规则 01
唯一密钥比自创花样更重要
一个看起来普通、但每站唯一的随机密码,远比到处复用的“个人巧妙模式”安全。真正的倍增器是唯一性。
指南
保险库原则
一份面向人的简明作战原则:密码必须唯一、密码管理器应成为默认平台、恢复流程必须视为认证的一部分、通行密钥应优先部署到失陷代价最高的账户上。
核心规则
规则 02
密码管理器就是身份安全的操作系统
保险库是账户安全的起点:生成、自动填充、泄露监控和安全共享都应在这里完成。人的记忆不该成为核心防线。
规则 03
恢复路径本身就是认证的一部分
备用邮箱、手机号、客服流程和恢复码,都应该像主密码一样被严格审视。攻击者通常会优先走更容易的侧门。
规则 04
通行密钥应优先落在最高价值账户上
主邮箱、云后台、财务系统、源代码平台和身份提供商应该最先部署。这些账户决定了其他哪些资产能够被重置或冒充。
运行原则
身份安全是一整套系统,不只是登录框里的一项
密码、MFA、恢复码、设备信任和人工重置,都应该被视为同一个控制面。攻击者并不在乎先失效的是哪一块。
团队实践
共享密钥应该待在受管保险库里
如果团队凭据被复制进聊天、明文文档或截图里,它就已经开始脱离控制。基于保险库的共享才能带来可撤销性和可审计性。