《华尔街日报》：提升密码安全性的四个步骤

我最近进行了一次密码干预行动。

一位家人承认所有账户都使用同一个密码。另一位将登录凭证存储在iPhone通讯录中。这两种习惯都会让账户容易受到黑客攻击。我不得不介入。

根据非营利组织身份盗窃资源中心的报告，网络攻击比以往任何时候都更加普遍，尤其是针对金融和医疗服务的攻击。如今我们的生活大部分都存在于网络上——从银行业务到购物再到数十年的照片——保护账户免受犯罪分子侵害非常重要。

对我那些毫无防备的家人来说幸运的是，我一直在接收专业级别的网络安全建议。我为他们设置了密码管理器，更换了弱密码，开启了两步验证，并将设备密码从"1111"改为更长且不那么明显的组合。

最棒的是，这些更新不仅让他们的数字生活更安全，而且访问起来也更方便。如果你需要对家人——甚至自己——进行干预，请按照以下四个步骤操作。

第一步：设置密码管理器

如果你还没有密码管理器，前期需要做些工作。但这是第一步是有道理的，初始设置的麻烦会让生活更轻松。当你登录网站时，你的登录信息会自动出现。在应用程序和网站上创建新账户时，管理器会生成长且难以记忆的密码并为你保存。

我喜欢这些密码管理器，因为它们基于所谓的零知识架构：保护您账户的主密码并不存放在公司服务器上。黑客或公司员工都无法获取它。但同时，如果您丢失了主密码，公司也无法帮您恢复。

这意味着您需要想出一个强力的主密码——并且记住它。您可以使用Bitwarden提供的免费（且安全）在线工具测试密码强度。只要妥善保管，您可以将密码写在纸上。

使用密码管理器，您只需记住一个高强度主密码。通过Bitwarden的免费工具检查您的密码强度。选择密码管理器时，有免费和付费的第三方选项。免费版本足以满足基本密码生成和存储需求。付费密码管理器则提供安全文件存储、家庭账户共享等额外功能。

• 免费：Bitwarden支持跨浏览器和操作系统使用。如需家庭密码共享、紧急访问信任联系人等功能，可以每年10美元起付费升级。

• **付费：**我推荐1Password（个人版每月3美元，最多5个账户5美元），它在价格和功能间取得了良好平衡。许多人也喜欢Dashlane（个人版每月5美元，最多10个账户7.49美元），它包含用于私密浏览的VPN。两者都适合家庭使用。订阅后，您可以将共享账户（如Netflix）存放在共享"保险库"中，这些应用还能监控网络泄露的密码、社保号码等数据。

选定密码管理器后，请在所有移动设备上下载其应用。在电脑上安装密码管理器的浏览器扩展程序。在应用设置中启用面容或指纹认证（iPhone上为Face ID或Touch ID）以便快速访问。随后开启管理器的自动填充登录功能。

若觉得操作太复杂，可使用设备自带的免费密码管理器。但这类功能无法像第三方管理器那样跨浏览器和操作系统通用。iCloud钥匙串兼容iPhone、iPad、Mac版Safari及Windows电脑。谷歌密码管理器在安卓设备和桌面版Chrome上表现最佳，同时也支持iOS。

第二步：修改重复使用及已泄露的密码

多个网站使用相同密码意味着一旦某处数据遭入侵，所有账户都会暴露。上月基因检测公司23andMe报告称，黑客因密码重复使用入侵了约1.4万个账户——导致近690万人的信息泄露。

密码管理器能识别所有已泄露、重复使用及弱密码。1Password提供"瞭望塔"功能；Dashlane具备暗网监控；iCloud钥匙串会显示安全建议；谷歌则有密码安全检查。登录存在风险的账户时，请使用管理器为其创建并存储新的唯一密码。

借助1Password的Watchtower等功能，密码管理器能识别已泄露及弱密码。您还可以通过安全网站我被攻破了吗核查其他类型数据是否泄露。该网站由微软安全专家、总监特洛伊·亨特创建。输入邮箱地址后，网站会扫描公开数据泄露事件，列出泄露过用户名、密码、电话号码等信息的服务。

第三步：启用双重认证

正如门上加装插销，账户也需"第二重防护"。您可在主流服务的安全设置中开启此功能（若服务商尚未强制要求）。

最基础的第二重认证是短信验证码，但安全性欠佳。理论上，犯罪分子可通过运营商窃取您的电话号码来拦截验证码。

最极端的方案（或许也最安全）是使用名为安全密钥的物理加密狗，通过触碰手机或插入电脑验证。

折中选择是认证应用程序。它运用加密技术生成与账户绑定的时效性验证码。我推荐Twilio的Authy，因其支持多设备安装，设备丢失时可作为备用方案。谷歌验证器也不错。虽然仅限手机使用，但可关联谷歌账户作为备份。两款应用均为免费。

一种新型登录方式——通行密钥——将密码和双重认证便捷地结合在一起。虽然仍处于早期阶段，但您可以在谷歌、苹果或亚马逊账户的安全设置中尝试使用。

步骤4：保护您的设备

网络攻击者数量远超扒手，主要是因为他们能同时攻击多个目标。但窃取您手机及设备解锁密码的小偷可能造成严重破坏。我与同事乔安娜·斯特恩曾报道过多起此类盗窃案的受害者，他们因此损失了数千美元乃至整个数字生活。

首先，解锁密码可能让iPhone窃贼访问内置的iCloud钥匙串密码管理器，因此我认为使用第三方密码管理器更安全。即将在iOS 17.3中推出的设备失窃保护功能将为iCloud钥匙串增加一层防护。但您需在功能发布后手动启用，否则该功能不会生效。

这就是为什么您还需要确保iPhone或安卓设备的解锁密码绝对安全，尽可能使用数字与字母组合。此外，可考虑使用带隐私滤镜的屏幕保护膜。并为金融类应用设置额外保护PIN码，包括Venmo、Cash App、Coinbase和Robinhood。

如果手机被盗，请先在任何电脑上登录定位并锁定设备。然后开始更改高度敏感信息的密码，比如电子邮箱。若您使用密码管理器，这部分操作会轻松许多。

——欲获取更多《华尔街日报》科技分析、评测、建议及头条新闻，请订阅我们的每周通讯。

联系妮可·阮请致信：[email protected]

本文发表于2024年1月8日印刷版，原标题为《防范网络攻击，确保密码安全》。