本帖最后由 小晋 于 2018-8-13 21:28 编辑
2015年最弱的密码,和最强的密码 (出处: 虫部落)
看了@叶开的帖子,想起来以前写过的一篇文章,有点长不方便跟帖,所以就单独开贴发出来了。
一、是否需要借助工具?
虽然现在有诸如1password、keepass、lastpass这类密码助记工具来帮助管理各类密码,但是这相当于把所有的鸡蛋都放进了一个篮子里,一旦你没有看好这篮鸡蛋,后果可想而知。而且软件本身可能有安全漏洞,作为一个产品也有下线的可能,因此不建议大家采用这种方式。即使要使用,也千万不要用它来管理重要的密码。
另外,以实体存在的指纹识别、虹膜识别这类小众的密码管理工具也不推荐使用,因为携带不便,不能做到随取随用。
二、我们的账户是如何被攻破的?
通常我们的账户有两把钥匙,一条是静态密码,一条是动态密码。静态密码可以通过网络信息交易黑市获取,动态密码可以通过挟持你的手机获取。两把钥匙被攻破后,账户就彻底沦陷了。
要守卫好我们的账户就要在两把钥匙上下功夫。简单来说,在静态密码方面,我们要做到三不要:不要使用弱密码,不要多账户使用同一个密码,不要长时期不更换密码。在动态密码方面,我们要注意三防:防丢防盗防劫持。
你密码够安全吗?不妨登录HOW SECURE IS MY PASSWORD这个网站来做个密码强度测试吧。我们试着输入了一个常见的弱密码123456,这个密码位列于最常用密码的前五名,可谓是弱爆了。测试结果为instantly,指的是瞬间即可被攻破。那怎样才能让这个弱爆了的密码变身成为超强密码呢?
三、如何对密码进行改造?
1、“怎样设置一个强密码?”
弱密码通常是一串纯数字或纯字母。通过加长或是数字+字母混写就能提升成普通密码。如果配合Shift键或CapsLock键,输入字符或大小写字母就能变身成一个强密码。最后,别忘了再加一个空格键,一个超强密码就诞生了。
加长:123456123456;25 SECONDS。数字+字母:123456abcdef ;4 YEARS。 数字+大小写字母:123456AbCdeF;3 THOUSAND YEARS。 数字+大小写字母+字符:123456#AbCde;34 THOUSAND YEARS。 数字+大小写字母+字符+空格:123456# AbCde;47 MILLION YEARS。
通过强度测试可以看出,采用加长和混合的方式可以让密码强度不断提升。但是新的问题就出现了,密码强度增加后,记忆的难度也增加了。用一个密码管理所有账户是大忌,一旦这把万能钥匙泄露了,所有的账户都会面临被盗的风险。
2、“怎样设置多个强密码?”
用“统一密码+平台密码”的逻辑来组合密码。如果说统一密码是你随身携带的一把万能钥匙,那平台密码就是很多把放在不同门口的辅助钥匙。当登录不同的平台时,就现场组合一下。
“统一密码+平台密码”:在工商银行的密码:统一密码+GSYH。 在光大证券的密码:统一密码+GDZQ。
这个办法虽然便于记忆,但是却有一个致命的缺点。一旦某个平台的密码泄露,很容易被推测出其他平台的密码,从而面临被盗的风险。
常见的解决办法是对账户进行分级管理,在密码中添加分级后缀。这样即使被推测出逻辑,也只是部分被攻破。比如将账户分为非常重要、重要、普通、不重要三级。例如,涉及银行卡、支付宝这类的财务账户肯定是非常重要的,我们用aa来表示。涉及到QQ、微信这类社交账户就归于重要级别,用bb表示。涉及到百度网盘这类存储类账户就归于普通级别,用cc表示。涉及到其他普通论坛登陆的,我们就用dd表示。顺便说一句,分级之后不重要的级别也可以用1Password这类密码管理器来管理。
“统一密码+平台密码+分级后缀”:在工商银行的密码 →统一密码+GSYH+aa。 在光大证券的密码 →统一密码+GDZQ+aa。
“统一密码+平台密码+分级后缀”虽然避免了账户被全面破解的风险,但是命名逻辑依然处于暴露状态,很容易被识别。那我们继续来升级。
3、“怎样隐藏多个强密码?”
