无国界记者数字服务站(三):账号安全入门——如何保护你的账号?

2020-09-14 原文 #火光 的其它文章

无国界记者数字服务站(三):账号安全入门——如何保护你的账号? ——

作者无国界记者(Reporters sans frontières)
编译:CD, CP

原文链接


图片来源

社交网络,电子邮件,云服务,还有其他工具:记者要完成工作,就必须使用许多不同的服务;而这些服务可能需要处理许多保密信息。因此,帐户的凭证是记者必须保护的最有价值的东西。

记者须采取三种基本措施,来有效地保护自己的帐户:

  • 每个账户使用不同的强密码(strong passwords).
  • 为每个帐户启用双重身份验证(Two-Factor-Authentication)。
  • 定期学习和训练如何分辨网络钓鱼攻击(phishing)。

密码和密码管理

您需要了解,关于密码最重要是:

  • 每个密码只用于一项服务;
  • 每个密码要足够强,足以应对密码破解的尝试。

记住一个或几个强密码(定义请参阅下文)是很难的。因此,我们强烈建议您使用密码管理器记录密码,并使用随机生成的密码或密码口令保护它。

“chenmei huijia women caiwei zaori dengni”这样的“密码口令”(passphrase)和“hctmenzqrefaacbmhhpe”这样的随机密码安全程度相似,但前者更好记。

译注:原文举例的密码口令为encircle approve candy glorifier unknowing cross,中文可以使用拼音词语代替单词。理想的口令应为多个随机词语的组合,译者举例使用的词语并非完全随机,请勿模仿。

不用担心,密码口令比您想象的更容易记住!电子前沿基金会(Electronic Frontier Foundation, EFF)提供了如何创建安全密码口令的指南,建议您遵循。您应该选择一个至少包含六个词的密码。如果您面对的是政府或军方这样的国家级别的对手(state-level adversay),则应选择一个包含七个词的密码。

您也不必立即记住自己的密码口令。如果您可以找到一个安全的地方,则可以将其写在纸上。注意写密码时要将纸放在硬桌上,以避免留下痕迹。一旦确定您已经记住了密码,请以安全的方式销毁本文。例如,烧毁并将纸灰清理干净。

如果您尚未使用密码管理器,建议您采取以下步骤:

  1. 安装一个程序开源的密码管理器;
  2. 创建一个随机密码口令,并将其写在一张纸上;
  3. 在密码管理器中输入您的帐户信息和站点密码;
  4. 备份密码数据库。

一段时间后: 销毁写有密码口令的纸张。

密码管理器详情

密码管理器是为您存储密码的软件工具。您的密码将被加密并存储在设备上的密码数据库中。加密密钥由单独的密码(或密码口令)生成,这个密码(或密码口令)不会被存储,因此您必须牢牢记住。当有人拿走您的设备时,他们需要您的密码口令才能访问您的账号密码数据库。

在讨论密码管理器时,用于加密密码数据库的密码(或密码口令)称为主密码(master password),而数据库中的密码称为站点密码(site-passwords)。

尽管密码管理器很有用,在开始使用之前,您需要牢记以下几点:

  • 你必须练习如何定期备份密码管理器的数据库。
  • 当攻击者拿走您的设备时,他们可能也会迫使您告诉他们您的主密码。

在旅行中使用密码:

在旅途中,最好的做法是只携带真正需要的密码。一些商业密码管理器为此提供了一个特殊的 “旅行模式”,但你可以使用任何免费的密码管理器,并手动创建第二个密码数据库。

一些免费和开源的密码管理系统有 KeePassXC、Bitwarden 和 Password Safe。

何时不要使用密码管理器:

如果您怀疑您的设备感染了恶意软件或记录击键的程序,则不应使用密码管理器。

有关“无状态密码管理器”(state-less password manager)的警告:

有些密码管理器不需要数据库。它们有时被称为无状态密码管理器,有时被称为密码生成器。它们不使用密码数据库,而是根据主密码来计算站点密码。

虽然理论上,无状态密码管理器可以安全地使用,但你应该只在清楚地知道自己在做什么的情况下才使用它们。一般来说,我们不建议使用无状态密码管理器。

有一个开源的无状态密码管理器是LessPass

关于在线密码管理器的注意事项:

在线密码管理器将密码数据库加密存储在云端。您通常必须为此创建一个账户。当登录时,您的登录密码或口令将用于解密相应的密码数据库。

在线密码管理器有三大好处:

  • 您只需要一个网络浏览器,无需在电脑上安装额外的软件。
  • 您的密码数据库不会存储在设备上,带走您的设备并不能得到密码数据库。
  • 提供密码管理器的公司可以对登录尝试进行频率限制,从而减缓破解密码的速度。

不过,根据您的具体情况,好处也可能变成坏处。如果提供密码管理器的公司与您所在国/地区的政府合作,它们可能会直接交出您的密码数据库。它们也可以在您登录时捕获您的主密码,并把它也上交政府。您也容易受到网络钓鱼攻击(译者注:如伪装成密码管理器网站的钓鱼网站);一次成功的网络钓鱼攻击会一次性暴露您所有的密码。

开源的在线密码管理器有 ClipperzPassbolt 等。

有关安全密码的详细信息

只有当密码足够难猜时,它才足够强大。不幸的是,这样一个强密码:

  • 必须由计算机随机生成;
  • 应至少有13个字符长;
  • 应包含小写字母、大写字母以及数字。

关于最后一点,当——或者说只有当——你的密码为随机生成时,密码中是否含有数字和大写字母影响不大。下表显示了安全的密码长度,包括达到普通安全级别的长度,和面对国家级对手时需要的长度。请注意,只有在密码是随机生成的情况下,这些长度才是安全的。

