互联网帐户与密码管理
Updated:
这里的帐户主要指互联网服务。笔记本或者银行卡等其实也有密码,但此处尚不涉及。
1. 互联网服务分类
具体的分类形式因人而异。如果使用的网络服务比较少,完全可以不分类。使用的网络服务越多,分类的层次及个数也就越多。笔者列举一下,对于网络服务需要考虑的一些维度:
l 重要的还是不重要的,如果涉及到财务,比如淘宝帐户,可能就比较重要
l 虚拟的还是真实的,将真实与虚拟区分开来
l 公用的还是私人的,共用的帐户不适合使用私人密码
l 临时的还是永久的,如果只是因为为了当前目的(比如为了下载一个文档而建立的帐户),完全可以使用简单的密码
在选择网路服务的时候,推荐某一类只选择一两个最好的或者自己最习惯用的,比如邮箱笔者使用gmail与qq,网盘使用google与百度的,云笔记使用印象笔记,知识问答站点使用知乎。是网站满足的需求尽量符合正交关系,就比较好管理了。
2.帐户名称分类
一个互联网上的名字往往有两种,一种是登录名称,一种是显示名称(昵称)。
一般而言,登录名称是固定的,不能够轻易变更。比如QQ号码,比如某一个邮箱服务器的帐户。最初某个网站的登录名称只有一个,比如QQ号码,系统通过字段匹配来识别用户。后来这些网站系统为了方便用户注册、方便获取用户更多的信息,可以使用用户的邮箱进行注册。这时候在用户注册的时候,系统为对其进行验证,向用户的邮箱中发送一个激活邮件,如此以来增加了机器注册的难度,对维护服务器的资源起到了积极作用。再后来,用户可以通过手机进行注册,网站系统会通过调用通信服务商提供的api向用户发送验证密码,如此以来至少有两个好处,尽可能地保证了一个人只能注册一个号码,减少僵尸帐号的产生,另一方面也提高了帐户的安全性,方便用户通过手机来找回密码。随着网络服务的增加,用户需要维护的登录的ID越来越多,openID技术应运而生。目前QQ,微博,淘宝,人人等诸多网站都提供这种服务,很多网站可以使用openID来进行登录,极大的方便了用户使用网络服务。
而显示名称往往可变的。这更多的出现在具有社交性质的服务中。在大部分情况下,显示名称一般不可以用来登录,因为显示名称很容易重复。但是有些网络服务的显示名称是不允许重复的,比如新浪微博(更具有媒体性质)。
出于安全性的考虑,建议登录名称尽量不要为他人所知。如果是实名的网络服务,显示名称可以使用自己的真实名字或者常用网络昵称;而对于匿名的网络服务,推荐显示名称不要使用能够是其他人搜索到自己的网络昵称。
3. 网络帐户名称的选择
这里的帐户名称针对的是登录名称。下面针对目前可以用的登录名称类型一一辨析。
3.1. 使用网站专有的ID
比如QQ号,比如学号,比如网站登录名称等。网站最初用的比较多,对于一些大型的网站,这些ID会成为一种稀缺资源。比如8位及以下的qq好已经很难注册到了,gmail的单词帐号也很难注册到。为了登录方便,尽量选用比较简单的、并且经常使用的名字。由于可能出现自己喜欢的帐户已经被注册的情况,所以推荐大家维护一个自己比较喜欢的登录名称的列表【可注册用户名】,多试试,总有一个帐号还能够使用。
3.2. 使用邮箱作为登录帐号
现在大部分网站都推荐使用邮箱注册,最初使用网站专有id登录的也可以绑定邮箱进行登录,还有些网站最初注册的时候就要求使用邮箱。使用自己的邮箱进行登录往往不需要担心自己的邮箱已经被占用的情况(如果已经被占用,则可以使用这个邮箱找回密码),但是大家一般有多个邮箱,那么使用哪一个邮箱进行登录呢?
