提高密码安全性的四个步骤 - 华尔街日报

我最近进行了一次密码干预。

一个家庭成员承认在每个账户上使用相同的密码。另一个将登录凭据存储在iPhone通讯录中。这两种习惯都会使账户容易受到黑客的攻击。我不得不介入。

网络攻击比以往任何时候都更普遍，尤其是针对金融和医疗保健服务，根据非营利性的身份盗窃资源中心。现在我们的生活大部分存在于网上——从银行业务到购物再到几十年的照片——重要的是要保护你的账户免受犯罪分子的侵害。

幸运的是，对于我那些无防备的家庭成员来说，多年来我一直在接受专业级网络安全建议。我为他们设置了一个密码管理器，更换了他们的弱密码，启用了双因素认证，并将他们的设备密码从“1111”改成了更长且不那么明显的密码。

最棒的是，这些更新使他们的数字生活更安全也更方便访问。如果你需要对家庭成员——甚至是对自己——进行干预，请使用这四个步骤。

步骤1：设置密码管理器

如果你还没有密码管理器，那么一开始会有些麻烦。但这是第一步，最初的设置痛苦将使生活更轻松。当你登录网站时，你的登录信息将自动出现。在应用程序和网站上创建新账户时，你的管理器将生成长且不可能记住的密码并为你保存。

我喜欢这些管理器，因为它们建立在所谓的零知识架构上：保护您账户的主密码不存储在公司服务器上。没有黑客或公司员工能够获取它。但是，如果您丢失了它，公司也无法恢复它。

这意味着您必须想出一个好的主密码，并且记住它。您可以使用Bitwarden的免费（且安全）在线检查器测试其强度。如果您将其存放在安全的地方，可以将其写在纸上。

使用密码管理器，您只需要记住一个强大的主密码。使用Bitwarden的免费工具检查您的密码。在选择密码管理器时，有免费和付费的第三方选项。免费的选项对于基本的密码生成和存储是足够的。付费的密码管理器包括安全的文档存储、家庭账户共享和其他福利。

• 免费：Bitwarden 可在不同的浏览器和操作系统上使用。如果您想要额外的功能，比如家庭密码共享和紧急访问的受信任联系人，您可以选择升级，起价为每年10美元。

• **付费：**我推荐1Password（个人每月3美元，最多5个账户每月5美元）因为其价格和功能的平衡。许多人也喜欢Dashlane（个人每月5美元，最多10个账户每月7.49美元），其中包括VPN用于私人互联网浏览。这两者都非常适合家庭使用。通过订阅，您可以将共享账户（例如Netflix）存放在共享的“保险库”中，这些应用还可以监视网络以查找暴露的密码、社保号码和其他数据。

一旦你选择了密码管理器，就在你拥有的每台移动设备上下载其应用程序。在你的电脑上，安装密码管理器的浏览器扩展程序。在应用程序设置中，启用面部或指纹身份验证（在iPhone上，即Face ID或Touch ID）以便更容易访问。然后，启用管理器自动填充登录信息。

如果这听起来太复杂，你可以使用设备内置的免费密码管理器。但是这样的功能并不像第三方管理器那样在所有浏览器和操作系统上通用。iCloud 钥匙串兼容iPhone、iPad、Mac 上的 Safari 和Windows 计算机。Google 密码管理器在Android 设备和桌面版 Chrome 上效果最佳，尽管它也支持iOS。

步骤 2：更改重复使用和已泄露的密码

在许多网站上使用相同的密码意味着一个网站的数据泄露会使你在其他所有网站上都受到影响。上个月，基因测试公司23andMe报告称，黑客访问了约 14,000 个账户，因为密码被重复使用，这导致了大约 690 万人的信息被泄露。

密码管理器可以识别所有你的已泄露、重复使用和弱密码。1Password 提供了一个名为Watchtower的功能；Dashlane 进行暗网监控；iCloud 钥匙串显示安全建议；而 Google 则有一个密码检查。当你登录有问题的账户时，使用管理器为它们创建并存储新的独特密码。

具有1Password的Watchtower等功能，密码管理器可以识别受损和弱密码。您还可以检查安全网站 Have I Been Pwned 以查看其他类型的数据是否已经受到损害。该网站由Troy Hunt创建，他是一位安全专业人士，也是 Microsoft 的主管。输入您的电子邮件地址，该网站将搜索公开可用的数据泄露。它将列出泄露任何用户名、密码、电话号码等的服务。

第三步：添加双因素认证

就像您的门上有一把死锁一样，您的账户也需要“第二因素”。您可以在安全设置中为 主要服务 打开此功能——如果它们还没有要求您这样做的话。

最基本的第二因素是带有代码的短信，但效果并不好。从技术上讲，一个真正想要获取您的账户的犯罪分子 可以从您的运营商那里窃取您的电话号码 并重定向这些代码。

一个极端的选择——但也许是最安全的选择——是一种名为 安全密钥 的物理式加密狗，您可以在手机上轻触或插入计算机中。

最合适的选择是认证应用。它会生成与您的账户相关联的基于时间的代码，利用密码学的技巧。我喜欢 Twilio’s Authy，因为您可以在 多个设备 上下载它，这是一个很好的备份计划，如果您丢失了一个设备。 Google Authenticator 是另一个选择。它只存在于您的手机上，但您可以将其连接到您的Google账户作为备份。两者都是免费的。

一种新的登录方式——通行证——将密码和双因素认证以一种便利的方式结合在一起。它仍处于早期阶段，但你可以在你的Google、Apple或Amazon账户的安全设置中尝试它。

第四步：保护你的设备

网络攻击者比扒手多，主要是因为他们可以同时尝试黑客攻击许多受害者。但是一个偷走你的手机和你的设备密码的小偷可以造成很大的损失。我的同事乔安娜·斯特恩和我报道了许多受害者遭受了这种盗窃，他们因此损失了成千上万美元——以及他们的数字生活。

首先，设备密码可以帮助iPhone小偷访问内置的iCloud钥匙串密码管理器，这就是为什么我认为使用第三方管理器更安全。一个名为被盗设备保护的iPhone功能，预计将在iOS 17.3中很快到来，为iCloud钥匙串增加了一层安全性。但是当它到来时，你必须打开它，否则它什么也做不了。

这就是为什么你还需要确保你的iPhone或Android设备上的密码是非常安全的，最好是包含数字和字母。此外，考虑使用带有隐私过滤器的屏幕保护膜。为金融应用添加保护性PIN码，包括Venmo、Cash App、Coinbase和Robinhood。

如果你的手机被盗，首先在任何电脑上登录查找并锁定手机。然后开始更改你的额外敏感信息的密码，比如邮箱。如果你使用密码管理器，这部分会很容易。

—获取更多WSJ科技分析、评论、建议和头条新闻，请订阅我们的每周简讯。

请写信给Nicole Nguyen，邮箱地址为[email protected]

本文发表于2024年1月8日的印刷版上，标题为“预防网络攻击，让你的密码更安全”。