作者：无国界记者（Reporters sans frontières）
编译：CD, CP

原文链接

图片来源

社交网络，电子邮件，云服务，还有其他工具：记者要完成工作，就必须使用许多不同的服务；而这些服务可能需要处理许多保密信息。因此，帐户的凭证是记者必须保护的最有价值的东西。

记者须采取三种基本措施，来有效地保护自己的帐户：

• 每个账户使用不同的强密码（strong passwords）.
• 为每个帐户启用双重身份验证（Two-Factor-Authentication）。
• 定期学习和训练如何分辨网络钓鱼攻击（phishing）。

密码和密码管理

您需要了解，关于密码最重要是：

• 每个密码只用于一项服务；
• 每个密码要足够强，足以应对密码破解的尝试。

记住一个或几个强密码（定义请参阅下文）是很难的。因此，我们强烈建议您使用密码管理器记录密码，并使用随机生成的密码或密码口令保护它。

“chenmei huijia women caiwei zaori dengni”这样的“密码口令”（passphrase）和“hctmenzqrefaacbmhhpe”这样的随机密码安全程度相似，但前者更好记。

译注：原文举例的密码口令为encircle approve candy glorifier unknowing cross，中文可以使用拼音词语代替单词。理想的口令应为多个随机词语的组合，译者举例使用的词语并非完全随机，请勿模仿。

不用担心，密码口令比您想象的更容易记住！电子前沿基金会（Electronic Frontier Foundation, EFF）提供了如何创建安全密码口令的指南，建议您遵循。您应该选择一个至少包含六个词的密码。如果您面对的是政府或军方这样的国家级别的对手（state-level adversay），则应选择一个包含七个词的密码。

您也不必立即记住自己的密码口令。如果您可以找到一个安全的地方，则可以将其写在纸上。注意写密码时要将纸放在硬桌上，以避免留下痕迹。一旦确定您已经记住了密码，请以安全的方式销毁本文。例如，烧毁并将纸灰清理干净。

如果您尚未使用密码管理器，建议您采取以下步骤：

1. 安装一个程序开源的密码管理器；
2. 创建一个随机密码口令，并将其写在一张纸上；
3. 在密码管理器中输入您的帐户信息和站点密码；
4. 备份密码数据库。

一段时间后: 销毁写有密码口令的纸张。

密码管理器详情

密码管理器是为您存储密码的软件工具。您的密码将被加密并存储在设备上的密码数据库中。加密密钥由单独的密码（或密码口令）生成，这个密码（或密码口令）不会被存储，因此您必须牢牢记住。当有人拿走您的设备时，他们需要您的密码口令才能访问您的账号密码数据库。

在讨论密码管理器时，用于加密密码数据库的密码（或密码口令）称为主密码（master password），而数据库中的密码称为站点密码（site-passwords）。

尽管密码管理器很有用，在开始使用之前，您需要牢记以下几点：

• 你必须练习如何定期备份密码管理器的数据库。
• 当攻击者拿走您的设备时，他们可能也会迫使您告诉他们您的主密码。

在旅行中使用密码:

在旅途中，最好的做法是只携带真正需要的密码。一些商业密码管理器为此提供了一个特殊的 “旅行模式”，但你可以使用任何免费的密码管理器，并手动创建第二个密码数据库。

一些免费和开源的密码管理系统有 KeePassXC、Bitwarden 和 Password Safe。

何时不要使用密码管理器:

如果您怀疑您的设备感染了恶意软件或记录击键的程序，则不应使用密码管理器。

有关“无状态密码管理器”（state-less password manager）的警告：

有些密码管理器不需要数据库。它们有时被称为无状态密码管理器，有时被称为密码生成器。它们不使用密码数据库，而是根据主密码来计算站点密码。

虽然理论上，无状态密码管理器可以安全地使用，但你应该只在清楚地知道自己在做什么的情况下才使用它们。一般来说，我们不建议使用无状态密码管理器。

有一个开源的无状态密码管理器是LessPass。

关于在线密码管理器的注意事项:

在线密码管理器将密码数据库加密存储在云端。您通常必须为此创建一个账户。当登录时，您的登录密码或口令将用于解密相应的密码数据库。

在线密码管理器有三大好处：

• 您只需要一个网络浏览器，无需在电脑上安装额外的软件。
• 您的密码数据库不会存储在设备上，带走您的设备并不能得到密码数据库。
• 提供密码管理器的公司可以对登录尝试进行频率限制，从而减缓破解密码的速度。

不过，根据您的具体情况，好处也可能变成坏处。如果提供密码管理器的公司与您所在国/地区的政府合作，它们可能会直接交出您的密码数据库。它们也可以在您登录时捕获您的主密码，并把它也上交政府。您也容易受到网络钓鱼攻击（译者注：如伪装成密码管理器网站的钓鱼网站）；一次成功的网络钓鱼攻击会一次性暴露您所有的密码。

开源的在线密码管理器有 Clipperz 和 Passbolt 等。

有关安全密码的详细信息

只有当密码足够难猜时，它才足够强大。不幸的是，这样一个强密码：

• 必须由计算机随机生成；
• 应至少有13个字符长；
• 应包含小写字母、大写字母以及数字。

关于最后一点，当——或者说只有当——你的密码为随机生成时，密码中是否含有数字和大写字母影响不大。下表显示了安全的密码长度，包括达到普通安全级别的长度，和面对国家级对手时需要的长度。请注意，只有在密码是随机生成的情况下，这些长度才是安全的。

