最近發(fā)現(xiàn)身邊有些朋友好多網(wǎng)絡(luò)平臺賬戶都共用一個密碼，然后就遭遇了撞庫之類的攻擊手段。后果就是一天之內(nèi)多個收到多個平臺的異地登錄提示。作為一個程序員（沒用的臭寫代碼的），就來分享一下自己關(guān)于賬戶安全的經(jīng)驗。

先在文首列一下我的主要觀點（知道我每一條都在說什么就不必往下看了，恭喜你信息安全意識還不錯）：

• 首先要認識到平臺不會保存你的密碼，所以密碼設(shè)置的越復(fù)雜安全性就越高

• 可以在所有平臺采用同一種密碼規(guī)則，但千萬不要所有賬戶共用相同的密碼

• 注意密碼隔離，公網(wǎng)平臺和私網(wǎng)平臺通常安全性有顯著差別（不理解“公網(wǎng)”和“私網(wǎng)”的可以用互聯(lián)網(wǎng)和你的組織網(wǎng)絡(luò)類比）

• 盡量不要透露密碼或token

也希望網(wǎng)友們都能有一些基本的網(wǎng)絡(luò)安全常識，保護好自己的虛擬財產(chǎn)，以及避免被冒用身份做一些不好的事。

提高密碼復(fù)雜度

不要認為登錄時需要輸入密碼就意味著平臺已經(jīng)掌握了你的密碼。

我們?nèi)粘Ｄ軌蛴玫降钠脚_都有這樣的密碼安全措施：注冊賬戶時不需要保存你輸入的一串密碼，而是把密碼明文通過一系列運算得到的結(jié)果保存下來。登錄驗證時只需要把你輸入的密碼再運算一遍，和之前保存的結(jié)果對比即可知道密碼是不是正確。這個運算過程可以看做一個函數(shù)，但從它的“函數(shù)值”是一定無法逆運算出密碼明文的。

這里放一張 bcrypt 加密算法的圖來對比一下密碼明文，和平臺所保存的密文（根據(jù)密碼得出的運算結(jié)果）。上面是密碼明文，下面是相應(yīng)運算出的密碼密文。

既然平臺無法掌握你的密碼，那自然是密碼越復(fù)雜安全性就越高。請一定設(shè)置足夠復(fù)雜的密碼！雖然多數(shù)比較成熟的平臺會有設(shè)備鎖，但“使用復(fù)雜密碼”是賬戶安全方面唯一一個掌握在用戶手中的環(huán)節(jié)。

使用同一套密碼規(guī)則

我們可能都知道，如果所有賬戶都使用同樣的密碼，就很容易遭遇“撞庫”攻擊：正如，我如果知道您在 A 平臺使用密碼 123456，那么當然可以合理推斷您在 B,C,D……平臺的密碼都是 123456。如果這正好符合您的情況，豈不是早晚會中招？

所有賬戶密碼相同固然很方便記憶，但是會有很大的安全隱患。不過只要再進一步：如果我在公共密碼的基礎(chǔ)上加一截平臺之間不一樣的前綴呢？只要前綴簡短、方便記憶，再加上原來的公共密碼作為新密碼的一部分，就構(gòu)成了既方便管理，安全性又相對較高的密碼規(guī)則。

以我們熟知的公共社交平臺為例，大多數(shù)對密碼的要求是必須有數(shù)字、大小寫字母（和特殊符號），長短要求不一。還可能會強制要求特殊符號也要達到一定數(shù)量。根據(jù)上面的思路，就可以把密碼分成“前綴”、“后綴”和“主體”三部分。如圖所示：

根據(jù)你的使用習慣，“前綴”可以是固定的一套字母縮寫，能夠標示所屬平臺即可；“主體”是您需要記憶的一串公共密碼；如果“前綴”和“主體”部分不夠滿足密碼的長度、特殊符號等要求，利用“后綴”部分補充即可。

注意公私密碼隔離

除去公共平臺賬戶的安全性以外，私域賬戶的安全也需要格外關(guān)注。因為私網(wǎng)在賬戶安全性上相比公共平臺通常有顯著差別。這里的“私網(wǎng)平臺”可以指很多，包括但不限于您的校園郵箱、組織賬戶、較為小眾的論壇等……您一定聽說或見過通過釣魚郵件之類被竊取賬戶的事例。

可以根據(jù)平臺受眾規(guī)模、軟件用途、賬戶失竊造成的現(xiàn)實影響等標準對常用軟件和平臺分類，有助于判斷相應(yīng)賬戶應(yīng)該對應(yīng)到您的哪一套密碼規(guī)則。（設(shè)置公私兩套密碼規(guī)則可以是兼顧了安全性和便捷性的選擇）

市面上多數(shù)軟件/平臺都可以這樣歸類，比如：（插一句，有沒有注意到大多數(shù) APP 都有網(wǎng)貸功能？）

• 實時通訊軟件

• 網(wǎng)購平臺

• 公開交友/問答/內(nèi)容平臺

• 網(wǎng)銀 APP

• 校園網(wǎng)、公司賬戶、對公賬號……

• （其他不知名不正規(guī)低安全性的平臺，dddd……）

此外也要對“熟人作案”有一些提防，對一些能影響到現(xiàn)實利益的賬戶（比如你的研究生招生信息網(wǎng)、推免系統(tǒng)賬戶?。?，是不是要采用一套完全不同的密碼規(guī)則？與別人共用的賬戶，是不是要注意密碼不要透露額外的隱私信息（從你代練游戲賬戶的密碼能不能推算出你其他平臺的密碼）？

不要透露密碼或 Token

先科普一下，token 可以被看做一個有時效性的密碼。也就是說 token 除了是在一段時間內(nèi)有效之外，有著和密碼一樣的地位。除非你了解這樣做的后果，否則千萬不要對任何第三方軟件/平臺透露你的賬戶密碼或者 token。

如果看到這里你還不知道 token 是什么，那就不要隨便照著第三方軟件/平臺的指引，把自己的密碼/token發(fā)布出去！此類行為包括但不限于網(wǎng)易云、QQ音樂、B站等平臺代簽到，各種平臺刷級，游戲代練……

最后扯一句，其實經(jīng)常忘記密碼改密碼也沒什么，自己都不知道的就是最高機密了（bushi）