TA的每日心情 | 慵懒
2024-4-19 09:46 |
|---|
签到天数: 4163 天 连续签到: 8 天 [LV.Master]十年《功德圆满》
|
前言
% u5 n* e) l2 j% R9 _- d8 [原理很重要,技巧是浮云,抛砖引玉,且看且思考。, j! m0 i% P/ K+ _
4 |+ S# k4 o& Y. G( \2 ^- ^( M/ l* g+ ~ N
1 G. s: w4 [. b, v- B, p* J
) z5 d2 C9 @- s [( ^# ?* i
一、为不同的账户类型制定不同的密码策略3 b6 |2 G% c! }
; _! x3 k9 z* {& A; ?. Y1. 账户类型* j1 f, v1 j3 k. V) l' E* a" H* X) Q
首先我们可以很容易把账户分为两类:重要账户与一般账户。 分类是为了制定密码策略,因为这两类账户的密码需求是不一样的。 这个分类不绝对,可以自行斟酌,比如微博微信都可以放在重要类别。, O* F2 H* g; v- _% V2 ~/ N4 t1 v
重要账户是指涉及个人重要隐私或者财产的: 9 ?8 S: ?$ ]# l9 f. Y
银行、社保、支付宝、QQ、手机pin码...! P# H l6 q7 d6 ?6 O
一般账户指各种论坛、社交媒体、产品使用授权等:
6 K7 Z! O$ ]9 i) r+ x* M* {' p+ t$ u8 o微博、微信、天涯、知乎、星巴克、路由器、WIFI、宽带...: |' w$ ~0 P( s
2. 密码策略的基本原则! R9 }, r- ^( ?
不同账户采用不同密码
0 I, X4 l" r* n: C若密码相同,一个账户密码泄露了就要改所有账户的密码,显然是下下策。 # A6 u8 U; C+ a* D& q
目前个人密码最容易被泄露的一种情况是——撞库。简而言之,就是你注册了网站A,又注册了网站B,C... 结果 C 网站不幸有漏洞,被黑客收集了用户和密码信息,然后黑客就用这个去尝试登陆网站A,B,尝试批量登陆其他网站后,得到一系列可以登录的用户了。这类情况其实非常常见,必须谨慎对待。
! j0 Z" s- f6 p; _8 i越高的密码复杂度越安全
9 }2 I3 ?: t- q3 J$ g$ Z密码的复杂度并不是指密码看起来越长越无序越安全,而是指采用数字+字母+符号的组合形式,不要小看一个符号,这种混搭的形式将极大的提高破暴力解难度。暴力破解又叫做穷举法,是指一个个试密码,逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。若加入符号,可以极大提高密码组合的可能,因此能有效防范暴力破解。通常来说,真正通过暴力破解来攻破个人密码的情况不多,但不管怎样,提高复杂度总是好的。
" Q* g( h5 P. L& n* m尽可能方便记忆
7 l! p+ U9 I6 } J+ l1 N( S$ S: b) w掐指一算自己注册的论坛就有十几个,可如果不同账户采用不同密码,怎么可能记得住这么多密码呢?别急,先仔细想想自己是不是真的需要记忆那么多密码。根据我们的账户类型,我们可以采用不同的密码储存方式,忘记密码这种事自然是不能忍的。" z% O1 y0 K7 T7 a) a5 v% J
3. 重要账户的密码策略" P: e6 F" f1 X& K9 k0 `
这类账户的密码一般只允许使用数字,例如银行,支付宝,通常这类账户不担心被暴力破解,他们有防范机制,输错几次密码后便不能输入了。因此,密码复杂度不是第一位的。重要密码需要满足:
$ ^* c5 D4 e% @2 F1 ^便于记忆 ( k; q3 G: h3 N' z" Z) Z2 a
心里熟记,同时写个小本放家里存着,以备不时之需
! h# t# F% R0 F) I+ V; `% ?没有明显规律
* Y% Y9 v* S1 w2 f" f" M: |: c, a绝对不要用生日,111111,123456,000000 这类大众密码。 越无序越不容易被人猜到。当然还有绝对不要跟一般账户的密码相同,谨记不同账户采用不同密码的基本原则。
; H7 B, V! o# F4. 一般账户的密码策略
. c* B" C$ u2 w$ ~9 X5 I, g, c( [这类账户其实我们经常会用到,但记忆其实不是第一位的,我们完全可以做一份密码表,需要的时候用下即可。一般这类账户的密码做到相对独立和高复杂度即可。关于密码表的安全性后面有详述。
