為了保護你的 Tumblr 帳號,我們建議採取以下的幾項措施:
為你的 Tumblr 帳號選擇一個獨一無二的密碼
避免重複使用其他帳號的密碼是個好主意(尤其是那些你已經用於電子郵件帳號或其他社群媒體網站的密碼)。
使用一個強度夠的密碼
設定較長的密碼--越長越好。
在過去幾十年來,密碼破解技術發展迅速且大幅成長,但是我們建立密碼的方式卻沒有多大的改變,因此,那些建立關於如何建立較強密碼的建議往往已經過時了且毫不實用。
根據這類建議所建立的密碼,例如
jal43#Koo%a,對於電腦來說要破解非常簡單,但是對人類來說又很難記憶及輸入。
最新且最有效率的密碼攻擊每秒可嘗試高達 3500 億個猜測,而且在接下來幾年內這個數字無疑將會大幅提高。
現在建立一個強度夠的密碼需要現代化的技術,在下一個段落中,我們將會向你展示兩種方法。
使用密碼管理員
我們極度推薦使用密碼管理程式來產生複雜的專屬密碼,這樣你就不用耗費心思來記憶密碼。
如何使用密碼管理員
網路上有許多不同的管理員程式可供選擇,因此你可以選擇一個你想用的,然後安裝在你的電腦上。以下是通常會用到的一般步驟,不過你可能會想查看你所選擇的特定應用程式的使用說明來更深入了解。
- Choose a password
manager. - 把軟體安裝到電腦上。
- 建立一個複雜的主控密碼來開啟密碼資料庫。如需相關操作的建議,請參閱本文中的〈如何建立一個複雜密碼〉一節。
- (選擇性步驟)寫下主控密碼並存放在安全的地點,譬如貴重物品保管箱或是上鎖的保險箱,務必要保留一個備份以防萬一遇到忘記主控密碼的情況。
- (選擇性步驟)使用應用程式的內建工具來在多部裝置上分享密碼資料庫。
安裝設定好密碼管理員之後,你可以開始用它來產生強度夠的密碼。找到管理員的內建密碼產生工具,將其設定為建立 30-50
個隨機字元且混合大小寫字母、數字和符號。
最終的結果看起來應該是要像這樣:N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@.
這麼一大串看起來是有點嚇人沒錯,不過別怕,你不用記住或是自行輸入這一長串的密碼,你的管理員會自動幫你處理。
考慮使用複雜密碼
一個複雜密碼跟密碼很類似,差別在於它是以多個隨機選取的單字為基礎,而不是只有一個單字,例如:copy indicate trap
bright。
由於密碼的強度如何所取決的因素之一就是密碼的長度,因此複雜密碼遠比傳統的單一單字密碼還要安全,同時也比較容易記憶跟輸入。
這類密碼的強度雖不如由密碼管理員所產生的密碼,不過如果你不想使用密碼管理員的話,這還是很好的選項。這類密碼也很適合用來產生密碼管理員或是作業系統帳號的主控密碼,因為這些密碼並無法由密碼管理員自動幫你填入。
如何建立一個複雜密碼
建立複雜密碼所需遵照的規則跟建立傳統密碼很類似,不過並不需要那麼複雜,因為密碼的長度將會提供充分的安全保障,遠超過其簡單性所造成的影響。
- 隨機選擇 4 個單字。如果你想要的話,你可以使用 xkcd Passphrase Generator 來幫你,不過自己想的話還是會比較好。
- 如果你喜歡的話,也可以在各個單字之間加入空格。
這時,你應該會有個像這樣的密碼:copy indicate trap bright
如果你想要的話,可以到這邊就好,或者你也可以按照以下的步驟來增添額外的安全強度:
- 把其中的一些字母改成大寫。
- 加入幾個數字和符號。