解决这个问题的关键是隐藏“统一密码+平台密码”的设置逻辑。平台密码是放在不同门口的辅助钥匙,得藏起来不要被别人发现了。通常采用的办法是乱序和替换。
乱序是将平台密码与统一密码混写,只有你自己知道在统一密码第几个字符插入平台密码才能组成正确的钥匙。
替换是将平台密码用其他方式表示,最简单的是在键盘上敲字母的时候统一上移一格来代替原字母。数据狂魔还可以用其他的加密算法来替换字母,比如用MD5算法。这个大家百度一下就可以找到一些在线MD5算法的网站,输入原密码后就会生成一组字符串。
乱序:在工商银行的密码 →G统一S密码+YH+aa。 在光大证券的密码 →G统一D密码+ZQ+aa。 替换(键盘上移一格):在工商银行的密码 →统一密码+TE6Y+aa。 在光大证券的密码 →统一密码+DZQ+aa。
通过这样的改造升级,就算你把密码贴在脑门上也不怕了。既然保密系数这么高,那我可以用本子记下来吗。当然可以,不过不要全写出来,用个特殊字符代替万能钥匙后,随你怎么记录。
重要提示,万能钥匙千万不要用和我们个人信息有关的身份证号码、生日号码、手机号码等来进行创作。下面就让我们来欣赏一些用编程语言表达的古诗词密码吧。这些密码的破解难度都极其的高,可以作为万能钥匙,配合平台密码使用。
3cQScbrOnly1 → 三尺秋水尘不染,天下无双; 3 THOUSAND YEARSNoTXnorC1/2(XJ+Z) → 不染天下不染尘,半分形迹半分踪; 4 QUADRILLION YEARSppnn13%dkstFeb.1st → 娉娉袅袅十三余,豆蔻梢头二月初; 380 QUADRILLION YEARSfor_$n(@RenSheng)_$n+="die" → 人生自古谁无死; 13 DECILLION YEARSwhile(1)Ape1Cry&&Ape2Cry → 两岸猿声啼不住; 1 OCTILLION YEARS1/2(S+S+X)andRDX → 半神半圣亦半仙,全儒全道是全贤;41 TRILLION YEARS
如果这些脑洞清奇的密码你记不住,那么可以选择一句你记得住的诗词、乐谱、绕口令或化学方程式来作为万能钥匙。不过,再强的万能密码也要记得定期更新。这次用”唧唧复唧唧,木兰当户织“,下次就用“不闻机杼声,惟闻女叹息”。或者这次用《木兰诗》,下次用《琵琶行》。相信假以时日,你就可以脱稿朗诵全文了。
诗词:jjfjj,mldfz → 唧唧复唧唧,木兰当户织;55 YEARS 乐谱:51111567113135533135322→ 国歌简谱;79 THOUSAND YEARS 化学方程式:3Cu+8HNO3=3Cu(NO3)2+2NO+4H2O → 化学方程式;53 DECILLION YEARS 绕口令:Cptbtptp,bcptdtptp → 吃葡萄不吐葡萄皮,不吃葡萄倒吐葡萄皮; 2 QUADRILLION YEARS
四、那万一被盗,该怎么办?
支付宝账户安全险大家应该都有吧,有的是免费领的,有的是花积分换的,有的是花几块钱买的。 其实支付宝为所有会员都购买的了账户安全保障的。这个每年几块的支付宝账户安全险,个人觉得很鸡肋,可以不用买。不如去买其他类型的账户安全险。 当然,免费领的,来者不拒。
其他类似的账户安全险,网上还有很多,中民保险网、慧择网、淘宝保险都有销售。
| 
小晋
发表于 2018-8-13 19:35:51
宇宙的小飞虫
发表于 2018-8-13 21:21:27
小凯
发表于 2018-8-14 09:18:39
bingxuan
发表于 2018-8-14 10:10:52
kerwincy
发表于 2018-8-15 15:28:28
糖果小屋
发表于 2018-11-6 16:29:50
Ailuoli
发表于 2018-11-6 16:39:07
