不管是個人用戶，還是企業(yè)，網絡安全都是一個不能忽視的話題，但是關于網絡安全的信息都有很強的時效性，今天采取的安全措施有用，明天可能就不起作用了。

在互聯(lián)網上，充斥著許多關于網絡安全、保護隱私的“野知識”，這些知識可能是從遠古時代的書籍上被上傳到網絡上，也可能是來源于個人經驗吸取的一些錯誤教訓。

一些普通大眾沉迷于這些方法，他們認為這些方法有效，可以保護自己的賬號不被竊取盜用，有一些保護網絡安全的知識，甚至已經成為了某一些公司的制度。

誤區(qū)一：定期修改密碼

1960年，著名計算機科學家費爾南多·科爾巴托將“密碼”部署到相容分時系統(tǒng)后，正如他本人所承認的那樣，密碼安全成了網民的噩夢，但我們也不得不承認，這是一項偉大的進步。

[[435925]]

從那時起，關于如何使用、保管以及更改網絡密碼的各種建議，或者關于密碼相關的公司制度一直在傳播。

技術水平的限制，決定了我們該如何管理自己的密碼。比如互聯(lián)網早期，密碼系統(tǒng)限制了字符的數量和類型，密碼不能包含各種各樣的符號，用戶為了記憶方便，使用短密碼的現象非常普遍，這才出現了很多平臺要求用戶“定期修改密碼”的現象。

現代操作系統(tǒng)和安全系統(tǒng)，已經讓設置短密碼和定期修改密碼過時了。不過個人用戶設置電腦的登錄密碼，可能會使用短密碼。一些銀行、電子商務網站的服務系統(tǒng)，也會使用短密碼，這些安全系統(tǒng)可能因為糟糕的軟件設計，或者出于對跨站腳本攻擊、SQL注入的恐懼，不得不對密碼的設置進行限制。

這種限制無疑會降低密碼的復雜性，削弱其安全性。

如果密碼系統(tǒng)沒有限制，我們應該設置一個足夠長、復雜且對自己來說容易記住的密碼，而不是設置一個短密碼，定期去更改它，這樣只會讓密碼更難記住。

誤區(qū)二：不使用雙因子驗證

一般來說，有三種不同類型的證明，可以證明一個人的身份：

• 只有自己知道，別人都不知道的信息，比如密碼
• 自己的私人物品，比如手機號碼、身份證
• 個人生物信息，比如指紋、人臉、虹膜

雙因子驗證指的是，同時需要兩個因素滿足，請求才能被通過的方法。最常見的雙因子驗證比如網上銀行的U盾，用戶只有插上U盾，同時輸入密碼才能登錄網上銀行。

再比如在不常用的手機上登錄微信時，輸入手機驗證碼的同時，還可能需要好友輔助驗證，或者用舊手機的微信掃碼。

國內許多網站在輸入密碼的時候，也會要求用戶提供短信驗證碼，這些都是雙因子驗證的例子。

很多人認為雙因子驗證不安全，比如易受中間人攻擊、會被釣魚等等，礙于成本、用戶體驗等因素，不使用或不強制用戶使用雙因子驗證，這種做法是十分錯誤的。

實際上不采用雙因子驗證所帶來的隱含成本遠遠比采用雙因子驗證所需要的成本高得多。對于黑客對常見云服務進行暴力破解，雙因子驗證可以使90%的嘗試失敗，另外10%只會導致潛在的可恢復的拒絕服務。

除了以上這兩種，你還見過哪些看似安全的做法，其實沒什么用呢?