确保登录安全

学习目标

完成本单元后，您将能够：

• 创建强密码。
  
• 说明密码管理器的价值。
  
• 定义多重身份验证。
  

本模块是与 Fortinet 合作制作的。详细了解 Trailhead 上的合作伙伴内容。

创建强密码

在一项研究中，研究团队分析了从数据泄露中收集的密码，他们发现世界各地的人们在创建密码时经常使用数字模式和“hello”这个词，这已成为一种普遍趋势。您可能会想，我才不会让网络罪犯这么容易得逞！我用我家人的名字，最喜欢的食物，甚至我最喜欢的颜色来让我的密码没那么好猜到。但是，这是攻击者也很熟悉的策略，只要在社交媒体和公共互联网上对您进行一番研究，他们就可以轻松猜出您的密码。如果您对多个帐户使用相同的密码，攻击者甚至可以在暗网中从以前的破解中找到您的密码。那么怎样保护自己呢？ 

• 创建强密码。使用的字符越多，攻击者破解密码就越困难。使用长密码（不同的系统有不同的密码要求，这些要求在技术上是强制执行的；通常，密码越长，攻击者就越难破解），避免使用常见的单词和密码，如 12345 或 aaaaaa 等连续和重复的字符。另外，避免在密码中使用有关您自己、您的用户名或您正在访问的服务的标识性信息。这使得攻击者更难破坏您的帐户。创建强密码的一种方法是使用短语，例如，选择部分歌词或电影台词，例如：InSuddenImpactfrom1983ClintsaysMakeMyDay@！
  
• 为每个帐户使用唯一的密码。创建的密码越独特，黑客就越难猜测。如果对多个帐户重复使用同一个密码，那么当其中一个帐户被黑客攻击时，您的所有帐户就都处于危险之中。
  
• 不要分享密码。密码是您的，而且只归您所有。没人需要知道您的密码。还要注意，如果将密码保存在不安全的地方，您可能会无意中分享出去。（意思是不要用便签！）
  
• 更改出厂设置的默认用户名和密码。
  
• 谨慎使用浏览器的“保存密码”功能。虽然将密码保存在浏览器内带来很多便利，但任何能够访问您电脑的人员都有机会获取这些密码。
  
• 在共享电脑上退出登录。每次使用共享或公共电脑后切记退出登录，确认您未将密码储存于此类电脑上以及后续用户无法获取您的密码。
  
• 考虑禁用密码自动填充功能。自动填充功能使用方便，但在其他人能够使用您设备的情况下将带来安全风险。
  

您可能想知道该如何创建和记住所有这些长而独特的密码。这就是密码管理器的作用。 

不要错过秘密管理器

密码管理器是一种在线工具，当您在网上冲浪时，它可以为您存储和调用密码。把密码管理器想象成所有密码的家，只能由您用万能钥匙打开。 

密码管理器在您的浏览器中，并在帐户中为您填写登录凭据。你只需要记住管理器本身（非常强的）主密码，剩下的就交给它吧。太棒了，对吧？这些工具不仅可以存储密码，还可以生成强密码。 

有几十个密码管理器。选择了适合的密码管理器后，使用这些步骤来进行设置： 

1. 阅读用户指南：花时间认真阅读您选用的密码管理器的用户指南或常见问题解答，了解其所有功能和高效使用方法。
   
2. 收集所有帐户的用户名和密码等凭据。首先，查看设备和浏览器上的内置密码管理器。接下来，查看您的电子邮件收件箱。可能所有定期给您发电子邮件的公司都有用户名和密码。
   
