TA的每日心情 | 慵懒
2026-5-16 06:41 |
|---|
签到天数: 4728 天 连续签到: 1 天 [LV.Master]十年《功德圆满》
|
前言' L, l$ Q& T0 m8 C& F3 d& l
原理很重要,技巧是浮云,抛砖引玉,且看且思考。
, k9 k- p! y0 x2 P1 T6 E% m* u' ?6 A2 z- q( F2 r6 L
, H/ ~& {! q% Y5 Y( m8 k
# A4 r4 S9 d( ^3 H5 [1 ?) v一、为不同的账户类型制定不同的密码策略
" d2 T( Z7 b* w" _$ X
2 @$ {5 ]' s( z1. 账户类型# g' Z9 Z' ]6 {6 l( h
首先我们可以很容易把账户分为两类:重要账户与一般账户。 分类是为了制定密码策略,因为这两类账户的密码需求是不一样的。 这个分类不绝对,可以自行斟酌,比如微博微信都可以放在重要类别。
% ` i% {6 _; H* K6 a/ \重要账户是指涉及个人重要隐私或者财产的:
4 J; p/ N$ n; |$ t银行、社保、支付宝、QQ、手机pin码...
2 z, \ D/ ^* [; o/ b4 E8 Z1 S" n一般账户指各种论坛、社交媒体、产品使用授权等:
" `9 x$ Y& N' G( q微博、微信、天涯、知乎、星巴克、路由器、WIFI、宽带...$ q. q; ]( g$ p0 W" x( g! b; N
2. 密码策略的基本原则5 ]0 E' o; ]2 Y- J: x3 _
不同账户采用不同密码 m* U3 H4 [ J0 I$ V
若密码相同,一个账户密码泄露了就要改所有账户的密码,显然是下下策。
: B* X+ x& ^2 F- S- d7 E目前个人密码最容易被泄露的一种情况是——撞库。简而言之,就是你注册了网站A,又注册了网站B,C... 结果 C 网站不幸有漏洞,被黑客收集了用户和密码信息,然后黑客就用这个去尝试登陆网站A,B,尝试批量登陆其他网站后,得到一系列可以登录的用户了。这类情况其实非常常见,必须谨慎对待。% P* S/ h# N4 ?. z n7 P
越高的密码复杂度越安全
* ~# y. K3 f" v" B密码的复杂度并不是指密码看起来越长越无序越安全,而是指采用数字+字母+符号的组合形式,不要小看一个符号,这种混搭的形式将极大的提高破暴力解难度。暴力破解又叫做穷举法,是指一个个试密码,逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。若加入符号,可以极大提高密码组合的可能,因此能有效防范暴力破解。通常来说,真正通过暴力破解来攻破个人密码的情况不多,但不管怎样,提高复杂度总是好的。, E1 n5 m# U" T& H
尽可能方便记忆
* B: f9 D4 W7 I- s# L- Q# Q% U, [掐指一算自己注册的论坛就有十几个,可如果不同账户采用不同密码,怎么可能记得住这么多密码呢?别急,先仔细想想自己是不是真的需要记忆那么多密码。根据我们的账户类型,我们可以采用不同的密码储存方式,忘记密码这种事自然是不能忍的。$ T) P) w7 l" h) R% J5 n" v+ T% G
3. 重要账户的密码策略
+ ]( J# O O% C' F/ A/ h! b0 g这类账户的密码一般只允许使用数字,例如银行,支付宝,通常这类账户不担心被暴力破解,他们有防范机制,输错几次密码后便不能输入了。因此,密码复杂度不是第一位的。重要密码需要满足:* |) w$ u# J' O$ `8 B
便于记忆
/ @" m u+ U6 u2 s& A+ G( G2 O* s心里熟记,同时写个小本放家里存着,以备不时之需% F! Y# I4 d% D) L8 Q/ R
没有明显规律 $ ~. a- _0 H" B/ n! ^
绝对不要用生日,111111,123456,000000 这类大众密码。 越无序越不容易被人猜到。当然还有绝对不要跟一般账户的密码相同,谨记不同账户采用不同密码的基本原则。
# S- V$ R" i! d: Q' E- z4. 一般账户的密码策略
( e/ g: q- P3 h( T9 Y% Q这类账户其实我们经常会用到,但记忆其实不是第一位的,我们完全可以做一份密码表,需要的时候用下即可。一般这类账户的密码做到相对独立和高复杂度即可。关于密码表的安全性后面有详述。9 K: N+ h$ ^! u H
相互独立
! [; z! j% a3 J7 Y/ w B; L0 M! D前面已经提到,为防范撞库,这类账户密码要做到相互独立。
, f. r* I' v+ R/ u! o复杂度高 + X% a4 F1 J7 ?
