a16z：最基本且可行的密码安全配置方案

在今天这个数字化高度活跃的世界里，我们不仅需要关心如何更好地使用在线服务，还需更为严谨地保护我们的敏感信息。由于我们越来越依赖在线平台来处理各种事务，敏感信息的安全性也变得越来越重要。以下内容为MarsBit编译。

人类需安全存储的三种敏感信息及其保护方法

在这个数字日益活跃的世界中，随着我们线上账户和信息的不断增加，我们对保护隐私和敏感信息的需求也在日益增长。大多数人在使用在线服务时都必须保管好以下三种主要的敏感信息：

• 密码 —— 用于访问各种网站和服务的凭据。它们不仅应保密，而且每项服务的密码都应是唯一的。
• TOTP代码 —— 通常由验证器应用或基于时间的一次性密码（TOTP）系统生成。它们提供了双因素认证，其中第二层的保护（也可多层，因此有“双因素”和“多因素”之称）帮助确保安全访问。
• 助记词 —— “助记词”或恢复短语能直接控制所有由该助记词派生的加密钱包。这显示了加密钱包的一个强大功能：一旦你输入了你的助记词，你就可以完全控制你的资产，而无需从一个托管人转移到另一个托管人。

需要注意的是，这些“秘密”不仅限于加密/Web3场景；今天任何互联网用户都应该采纳这些或根据他们的需求量身定制的安全实践。尽管我们推荐尽可能采用最严格的安全措施，但实际情况是，对大多数人来说，购买硬件钱包、WebAuthn密钥和配备TEE的设备并不是易事（至少目前还不是）。更何况，失去敏感信息有时甚至比泄露它们更危险，因为有些信息一旦丢失就无法恢复。

因此，我们提出一种“最基本可行的安全配置”方案。该方案利用了许多人已经拥有的工具——使用经过良好测试的密码管理器来存储你的助记词和密码，以及在手机上使用TOTP应用来存储和使用用于双因素认证的TOTP代码。

以下是更多详细解释：

• 避免使用手机短信（SMS）作为双因素认证的第二步。由于SIM换卡攻击的风险增加，SMS已成为2FA的弱点。黑客可以通过冒充你向移动服务提供商请求帮助（“我丢了手机，需要访问它...”），然后将你的电话号码转移到他们的设备上，进而访问与该号码绑定的所有账户。这就是我们推荐使用身份验证器应用（如Authy，Google Authenticator等）的原因。可惜，并不是所有的服务都提供双因素认证；但你仍应确保使用强大且独特的密码。
• 使用密码管理器存储你的密码。这主要是为了实现为所有在线服务设置独特密码的目标；否则，大多数人会倾向于在多个网站上重复使用密码。密码管理器能用一个独特、复杂的密码来保护每一个在线账户，同时利用一个强壮的“主密码”来加密所有存储的密码（参见1Password、Bitwarden或Dashlane）。
• 你的主密码应至少包含16个字符 —— 最好是一个由至少5个单词组成的随机生成的短语，这通常意味着大约30个字符，但更易记忆。这并非无理取闹的建议；密码的长度和复杂度会大大增加其破解的难度。因此，越长越好。最重要的是，永远不要忘记主密码！如果需要，可以写下密码提示，并将其存放在一个安全的地方，同时记得它的存放位置。
• 在云存储中保管你的备份码/TOTP的加密副本，并将它们打印出来存放在一个安全的硬质保险箱中。但你可能会问，可以将TOTP代码存储在密码管理器中吗？虽然一些密码管理器支持这个功能，但我们建议使用两个不同的工具来保持密码和TOTP代码的分离。那么你应该在哪里存储助记词呢？答案可能有些复杂，但简而言之，就是存放在你的密码管理器中。如果你拥有一个大额资产的加密钱包，你可能需要考虑更加复杂的解决方案，但对大多数人来说，这种方法已经足够了。