这里实际上涉及到了邮箱管理的部分,可以参考《免费邮箱综合使用攻略》。使用哪一个进行注册,取决于你如何看待当前的这个网络站点(网络服务),如果这个网站你只是偶尔用用,只是因了迫不得已的理由必须注册,只是一个不甚有权威性的站点,那么推荐你不要使用自己的主邮箱进行注册,你无法忍受可能的垃圾邮件;如果这个站点是你想努力去经营的,是一个实名的社区,是你不准备用完就永远扔掉的站点,那么推荐你使用自己的主邮箱进行注册。
使用邮箱可能面临的风险是,如果你邮箱的服务商关掉了(比如几个月前yahoo!关闭了大陆邮箱服务),当你用邮箱注册的帐户密码忘掉的时候,你可能就无法找回了。至于如何选择稳定的、好的邮箱服务,请参考《免费邮箱综合使用攻略》。
3.3. 使用手机号码作为登录帐号
随着移动互联网兴起,手机(号码)成了大部分人的必备用品,而渐渐具有了代表身份的功能。用手机号码注册有如下问题:
l 无量网站服务商出售用户手机号码信息
l 你更换号码的时候需要及时修改绑定手机号码
l 只能注册一次
好处:
l 可能享受到推送信息的及时提醒;
l 找回密码更便捷
3.4. 使用openID作为登录帐号
据笔者所知,国内目前用的比较多的openID是新浪微博帐户(而新浪微博帐户又是通过邮箱登录的,传递依赖啊出问题很麻烦),我们便以此为例。某个网站在使用openID作为登录系统的时候,有两种策略:一种是立时为用户注册一个相同邮箱登录的帐户,这样就可以避免对新浪微博的依赖了;另外一种,就是一直使用新浪微博的登录api。不管是哪一个,当用户使用另外一个openID登录的时候,网站并不能很好的识别是否是同一个人,所以在网站系统中可能出现了两个不同的你的登录方式,而你可能并没有意识到,冗余总是麻烦的,不一致对于信息的维护也是比较麻烦的。
另外需要考虑的问题是个人隐私。在使用微博帐户登录的时候,网站会连接到你的微博帐户,可能会获取你的微博信息(具体是哪些方面的信息要注意登录时候的权限申请说明)。所以可能会造成你的信息泄露。
4.密码方案
帐户一多,密码便多。虽然大部分网站都推荐用户更换密码,但实际上更换密码是一件相对麻烦的事情——更换几次之后,用户很容易忘掉自己正在使用的密码,只能一个一个地试——密码方案循序渐进的策略是这样的:
4.1. 统一密码
方便记忆,但是一旦一个帐户的用户名及密码泄露了,你其他网络服务也有可能泄露。不要以为盗号者会一个一个的试,这里可是有批量检验登录密码的脚本的。
4.2. 不同密码
所有网络帐户的密码都是不同的。记忆是个大问题,不推荐。
4.3. 策略点1:分类密码
对你的网络服务进行分类。针对不同类型的网络服务设置不同登录密码,为不同密级的帐户设置不同复杂性的密码;帐户的重要程度是与密码的复杂性成正相关的;经常登录帐户可以设置相对简单的密码,并偶尔保持更换;只是临时使用的网络服务或者共用的网络服务,可以使用{12345678}、{asdfghjk}、{password}、{bugaosuni}等密码。
4.4. 策略点2:组合密码
简单的讲,一个密码串由网络服务信息与个人信息相结合。比如{[网站域名]+[用户的id]+[只有自己知道的字符串]+[某个日期]+[网站类型]},可以设计两三种组合策略以应付不同的安全性要求。
4.5. 策略点3:关注密保
重要的帐户需要设置密保。现在的密保形式大约有以下几种:
l 邮箱,邮箱的安全级别一定要比较高。
l 手机号,更换号码后要重新绑定。
l 密保问题,比如你选择的问题是“你的家乡是哪里?”回答可不要是“北京”之类的,这样很容易猜到,回答应当是“查令十字街84号”类似的。
l 密保卡,对密保卡文件有些有加密,有些没有。现在都已经不用了,不知道为什么。
4.6. 密码的保存与保护
l 不推荐使用第三方的密码管理软件,可使用一些加密软件加密密码文档,也可以使用一些信息隐藏技术(比如将密码文档压缩到一张图片中);
l 任何情况下,不推荐将密码防到网上;
l 生成密码的算法一定烂熟于心,不要对任何人讲,这不是对别人不信任,而是为了避免其他人承担责任;
l 在使用的时候,私人电脑可以选择记住密码,共用的不要。记住密码的电脑,总是有一些手段,可以得到密码的原文。