技术细节: 我们认为一个安全为普通级别的密码至少需要75比特的熵(entropy);而面对国家级对手时,需要90比特才安全。考虑英文字母a-z这26个字符,以及A-Z的26个字符,还有0-9的10个数字。从所有小写字母中均匀抽样,随机选取一个字符,其熵约为4.7比特;因此,长度为16的小写字母组成的密码的熵为16 * log2(26) ,约为75.2位。(译者注:log2(26) ≈

4.7)

当然,这种计算方法只适用于由计算机随机生成的密码。例如,一个长度为13的密码,如果是人生成的,很可能并不安全。

字符集 安全程度 最短长度
小写字母 普通 16
小写字母,大写字母 普通 14
小写字母,大写字母,数字 普通 13
小写字母 国家级 20
小写字母,大写字母 国家级 16
小写字母,大写字母,数字 国家级 16

双因素认证(Two factor authentication)

双因素认证(2FA)是指除了密码之外,您还需要第二个凭证来登录账户。这个功能很强大,因为即使对手拿到了您的密码,也无法直接登录。无国界记者建议大家在所有提供2FA的账户上使用2FA! 这包括大多数流行的服务,如谷歌、脸书、Slack和推特。

将2FA与密码管理器一起使用,可以实现非常高的安全性。在不同的设备上使用这两者时,安全性更高:例如,您可以在智能手机上使用代码生成器(code generator)app进行2FA,并在电脑上使用密码管理器。

使用电话号码的2FA

用户必须事先提供一个手机号码来启用2FA。每次登陆,当用户提供正确的密码时,服务会通过短信向该手机号发送PIN码。这个PIN码就是让用户得以最终登录的第二个凭证。

虽然通过手机短信进行2FA比没有2FA要好,但也有更安全的版本,例如代码生成器app或硬件密钥(Hardware keys)。

您是否因为担心隐私问题而对提供手机号码犹豫不决呢?请查看危险的错误

使用服务自带app提供2FA

一些服务用自带的app提供2FA。例如,在电脑上输入谷歌账户的密码后,谷歌会向用户智能手机上的谷歌搜索app发送通知。用户可以在该app里确认电脑登录请求。

使用代码生成器app提供2FA

用户可以通过代码生成器app扫描一次二维码,来实现2FA。代码生成器app会持续创建独特的PIN码,作为密码之后的第二个凭证。免费的代码生成器app包括 Google AuthenticatorLastPass.

使用通用第二因素(Universal 2nd Factor, U2F)的2FA

用户需要注册一个独特的硬件密钥——例如用U盘或近场通信(near field communication, NFC)——为特定账户启用2FA。当用户输入账户密码时,必须插入该密钥。

这种方法出现较晚,但它是最安全的2FA方法。它传播得不如其他方法那样广泛,但是,谷歌、脸书和Dropbox已经提供了这种方法。

钓鱼

钓鱼是指对手试图在未经用户同意的情况下获取用户的凭证,如账号登录信息。例如,可以发送电子邮件要求用户提供登录信息;或者引诱用户点击一个伪装成账户相关服务的恶意网站,但实际上该网站是对手开办的。

此部分具体内容与相关测试将在下期翻译刊登。

加密知识小测试

英文版链接

  1. 密码仍然是保护您网上账户安全最重要的凭证之一。对安全性来说,是密码长度、或者包含字符的多少更重要,还是密码复杂度、或者包含字符的多样性更重要?

A. 长度比复杂度更重要,但只有长而复杂的密码才是真正安全的。
B. 复杂度比长度更重要。
C. 从数学上讲,长度比复杂度更重要,但只有长而复杂的密码才是真正安全的。

  1. 为什么使用密码管理系统非常重要?

A. 对于当今的人们来说,如果所有的密码都足够安全,并且不同的密码应用于不同帐户,那么记住所有的密码几乎不可能。
B. 因为密码管理系统可以在账户被黑客入侵时警告用户。
C. 像脸书和谷歌这样的在线服务可以直接、无障碍地访问纯文本格式储存的所有密码,使用户无需自己键入密码。这使得用户体验更加舒适。

  1. 双因素验证(2FA)的核心好处是什么?

A. 对手不可能入侵有2FA保护的账户,因为只有用户才能访问它。
B. 对手如果仅知道用户名和密码,也无法入侵帐户。要成功登录,必须有第二种凭证。
C. 运营该帐户的服务(例如社交网站或电子邮件提供商)无法访问用户的帐户。

  1. 您在登录过程中添加了一个“安全问题”。例如,在键入密码后,必须正确回答“您的母亲在哪里出生?”这个问题才能成功登录。这一措施属于双因素验证(2FA)吗?

A. 是的。因为您必须要经过两个步骤才能成功登录,这就是2FA的含义。
B. 不是。因为并不是所有的用户都知道自己母亲的出生地点,这样的2FA并不适用于所有人。
C. 不是。因为无论是密码还是安全问题,都是基于“知识”这一因素的凭证,知道这些知识的人就可以提供密码以及安全问题的答案。2FA必须有两种不同的因素,例如知识和拥有物件。

  1. 为什么点击陌生人发给您的链接,或者未预料的消息中的链接,是危险的?

A. 这并不危险。 作为一名记者,您有时必须点击陌生人的链接,因为它可能是一个新的消息来源。
B. 因为该链接可能下载一个昂贵的付费软件,必须在不提供银行帐户信息的情况下付款。仅点击链接就足够了。
C. 因为该链接可能打开一个钓鱼网站,在该网站中您可能被诱使向犯罪分子泄露自己的账户凭证,或者不小心下载间谍软件。

答案将于下期连载中公布。
上期答案:1.B; 2.B; 3.A; 4.C; 5.C


文章版权归原作者所有。
二维码分享本站