4 I3 P' P u8 L B# A2 g相互独立
9 i& R4 y* k; V前面已经提到,为防范撞库,这类账户密码要做到相互独立。& ^; _9 l% J( Q) m7 c) _
复杂度高
. R2 B0 ~" u* N6 e4 z7 |" N网络账户容易被暴力破解,因此要复杂度越高越好
2 f2 I C2 |7 D* \0 K9 a4 J3 Y$ V5 E# Y5 X1 W
二、根据自己的策略进行密码构建与储存4 o+ `/ u+ k7 O
4 T$ d6 J' i8 b* Y9 n9 S2 @* d; W9 C& F& X绝佳的密码无外乎就是好记又不容易被人猜到,那如何做到呢?下面我就分享一些密码构建的技巧。
- k! g `. C, k7 N v2 B- U* ^1 V1. 如何提升复杂度与无序性
; q3 d8 y; B# [6 ^0 W数字,字母,符号兼备。 8 N% @3 X8 Z" `' V# G- P
对个别字母变形即可提高复杂度,很好记 比如我的名字 leeway 可以变形为 1EE^^@y 下表是可以参考的变形,当然自己可己设定自己的变形表。# f6 I4 N7 ~( \7 m0 e/ |
原字符
% M% h5 H9 @1 i8 \5 o- ?变形
6 r8 {8 m1 f- e3 c, i% ma, f& ]$ F- w _- |
@
1 F7 p( l6 C- Te; M' u, p j! n' z
34 ~5 \7 Q) B' q
d& w3 q" N* Q2 e5 e$ o2 e' u* V+ N
b5 s/ \: A# ] z! c0 @
o; J$ t: L8 Y! R% V
03 h' |, m+ Q5 J
s
) h6 \: O0 }6 ] t0 C) k$
5 _$ Z$ o: f6 Et
! p7 I5 z5 X% k9 o- E5 M% u7
3 O# D n0 V6 w2 y$ Rx
! Y+ u/ W2 f! u; o) Z8 h) I# O>8 }7 G& w5 D% y
v
5 F9 J; j n, \ J( U^
: O$ Q b6 l! o% Z7 M* K5 ]1 L8 D- v$ Lz
( Z9 r8 D& q( C) ]+ e! t) N" f* J2
" ^- a4 F* b A Q! J# j ]' \% E…3 L0 M( o9 E0 L" f4 |- ~
…
1 N3 v% z% ~; {( a( w. f% x通过这种字母与数字符号的互换,一串便于记忆的句子就能变成看似乱码的密码了:7 c: n3 S* U- F' }4 E1 n8 g
password --> P@$$w0rd - e% T4 u+ d( F3 V" N: f7 X
这是种简便易行的方法。! N3 D1 j+ s) x% M- d
2. 如何使密码相互独立
8 J5 A: w3 o) i' \5 A很多时候要使用某个app就要注册个账户,这个时候要临时想一个密码显然比较困难,如果单纯得采用 自己的常用密码+应用名称记号的组合形式是比较容易被人识破的,而且这些账户通常不重要,这种时候可以采用 UUID 。
|0 a1 Y; v, K; z1 ]UUID 叫做通用唯一识别码,只要理解成一串随机的字符就可以了,一般包含32个16进制数字,UUID 可以通过很多方法生成,比如这个网站 可以一次性生成很多UUID,需要的时候生成一个即可,随机生成的两个 UUID 重复的可能性极低,可以放心使用。那如何记忆这么多“乱码”呢?没事,请接着看。# o* X6 I, R( b+ F" U3 F
3. 如何储存密码与记忆
2 H& b) |# [$ v; M很显然,密码的复杂度和可记忆程度是成反比的。毕竟不是最强大脑,要记忆住这么多相互独立的密码很困难,这时候就要使用一些工具和技巧了,这里重点讲讲密码表。
4 b2 H7 N) R! s! @( k4 @5 _: H重要账户密码记小本,一般账户密码存可加密的网络笔记。
/ [) u+ Y: S) Y( f$ i- d- p重要账户的密码一般复杂度不高,数量也不多,尽可能记心里,家里备个小本藏好。
0 P3 [5 d9 G- b& u唐诗密码 . z* |2 y* g, {+ d: d' S. G( x
