长度要求
- 至少 8-12个字符(建议12位以上),每增加一位都能显著提升安全性。
字符复杂度
- 混合四类字符:大写字母(A-Z)、小写字母(a-z)、数字(0-9)、特殊符号(!@#$%^&*)。
- 避免连续或重复字符(如"123"、"aaa")。
避免常见信息
- 不使用姓名、生日、常用单词(如"password"、"admin")或键盘路径(如"qwerty")。
唯一性
- 不同平台使用不同密码,防止撞库攻击(一个平台泄露导致其他账户被盗)。
定期更新(可选但建议)
- 高危账户(如网银)建议每3-6个月更新,并避免与旧密码相似。
如何管理多个平台的复杂密码?
1.
使用密码管理器(核心工具)
- 推荐工具:Bitwarden(免费开源)、1Password、Dashlane、KeePass(本地存储)。
- 功能:
- 生成高强度随机密码。
- 加密存储所有密码,仅需记住一个主密码。
- 自动填充登录表单(浏览器/手机端插件)。
- 跨设备同步(需开启云同步或自建服务器)。
2.
双因素认证(2FA)
- 启用场景:所有支持2FA的账户(尤其是邮箱、支付、社交)。
- 工具:
- 认证器APP(Google Authenticator、Authy)。
- 硬件密钥(YubiKey)或短信/邮箱验证(安全性较低)。
3.
密码分级策略
- 高风险账户(银行、主邮箱):唯一强密码 + 2FA。
- 中风险账户(社交平台):密码管理器生成的随机密码。
- 低风险账户(临时注册网站):可使用统一中等强度密码(仍需避免常用密码)。
4.
生物识别与单点登录(SSO)
- 用指纹/面部识别解锁密码管理器或设备。
- 通过微信/Apple ID/Google账号登录第三方平台(减少密码数量)。
5.
安全备份
- 密码管理器导出加密备份(存储于离线U盘或加密云盘)。
- 手写密码本存放于保险箱(仅记录核心账户)。
关键安全建议
- 主密码必须高强度:建议12位以上混合字符,并定期练习记忆。
- 警惕钓鱼网站:手动输入网址登录,避免点击邮件/短信中的链接。
- 定期检查泄露情况:使用Have I Been Pwned查询密码是否暴露。
- 禁用浏览器保存密码:浏览器内置密码管理器安全性低于专业工具。
通过密码管理器 + 2FA的组合,即可在安全性和便利性之间取得平衡,无需记忆大量复杂密码。