套用了這些規則之後,密碼看起來應該會像這樣:Copy indicate 48 Trap !#%
bright
該避免的事項:
- 不要把單字依照可預期模式排列或是形成一個正確的句子;這樣就太容易猜到了。
- 不要使用歌詞、名言或是任何曾被公開發表的內容。攻擊者擁有龐大的已發佈資訊資料庫以供他們建立可能的密碼字串。
- 不要使用任何個人資訊。即使包含了字母和數字,認識你的人或是可從線上搜尋研究到你的人,可以輕易猜測到以這類資訊所構成的密碼。
額外提示
- 同樣的密碼不要使用兩次。許多熱門的網站並沒有在他們的系統中適當地保護你的密碼,駭客經常駭入他們的系統中竊取上千萬的帳號。如果你在不同的網站上重複使用密碼,那麼當有人駭入其中一個網站之後,他們就能在其他網站上登入你的帳號。所以最最最基本的,就是千萬要在所有儲存財務或其他敏感性資料的網站上,或是含有可供用來攻擊你個人名譽的資料的網站上,採用獨一無二的密碼。
-
確保電子郵件密碼的安全強度充分。在許多線上服務(例如
tumblr.com)上,你的電子郵件會被用來作為個人識別的方式,如果有不懷好意的使用者取得了存取你的電子郵件的方式,他們可以輕易重設你的密碼然後登入你的帳號。 - 不要分享你的密碼。即使你相信一個人,攻擊者有可能攔截或竊聽到傳輸內容,或是駭入那個人的電腦。如果你懷疑有其他人知道你的密碼,那麼你應該馬上變更密碼。
-
不要把你的密碼以電子郵件寄給任何人。電子郵件通常都未經過加密,所以攻擊者要讀取電子郵件的話相當容易。Tumblr
員工絕對不會向你詢問要求提供密碼。 - 不要把你的密碼儲存在瀏覽器中。瀏覽器通常都無法安全地存放密碼,所以建議改為使用密碼管理員。如要深入了解,請參閱上文的密碼管理員一節。
-
不要在公共電腦上儲存密碼或是使用「記住我」選項。如果你這樣做的話,下一個使用電腦的人就能夠存取你的帳號。還有請記得在使用完畢之後登出你的
Tumblr 帳號。 - 不要寫下你的密碼。只要是被寫在某個地方然後別人可以找到,那麼那個密碼就不安全。建議改為把密碼存放在密碼管理員中,如此密碼就會被加密。如要深入了解,請參閱上文的密碼管理員一節。這項規則要是說有什麼例外的話,那就是以安全的方式存放無法復原的密碼(例如密碼管理員的主控密碼,或是作業系統帳號的密碼)。一個保障這類密碼安全的好方法,就是存放在貴重物品保管箱裡或是鎖在保險箱裡。
- 確定你已在你的帳號設定中啟用了「以電子郵件通知我任何帳號活動」。
開啟雙重驗證
有了雙重驗證 (TFA),你可以使用任何 iOS、Android、Blackberry
或是具備簡訊功能的行動裝置來作為你的部落格的不重複鑰匙。註冊這項服務之後,每次你要登入你的 Tumblr
帳號時,都會需要輸入一個特別產生的單次代碼,這表示即使有人取得了你的密碼,他們要是沒有你的行動裝置的話就還是沒辦法登入你的帳號。
當你開啟雙重驗證時,你也會需要產生並儲存備用驗證碼,這樣如果有發生遺失雙重驗證裝置的情況時就可以用來登入。
You can learn more about two-factor authentication in this Help Center article.
經常登出
你可以透過在工作結束之後登出來保護你的帳號,當你在共用或公共電腦上工作時,這點更是特別重要。如果你不登出的話,別人或許可以輕易透過檢視瀏覽器歷程記錄來回到你的
Tumblr 情報中心。
聯絡支援團隊以尋求協助
如果你注意到你的 Tumblr 帳號上有任何可疑的活動,請聯絡 Tumblr 支援團隊。