互联网早已经成为我们生活中密不可分的一部分，因此我们在网上就会注册好多账号，需要记录好多的密码。原本是想用一个密码走天下，但是因为之前各个系统都出现了不同程度的拖库和撞库事件，因此看来不能把鸡蛋全部放在一个篮子里。所以，今天我们进来谈谈关于密码保护和二次验证。

其实密码保护有很多种方式，一个简单的策略就是为自己设置不同复杂程度的几组密码，然后交换起来使用，因为好多系统的密码策略都不一致。例如我就不能把我的Gmail的复杂密码用到Live账户上。然后呢，根据你对网站安全等级的区分，分别使用其中的一个密码。同时，每个一段时间就对密码种的部分字节进行升级，比如可以增加一个年份的末尾值之类的。这样可以避免系统要求你定期更换密码而让自己忘记掉。在国内的话，我给腾讯系和阿里系的软件各设置了一个高强度密码，且不通用。

网上有很多密码管理软件，但实际用起来真不是那么方便，再加上1Password现在改成了订户模式，让我原本想买的念头都被没了。我现在的密码全部以缩略的方式，记录在Evernote里面，也就是说，只记录敏感字段，而并非密码本身，即便有人看到了，也无法猜出密码全貌，除非他非常了解我，知道我隐藏掉的字段是什么内容。

那么如何来保护Evernote的安全呢？这时候就要用到二次验证了。所谓的二次验证，其实就是由互联网触发的验证码逻辑。手机验证码我们大家都已经用的很多了，而很多互联网服务，并没有到全球各地的短信网关代理，所以他们选择了一种更加方便的方式来对用户进行身份的二次验证，那就是二次验证码。

生活中另外一个常见的二次验证的场景就是银行的电子密钥，其实原理都是一样的。现在，手机上支持动态验证的应用，除了Google的认证器之外，还有微软、LastPass，1Password、Authy等多款二次验证码生成器。我最后选的是微软的认证器，原因很简单，因为Google无法访问，而其他几家，要么太贵，要么就是觉得其安全性不如微软来的可靠。另一点就是，微软的认证器同样支持从云端恢复数据。之前Google的太烂就是，一旦删除这个APP，密钥就不见了需要全部重来。

微软的密钥生成器的使用前提是你必须有一个Live的账号，这里主要是用来进行密钥的云同步。最好找一个和你平时邮件关联少的账号，就是避免由邮件反查到你的登录账号。至于注册登录之后怎么操作，其实就很简单了，通过相机扫描二维码，完成验证，然后测试一组动态码，成功无误就可以了。

虽然，包括Evernote在内的很多软件服务都支持二次验证但是最终，我只开了Dropbox和Facebook外加Live这三个服务的二次验证。因为，短信验证还是响应速度最快和最可靠的保证，Dropbox的验证码现在貌似是被移动网关给拦截了，一直收不到，所以我才准备用这个二次验证码来登录。而安全等级更高的Evernote和Google现在继续通过短信验证码来登录，如果有一天这两天也被封了短信通道，再换到App也不迟啊。

今天的文章就写什么多，改天抽空可以好好把账号密码都升级一轮了！