网络账户容易被暴力破解,因此要复杂度越高越好3 k% ^) N8 G9 ?/ S! H. ?. Y
% i2 `) _: W8 {2 [
二、根据自己的策略进行密码构建与储存
* Z9 \5 b' H& H# Y' K/ M' J7 d; q9 X8 A
绝佳的密码无外乎就是好记又不容易被人猜到,那如何做到呢?下面我就分享一些密码构建的技巧。/ L( @8 D. t. w* S$ Z0 C# V
1. 如何提升复杂度与无序性
3 l; o+ ]9 Z% r3 e0 z( z0 K0 e数字,字母,符号兼备。 7 u7 A4 Q1 H* V5 f1 {
对个别字母变形即可提高复杂度,很好记 比如我的名字 leeway 可以变形为 1EE^^@y 下表是可以参考的变形,当然自己可己设定自己的变形表。: n! p) J+ m1 ?* ?
原字符
; |. J) U/ n v变形
( a- t) R C$ g& T2 m0 Z% Ga
/ V+ P2 y# D% {2 I9 X2 a* i@
p( B# h) S4 Z8 l: g& r5 Z) ke# N6 S3 G3 ?9 v X
3) ^( s& W0 f) H ^1 ~- ]
d
8 a/ E2 a3 e/ ]: e0 o! Tb
0 } T4 I$ w) h( K5 j \o2 N" T; R2 e9 g$ R7 D; z& W
0
4 L- L5 f. Q4 o8 t) R$ X) Ws
$ ^2 Y Y2 L* w4 a$0 h" K$ p& h1 L1 L9 I5 q4 g0 M
t$ b% U( ?; M0 \: _* ?7 E) N
7* P! m, G3 f' t7 Z" l! T' ~
x F- M6 m h* v5 y* H) z
>
9 y5 u4 j( ?2 s. \( dv
2 F3 i9 J; ]6 y# h^
' ]- B- t& N4 E1 i/ N) Jz/ U% O8 H" n) B/ R) y* v# b" h
2
4 \2 {2 E2 E# o$ F+ h7 a0 u4 Z…& I( @6 d c( W) g5 {) z
…8 l% m- f4 M3 t M1 y1 z, E9 b
通过这种字母与数字符号的互换,一串便于记忆的句子就能变成看似乱码的密码了:/ u* u# g8 R$ T2 |# L/ N
password --> P@$$w0rd 8 N, u5 C `; H3 f
这是种简便易行的方法。
# O: w" g! v" k4 S! [2. 如何使密码相互独立
0 Q3 c) j* V9 {; D) p$ s# ^! z; [很多时候要使用某个app就要注册个账户,这个时候要临时想一个密码显然比较困难,如果单纯得采用 自己的常用密码+应用名称记号的组合形式是比较容易被人识破的,而且这些账户通常不重要,这种时候可以采用 UUID 。 4 d( Q) m, t! ^7 B' T
UUID 叫做通用唯一识别码,只要理解成一串随机的字符就可以了,一般包含32个16进制数字,UUID 可以通过很多方法生成,比如这个网站 可以一次性生成很多UUID,需要的时候生成一个即可,随机生成的两个 UUID 重复的可能性极低,可以放心使用。那如何记忆这么多“乱码”呢?没事,请接着看。
5 R$ s( u3 p! u0 l& N5 v3. 如何储存密码与记忆8 N& [7 K3 S$ k; E- ~4 X" z3 Y6 g
很显然,密码的复杂度和可记忆程度是成反比的。毕竟不是最强大脑,要记忆住这么多相互独立的密码很困难,这时候就要使用一些工具和技巧了,这里重点讲讲密码表。
1 A% `' D/ T- K- t) r1 O7 g重要账户密码记小本,一般账户密码存可加密的网络笔记。. Z: K$ o* K0 T: M: w' w
重要账户的密码一般复杂度不高,数量也不多,尽可能记心里,家里备个小本藏好。
$ L- U% [+ L9 t. [( T唐诗密码
5 @4 g' S {. P: e唐诗密码是我在github看到的一个开源项目,其实这类方法就是指用一串好记的句子来联想出相关密码,跟前面提到的变换字符是一样的。这种密码随机性强,看不出特定规律,关键是非常好记。