3. 将凭据导入密码管理器。导入有几种不同方式，最简单的是利用新密码管理器的自动导入工具。也可以以后登录站点时再慢慢将密码添加到服务中，或者手动输入帐户信息。
   
4. 更新弱密码。将所有信息导入密码管理器后，扫视使用弱密码的帐户。用工具的内置密码生成器，开始更新。
   
5. 在不同的设备间同步密码。很多密码管理器可以在设备间同步，所以您可以随时随地，甚至通过手机或平板访问密码。
   
6. 定期更新密码管理器。软件更新通常包含安全补丁。确保您的密码管理器已设置为自动更新或记得进行手动更新。
   
7. 检查浏览器扩展。部分密码管理器提供更便于登录和填表的浏览器插件版本。确保仅从可信来源安装此类插件。
   

这些步骤可以帮助您为所有帐户创建完全不同的密码。有了新密码管理器，您也不必记住每个密码。但即使这样，密码仍可能遭到盗用，我们来了解一下多重身份验证如何让我们更安全。  

掌握多重身份验证

传统且不太安全的登录在线帐户的方式是输入用户名和密码，而这个密码可能是您用于多个帐户且熟悉的密码。但是，仅使用密码，并对多个帐户重复使用密码，使得攻击者很容易通过破解一个密码来窃取多个帐户。有一种简单的方法可以通过使用多重身份验证（也称为 MFA）更好地保护您的帐户。 

多重身份验证是一种安全增强措施，要求您在登录帐户时提供至少两种不同验证类型的身份验证方式。凭据有三种类型： 

• 您所知道的。典型的用户名和密码场景。提供脑海中记住的东西，获得您信息的访问权限。
  
• 您所拥有的。这种方法稍微复杂一些。通常是令牌或卡片（如徽章或借记卡）的形式，生成数字，提示您输入，从而批准登录请求。
  
• 您是谁。这是最近兴起的生物特征身份验证方法。所用的方法包括指纹、面部识别、手部几何学、视网膜或虹膜扫描、手写和语音分析。还有您的行为特征或对您行动和行为方式的评估。该技术在后台进行，持续监控您的行为。当您尝试登录时，它就能通过您的行动方式轻松识别您的身份。比如键盘敲击节奏和鼠标使用方式。
  

如果您在 ATM 机上刷了银行卡（您拥有的东西），然后输入了您的个人识别号或 PIN（您知道的东西），您就已经用过 MFA 了。另一个例子是，登录网站时，网站向您的手机发送一个数字代码，然后您输入该代码来访问您的帐户。这里的建议是，如果供应商有 MFA 选项，将比仅使用密码更安全。如果可能的话，最好的选择是使用硬件令牌，例如 YubiKey 或基于时间的一次性密码 (TOTP)，因为如果攻击者没有偷走设备，这样的选择是最难被攻破的。如果无法实现，用短信或电子邮件作为第二重身份仍然比单独使用用户名和密码更好。 

事实上，无论密码有多强，都有可能被破解。只要一个账户被黑客攻击，重要信息就会被网络犯罪分子获取。底线是通过启用 MFA，持续优先保护所有具有提升权限、远程访问和高价值资产的帐户。这样，您就可以确保唯一有权访问您的帐户的人是您，无论是电子邮件、银行、社交媒体还是任何其他需要登录的服务。要了解有关多重身份验证的更多信息，请访问此站点。

知识检查

准备好检验您所学内容了吗？以下知识检查不打分——仅是一个简单的自我检测方式。开始后，将左列中的说明拖到右侧匹配类别下。完成所有匹配项目后，单击 Submit（提交）查看成绩。要重新开始，请单击 Reset（重新设置）。

做得好！

在下一单元中，我们将探讨其他方法，以确保您的数字生活安全，特别是您的设备。  

资源

• PDF：Verizon：2023 年数据泄露调查报告（需要注册）
  
• 外部站点：Fortinet：多重身份验证 (MFA)
  
• 外部站点：Cyber News：密码管理器在 2023 年还能安全使用吗？
  
• 外部站点：美国国家标准技术研究所：回归本真：多重身份验证 (MFA)
  
• 外部站点：NIST 特别出版物 800-63B：数字身份指南
  
• 外部站点： Expert Insights：用户身份验证的未来：行为生物识别技术指南