技术细节: 我们认为一个安全为普通级别的密码至少需要75比特的熵（entropy）；而面对国家级对手时，需要90比特才安全。考虑英文字母a-z这26个字符，以及A-Z的26个字符，还有0-9的10个数字。从所有小写字母中均匀抽样，随机选取一个字符，其熵约为4.7比特；因此，长度为16的小写字母组成的密码的熵为16 * log2(26) ，约为75.2位。（译者注：log2(26) ≈

4.7）

当然，这种计算方法只适用于由计算机随机生成的密码。例如，一个长度为13的密码，如果是人生成的，很可能并不安全。

双因素认证（Two factor authentication）

双因素认证(2FA)是指除了密码之外，您还需要第二个凭证来登录账户。这个功能很强大，因为即使对手拿到了您的密码，也无法直接登录。无国界记者建议大家在所有提供2FA的账户上使用2FA! 这包括大多数流行的服务，如谷歌、脸书、Slack和推特。

将2FA与密码管理器一起使用，可以实现非常高的安全性。在不同的设备上使用这两者时，安全性更高：例如，您可以在智能手机上使用代码生成器（code generator）app进行2FA，并在电脑上使用密码管理器。

使用电话号码的2FA

用户必须事先提供一个手机号码来启用2FA。每次登陆，当用户提供正确的密码时，服务会通过短信向该手机号发送PIN码。这个PIN码就是让用户得以最终登录的第二个凭证。

虽然通过手机短信进行2FA比没有2FA要好，但也有更安全的版本，例如代码生成器app或硬件密钥（Hardware keys）。

您是否因为担心隐私问题而对提供手机号码犹豫不决呢？请查看危险的错误。

使用服务自带app提供2FA

一些服务用自带的app提供2FA。例如，在电脑上输入谷歌账户的密码后，谷歌会向用户智能手机上的谷歌搜索app发送通知。用户可以在该app里确认电脑登录请求。

使用代码生成器app提供2FA

用户可以通过代码生成器app扫描一次二维码，来实现2FA。代码生成器app会持续创建独特的PIN码，作为密码之后的第二个凭证。免费的代码生成器app包括 Google Authenticator 和 LastPass.

使用通用第二因素（Universal 2nd Factor, U2F）的2FA

用户需要注册一个独特的硬件密钥——例如用U盘或近场通信（near field communication, NFC）——为特定账户启用2FA。当用户输入账户密码时，必须插入该密钥。

这种方法出现较晚，但它是最安全的2FA方法。它传播得不如其他方法那样广泛，但是，谷歌、脸书和Dropbox已经提供了这种方法。

钓鱼

钓鱼是指对手试图在未经用户同意的情况下获取用户的凭证，如账号登录信息。例如，可以发送电子邮件要求用户提供登录信息；或者引诱用户点击一个伪装成账户相关服务的恶意网站，但实际上该网站是对手开办的。

此部分具体内容与相关测试将在下期翻译刊登。

加密知识小测试

英文版链接

1. 密码仍然是保护您网上账户安全最重要的凭证之一。对安全性来说，是密码长度、或者包含字符的多少更重要，还是密码复杂度、或者包含字符的多样性更重要？

A. 长度比复杂度更重要，但只有长而复杂的密码才是真正安全的。
B. 复杂度比长度更重要。
C. 从数学上讲，长度比复杂度更重要，但只有长而复杂的密码才是真正安全的。

2. 为什么使用密码管理系统非常重要？

A. 对于当今的人们来说，如果所有的密码都足够安全，并且不同的密码应用于不同帐户，那么记住所有的密码几乎不可能。
B. 因为密码管理系统可以在账户被黑客入侵时警告用户。
C. 像脸书和谷歌这样的在线服务可以直接、无障碍地访问纯文本格式储存的所有密码，使用户无需自己键入密码。这使得用户体验更加舒适。

3. 双因素验证（2FA）的核心好处是什么？

A. 对手不可能入侵有2FA保护的账户，因为只有用户才能访问它。
B. 对手如果仅知道用户名和密码，也无法入侵帐户。要成功登录，必须有第二种凭证。
C. 运营该帐户的服务（例如社交网站或电子邮件提供商）无法访问用户的帐户。

4. 您在登录过程中添加了一个“安全问题”。例如，在键入密码后，必须正确回答“您的母亲在哪里出生？”这个问题才能成功登录。这一措施属于双因素验证（2FA）吗？

A. 是的。因为您必须要经过两个步骤才能成功登录，这就是2FA的含义。
B. 不是。因为并不是所有的用户都知道自己母亲的出生地点，这样的2FA并不适用于所有人。
C. 不是。因为无论是密码还是安全问题，都是基于“知识”这一因素的凭证，知道这些知识的人就可以提供密码以及安全问题的答案。2FA必须有两种不同的因素，例如知识和拥有物件。

5. 为什么点击陌生人发给您的链接，或者未预料的消息中的链接，是危险的？

A. 这并不危险。 作为一名记者，您有时必须点击陌生人的链接，因为它可能是一个新的消息来源。
B. 因为该链接可能下载一个昂贵的付费软件，必须在不提供银行帐户信息的情况下付款。仅点击链接就足够了。
C. 因为该链接可能打开一个钓鱼网站，在该网站中您可能被诱使向犯罪分子泄露自己的账户凭证，或者不小心下载间谍软件。

答案将于下期连载中公布。
上期答案：1.B; 2.B; 3.A; 4.C; 5.C