% @$ a: B" C2 T! \" i& \2AYSTBZ QZ1GWC3
( J: E& D! E! ]' [. L2 q/ ~两岸猿声啼不住,轻舟已过万重山; I" K* }2 N# N x) J$ q. |
加密的在线笔记
+ ?2 S. Q. n; n! x! u一般账户我们就存加密笔记,你之需要记住两个密码就可以了,一个是笔记的登陆密码,一个是笔记的加密密码。目前市场上有不少网络笔记工具可以选择,这里不做推荐,大家可以自己找找。云端的笔记有个优点就是储存和输入方便,无论是手机和电脑都可以方便访问。 这时候你一定在想一个严肃的问题,要是我存密码的笔记被黑了怎么办,如果遇到黑客或者有权限的内部人员,岂不是把我给看光了?不妨学习下古人的技法。1 _' j, y, h0 w" f
斯巴达密码 ; n) p$ `" a2 I3 F6 S# n9 q$ K
斯巴达密码也就是密码棒,是个可使的传递讯息字母顺序改变的工具,由一条加工过、且有夹带讯息的皮革绕在一个木棒所组成。在古希腊,文书记载着斯巴达人用此于军事上的讯息传递。简而言之就是只有根据规律选取特定位置的字符才是有效的,其他都是用来干扰的无效字符。' N, E9 ]; X" x1 R
密文:KGAWIBRXLQOPLCSDKVRGIASDNGBHG( `, |0 x* S, R) z) E
阅读规律:K GAW I BRX L QOP L CSD K VRG I ASD N GBH G4 H, R" @: b; }( g4 Q( {; z/ p
解密后的:K I L L K I N G
2 d( o7 ~. q6 ^: C# r E) ?衍生的方法 , X6 w$ r* f' Z8 s s
看完斯巴达密码是不是有种茅塞顿开的感觉?我在存云端的笔记时就会采用衍生的方法,由于只有自己知道有效的密文,因此就算笔记被人黑了也没关系。每个人可以自己想好自己的有效字符串,比如下面这几个账户,可能最后一串字符是有效,或者只有第三个字符是无效的,除了你自己,没人看得出规律。
% ?+ j/ W' I- S, u知乎 5d37e74b-4f22-403a-a54f-e25b2e8bba912 |9 w, N _+ a9 y8 w% d
果壳 fca63075-ecad-4214-8083-9e2bc2c12423- X# p9 t- h) k" ?$ s4 ]1 z- B
豆瓣 e6fb2d22-9bc0-4861-a72c-f6d8a866013d2 r* \* H& u2 k" K- ]! U
简书 dea62500-fcf8-485f-937a-7f926d54a1ef6 X0 U% N9 i& ~1 Z! w# U
7 H! P& j" I: D7 b& }
三、总结8 _/ e9 n" B# `5 x$ O
$ m+ m2 s8 R6 |" w# [7 e' Y账户分类7 F, q" U+ M- s# V3 u' @! J
5 l1 m0 g* F8 V' a% v# A& i# v4 C账户密码相互独立,忌讳一个密码对应多个账户——有效防止“撞库”
; o. P2 g0 f. N通过替换字符来增加密码复杂度,最好大写、小写、数字、符号兼备/ M$ w4 x. Y- G3 t6 _6 `' I
重要账户密码记小本,靠脑袋记忆,可用“唐诗密码”$ t- ^9 M9 w# O, o! h+ l
一般账户存云端笔记,加密笔记再加密——采用“斯巴达密码”
' W% ^" t7 O3 U准备好一些随机密码备用,比如采用 UUID. D. B* R1 D# G* i1 X
最后写一下为什么我不用三方的密码管理工具,比如 KeePass、LastPass、1Password。原因无非是不方便与不信任,基于本地的密码管理工具不方便,云端跨平台的相当于把自己的密码都交给一家公司的服务器上,这让我更不放心。如果一家公司掌握了许许多多人的账户,难免会被成群的黑客惦记。$ Z" g. m7 E- |0 {- m4 N* |
|
|
发表于 2017-3-6 17:06
置顶卡
变色卡
千斤顶
发表于 2017-3-25 02:13