我在 Excel 电子表格中列出了一些我使用的网站的密码(其中没有宏或任何东西)。我读过很多地方(在线和离线)说“记住你的密码或把它写在安全的地方”,但其他人说“永远不要写下密码!”。安全领域是否一致认为这是可以接受的做法?
作为共识的一个例子,我知道“不要使用管理员帐户执行非管理任务”这一建议几乎是普遍给出/接受的。在这个问题上是否有类似程度的共识?
编辑:
需要澄清的是,我专门寻找该领域商定的“最佳实践” - 如果有的话 - 因为使用密码的各个网站和来源给出的建议相互冲突。
答案1
密码的核心思想已被打破。(我知道这有点离题,但请耐心听我说完。)当分析机器被开发出来时,它还没有成为一种想法,而输错密码至少意味着你会被踢出局。在开发 unix 的时候,人们已经知道密码存在一些弱点,但由于有物理访问控制(门锁),大多数人并不担心。网络改变了一切,只是需要一段时间才能意识到这一点。物理访问控制不再有效,对访问控制的需求不断增长。工程学通过观察计算机猜测密码的速度和我们能记住多少密码,暂时阻止了这种情况的发生。这些计算被计算速度的进步所拉伸和打破。如今,可能安全的最小密码比我们能记住的要长。而且,每个与你共享密码的人都会削弱它的安全性。为了使密码起作用,你必须至少与需要身份验证的服务共享它,因此对多个服务使用相同的密码会进一步削弱密码,而对不同的服务使用不同的密码会给你的记忆带来压力。
那么你该怎么做呢?在非密码验证成为一种选择之前,这是当前最好的策略(但已知存在弱点):
对每个生成的服务使用不同的密码,无需尝试设置您能记住的密码。
将每个密码记录在安全的地方。
密码管理工具会对此有所帮助,我建议使用它来设置低安全性和中等安全性的密码。对于高安全性密码和密码管理工具的密码,我会将密码写在一张纸上(不是便笺簿),放在不会留下书写痕迹的硬表面上,然后将其放在锁箱或保险箱中。
这不是一个完美的解决方案。
答案2
用常识思考一下这个问题。
- 如果你将要写下您的密码 - 除非将其存储在真正安全的环境中,否则其他人就可以找到并读取它;
- 如果你将不会写下您的密码——别人不可能找到它并从纸上读到它。
此外,不同账户的密码必须区别对待。银行账户的密码应比非关键信息(例如在线游戏)的密码更加安全(或至少安全)。
密码本身是无用的。数据和账户由密码保护——这些才是应该付出多少努力才能防止任何人发现密码的标准。
例如 - 我不介意在我的公寓的 WI-Fi 接入点上写下我的密码 - 因为我没意见如果和我住在一起的人知道这个密码。
但我不会用我的电子邮件密码来做这件事——因为我不太同意除了我之外的任何人都无法访问它。
编辑:
除此之外,这里可以应用的一般规则是:
每次您输入或写下密码时(无论是登录过程还是写下密码),您的密码安全性都会降低,因为密码已经从您的脑海中消失,现在以书面形式存在,可以通过嗅探网络流量读取或获取。如果您每天通过网络登录 70 次,黑客将有更多机会嗅探您的密码。如果您每月登录一次,他们获得密码的机会就更少了。
写下密码也是一样。每次写下密码,它的安全性就会降低,因为现在它也存在于你的脑海之外。