不想惨遭盗号的话，这份指南你一定用得上 | 有用功

现在几乎是个网站就会要你注册一个账户，而且都有着各种各样的密码强度要求，必须包括大小写、必须包括多少位字母等等。一个两个倒也无妨，但是多了也难免让人崩溃。每每看到新闻上说的某某网站被撞库或者被拖库的时候，我就心里一阵颤抖。

我的密码，你还好吗？

一些基本工作

抛开网站被黑掉这种小概率的事件不谈，先来说说我们自己能够做些什么，来保护我们的网络账户。

首先最重要的就是保护自己的密码被盗，不管什么样的密码被盗了总是一件难受的事情。

• 不要在公共计算机登录敏感账户的密码，因为你永远不知道有多少人碰过那台电脑
• 记住自己的账号恢复代码或者密码验证问题
• 把重要的账号绑定手机并开启登录通知，这样会在异地登陆的时候获得提醒
• 不要用同一个邮箱注册太多的账号

另外就是，几乎每个账号通过你的邮箱注册的。这意味着一旦主邮箱失守，那么基本上所有的账户都得失守，毕竟很多网站找回密码只需要一封邮件。

所以，一定要给重要账号开启二次验证（或二步验证）。

现在很多主流的邮箱和账户都提供了二次验证功能，微信本身则是自带二次验证。二次验证指的是在输入密码之后，你还需要通过其他方式（如身份验证器、手机短信、语音电话等）来确认登录人的身份。

虽然有的时候觉得二次验证有点繁琐，但是也不得不承认，这是目前最好的保护账户的方法。

我在 Gmail、QQ 、 iCloud 和爱范儿后台四个常用而且重要的账户上启用了二次验证，之所以没有全部启用，是在方便和安全之间作了一个权衡。

需要注意的是，开启二次验证的时候，系统会给你一个类似「备用验证码」的东西。这个是做什么的呢？这里引用 Google 的解释：「当用户外出旅行、无法接收短信或接听语音电话、或者无法使用 Google 身份验证器移动应用时，备用验证码特别有用。」

鸡蛋不要放在同一个篮子里

除了被盗之外，拖库和撞库也是黑客常用的手段。简单来说，拖库就是指黑客在拿到网站的数据之后获取了其中保存的密码，而撞库则是使用已有的账号密码来批量登录其他网站。

所以，千万不要在很多个网站使用同一个邮箱的账户和密码，连一些大的网站都不能幸免，何况一些小的门户？但是那么多的网站和账户，怎么才能优雅地记住密码呢？

规律设计密码

一种办法就是把所有的网站密码按照某种特定的规律来设置，以下仅作示例：比如 QQ 的密码就是 qqJingzhe5，而爱范儿的密码就是 ifanrJingzhe5 。如此设置一个可以符合大多数网站的强密码即可以不变应万变。

当然，这种密码最怕的就是被熟人知道，因为一下子就能猜出来了，所以可以对密码进行变形。比如 QqJingzhe5 和 IfanrJingzhe5 这样，每次大写的字母不同即可。

使用密码管理软件

另外一个方法则是使用市场上的一些密码管理软件，如 1Password 、Dashlane 之类的，这类软件就是胜在方便。一方面他们可以通过浏览器插件在浏览的时候快速登录，另一方面他们还可以自动生成无序列的强密码，从根本上杜绝被撞库的可能。

但是，如果密码管理软件的密码泄露了或者被拖库了怎么办？除了自求多福之外，最重要的就是不要把敏感的密码保存在里面啦。毕竟最安全的地方就是自己的脑袋，谁都没有办法心里感知发现你脑袋里的密码。

写在最后

我的想法是重要的账号密码，如支付宝（管钱）、iCloud（可能会被锁手机）、Gmail（主邮箱）这些，都设置专门的独立密码，只记在脑子里并且开启二次验证保护。而像是印象笔记、QQ 这些我都是采用的变形密码方便记忆。至于有些奇奇怪怪的论坛和小网站，我都是用的 Dashlane 来管理，忘了也就是一封邮件的事情。

其实保护密码不是最难以做到的，最关键的是你愿意为保护自己的账户付出多大的代价，即如何在安全和方便之间做一个平衡。

愿被盗号这种倒霉事，你永远都遇不到。