是通过短信发送的代码进行身份验证，其次是通过代码生成应用程序进行身份验证。它们本质上是相同的，但后一种方法使用互联网而不是电话网络来传递代码。值得注意的是，通过电磁频谱传播的短信可能会被拦截，据 Ruoti 称，美国电信公司在对用户进行身份验证时使用的低标准使得将某人的电话号码移植到 SIM 卡并在您的设备上接收他们的身份验证码成为可能。如果您对此感到担忧，您可以选择更复杂的替代方案，例如安全密钥。它们的工作原理与您的家用钥匙完全相同 - 只需在提示时将它们插入设备的 USB 端口即可。如果您想深入了解您的选择，我们有一份完整的指南专门帮助您选择最适合您的多因素身份验证方法。

但即使某些方法比其他方法更好，有一件事永远是正确的：任何多因素身份验证都比没有好。因此，如果你有手机，最好设置短信代码，以便在新设备尝试访问你的帐户时使用。只需确保禁用在锁定屏幕上预览消息内容的功能，否则有人可能会通过窃取你的手机来使用你的代码。在 Android 上，你可以前往“设置” 、 “通知” ，然后关闭“隐私”下的“敏感通知”来执行此操作。在 iOS 上，打开“设置” ，前往“通知” ，点击“显示预览” ，然后选择“从不” 。如果你想要查看 iPhone 上不太敏感的通知的预览，你可以关闭单个应用的预览。例如，如果你通过“信息”应用接收代码，请打开“设置” ，前往“通知” ，点击“信息” ，找到“显示预览” ，然后选择“从不” 。