唐诗密码是我在github看到的一个开源项目,其实这类方法就是指用一串好记的句子来联想出相关密码,跟前面提到的变换字符是一样的。这种密码随机性强,看不出特定规律,关键是非常好记。& m4 ? p5 U- d. U4 W; y& {
2AYSTBZ QZ1GWC3
% z) G. r/ O% |两岸猿声啼不住,轻舟已过万重山
$ W8 P2 y* C1 w& b加密的在线笔记
4 q' I' B4 R9 t& q+ Y7 h) s: `一般账户我们就存加密笔记,你之需要记住两个密码就可以了,一个是笔记的登陆密码,一个是笔记的加密密码。目前市场上有不少网络笔记工具可以选择,这里不做推荐,大家可以自己找找。云端的笔记有个优点就是储存和输入方便,无论是手机和电脑都可以方便访问。 这时候你一定在想一个严肃的问题,要是我存密码的笔记被黑了怎么办,如果遇到黑客或者有权限的内部人员,岂不是把我给看光了?不妨学习下古人的技法。
" {9 p0 D. d' k5 t斯巴达密码 9 Y; \* u5 i) r; m
斯巴达密码也就是密码棒,是个可使的传递讯息字母顺序改变的工具,由一条加工过、且有夹带讯息的皮革绕在一个木棒所组成。在古希腊,文书记载着斯巴达人用此于军事上的讯息传递。简而言之就是只有根据规律选取特定位置的字符才是有效的,其他都是用来干扰的无效字符。
: L2 P7 [# @& O5 \+ \) J5 J! L密文:KGAWIBRXLQOPLCSDKVRGIASDNGBHG$ |6 \+ l$ `3 E( _" x
阅读规律:K GAW I BRX L QOP L CSD K VRG I ASD N GBH G7 m5 G2 r( K& Z
解密后的:K I L L K I N G
+ u* E; n/ I6 [, [1 }) ` L6 h衍生的方法
% _, n" p, o. [& r看完斯巴达密码是不是有种茅塞顿开的感觉?我在存云端的笔记时就会采用衍生的方法,由于只有自己知道有效的密文,因此就算笔记被人黑了也没关系。每个人可以自己想好自己的有效字符串,比如下面这几个账户,可能最后一串字符是有效,或者只有第三个字符是无效的,除了你自己,没人看得出规律。
5 j5 m) X& @# d$ L$ f2 U知乎 5d37e74b-4f22-403a-a54f-e25b2e8bba91) ^- C# c8 }7 \ V: y
果壳 fca63075-ecad-4214-8083-9e2bc2c124237 Q! [+ U3 p+ \9 Y9 z. k7 b
豆瓣 e6fb2d22-9bc0-4861-a72c-f6d8a866013d
+ f% v( H( ~4 ~: z简书 dea62500-fcf8-485f-937a-7f926d54a1ef8 z% m$ D& N/ d8 G1 _$ K
' P. c6 b6 ]) h- d" y4 D三、总结
% b) x4 e( ]8 h9 N: q _
" B4 l5 R$ _. o% J6 c账户分类
4 K+ R. u) Z* ?$ J e! ^. a( S7 }, y% j: i: j5 H+ |% p
账户密码相互独立,忌讳一个密码对应多个账户——有效防止“撞库”
+ q$ U# q* C$ I; O6 W! m9 Q( G通过替换字符来增加密码复杂度,最好大写、小写、数字、符号兼备7 V6 H! L' j) ~
重要账户密码记小本,靠脑袋记忆,可用“唐诗密码”
8 L6 w/ n" t# ~6 J+ e# Z9 @* K6 D一般账户存云端笔记,加密笔记再加密——采用“斯巴达密码”4 l( @" n S. A" \0 F0 }- v5 h1 }( ^
准备好一些随机密码备用,比如采用 UUID
( F; g+ V0 G* ~3 I& V3 O最后写一下为什么我不用三方的密码管理工具,比如 KeePass、LastPass、1Password。原因无非是不方便与不信任,基于本地的密码管理工具不方便,云端跨平台的相当于把自己的密码都交给一家公司的服务器上,这让我更不放心。如果一家公司掌握了许许多多人的账户,难免会被成群的黑客惦记。
' {: i2 Q# y3 J) U' ]$ h |
|
发表于 2017-3-6 17:06
置顶卡
变色卡
千斤顶
发表于 2017-3-25 02:13