/ 你的密码是怎么设置的?你觉得它们安全吗?怎么才能设计出一个足够安全的密码?/
你觉得你的密码足够安全吗?不妨来试试这个网站 https://www.passwordmonster.com/ (点击底部“阅读原文”,即可测试)它能够根据你填写的密码来测试安全强度等级,甚至预估多长时间可以被暴力破解。很遗憾,我的常用密码只有中等强度,并且只需要三个小时就会被攻破。你的呢?或许你的常用密码同我的一样,等级不高,也是在很短的时间内能够被破解,又或许你的密码足够强大,甚至需要65亿年才能够被暴力破解,但很遗憾的是,你的密码还是被我知道了,因为这个网站就是我做的,目的就是骗你们进来输密码。不用担心,你的密码并没有泄露,这个网站也不是我做的,我只是想通过这个测试让大家意识到,别人想要拿到你的密码,破解只是一种办法,骗你把密码拱手相送,反而更加容易。密码泄露的渠道有很多种,比如你在输入密码时被人看到了、登录了不安全的网站,密码设置得过于简单,甚至大平台服务器被黑,连带你的账户密码都泄露了等等。 001.
相信很多朋友在设置密码时都习惯将自己的姓名拼音、生日或者英文名、电话号码、身份证号等常用的字母和数字拼凑在一起吧,这种形式的密码对于我们来说肯定是最好记和最方便的,但同时也是最不安全的。如果你的个人信息被泄露,密码是极其容易被猜解的。同样的,过于简单和重复的密码也不安全,比如将密码设置成 123456789,或者 abcd1234 等等,这样有规律的密码,在破解器里,甚至连一秒都用不上就会被破解。我们在密码测试器里可以看到与密码强度等级相关联的四个元素,小写字母,大写字母,数字,符号,当我们的密码里越多包含这四种元素,密码强度等级就越高,越难被破解。如果这样,那岂不是无敌了?对,理论上是的,比如我们将 B 站密码设置成 TOP%6886BooK#,那么如果有人要暴力破解的话,得等个 478 年,他孙子的孙子都看不到了结果了。难道这样我们就可以为所欲为了吗? 002.
在互联网中,黑客们通常通过诱骗或者“拖库”(导出数据库)等方法获得你在某一平台的账户和密码,再用这些密码去其他平台“撞库”,越是喜欢在不同平台设置同一个账户名和密码的人,越容易遭殃。有多少人常年用同一组密码登录各平台,弹幕里扣波 1,直觉告诉我,你并不孤单。那到底要怎样才能够设置出既不包含过多的个人信息,又没有规律可循、且复杂、安全强度高,同时还能保证某一个丢失或泄露不影响其它平台的超级密码呢? 003.
某些聪明的小伙伴或许已经想到了解决办法,那就是每个平台的元素加上自己特定的元素,比如我们在登录 Topbook 的网站时,密码可以设置为 TOPbook@CO1ll06# ,这里的 TOPbook@ 就是平台的元素,如果登录谷歌,那这里就是 Google@ 。CO1ll06# 就是我们需要自己设置的特定元素。这样,这个密码就拥有了所有安全密码所需要的特质——没有个人信息,密码长度够长,大小写,数字符号都包含,每个平台之间不会重复,最主要的是,好记。嗯,我们将密码放到强度计算器里测试一下,欸,确实不错,安全强度非常高,要破解得16个世纪。有人可能就要问啦,CO1ll06# 这串字符好记个啥呀?它其实就是咱们动画师女朋友的生日和姓氏变换位置。比如这一段你猜是什么?lwqw400ymh ——“老王欠我 400 元没还”。这一段,你猜是什么?Cindycy1/2ezdgg—— “先帝创业未半而中道崩殂”。还有知乎网友设置的这种密码,你再猜猜?while(1)Ape1Cry&&Ape2Cry ——“两岸猿声啼不住”。
你可以用自己的方式组合任何常用字符,但最好不要用别人设置的现成字符或规律,这样也有泄露的风险。但这里 TOPbook@CO1ll06# 这串密码通过固定网站加上自己常用字符的套路真的安全吗?它有一个比较致命的问题是,如果从社会工程学的角度来看,我设定的套路反倒成为了密码破解的突破口,如果你拿到了我的密码,TOPbook@CO1ll06# ,立马就可能分解开来,拿去尝试我的其它平台,那么这样的设置策略无疑就是失败的。或许这时有人会立马想到凯撒密码。不是平台的元素会被当成攻击点么?我们可以将平台的元素通过凯撒密码的加密方式处理一下,也就是将这几个字母向后或向前推几位,再加上属于自己特定的一段元素,这样或许可行。比如我的初始密码是,TOPbook@CO1ll06#,那么按照字母顺序表向后推三位就是,WRSerrn@CO1ll06#,这样看着好像有那个意思了,但是这中间还是存在问题——向前后推移或者换算字母的方式并不方便记忆,而且凯撒密码在黑客眼中也很容易被破解。不过,这种平台元素加个人元素的思路还是没有问题的,我们只需要设立一个规则,这个规则对我们自己来说是非常容易记忆的,但对别人来说,就算看到了你的密码明文,也都像看到了一段乱码一样。如果达到了这样的效果,那我们的密码设置就成功了。还是以刚才的密码 TOPbook@CO1ll06# 举例,如果我们将平台元素的位置移动一下呢?像这样,BookCO1ll06#Top,然后在特定的位置加上特殊符号,/BookCO1ll06#Top! ,这样,一个符合各项安全密码条件的超级密码就设置出来了。长,四个基础元素,没有个人信息,没有明显的规律,换个平台同样的规律还能用。最主要的是,在别人看来好似一段乱码的密码,对你来说,只有两个字,“好记”。很显然,这里的组合方式还有很大的改善空间,比如位置的摆放,或者对于平台的基础元素再设计等等,但对于每个人来说,想到一套属于自己的密码设置规则方案,不就相当于为自己的数字安全加上了一层甚至几层超级 buff 么。试问,从此以后,身后有人偷看你输密码能怎样,个人信息泄露又能怎样?网站平台账户数据泄露又能怎样?话虽如此,你可千万不要掉以轻心,就像我在开篇的那个玩笑一样,相比被破解,你的密码更可能是由你自己拱手相送的。曾被称为“世界头号黑客”、蹲过监狱又当过美国计算机安全顾问的凯文·米特尼克曾说过,人为因素才是安全的软肋。字符越长越好,至少 8 个;至少一个大写字母、一个小写字母、一个特殊符号、一个数字符号;不要使用常用短语、不要包含你的个人信息;不要一码多用、不要告诉别人;然后耐心等个一百年,因为你那个时候如果还有骗子骗你输密码,你应该输不了了。
剩下的问题是,密码管理软件靠谱吗?浏览器和系统自带密码管理器靠谱吗?未来我们可能不用这么辛苦的记密码了吗?如果你也想知道的话,请点赞评论转发让工具回归工具,让你成为你,这里是 Topbook,我们下期再见。文案 / 轶鹏
排版 / 花花
封面 / 雪碧
https://www.passwordmonster.com/
https://news.ifeng.com/a/20170417/50954990_0.shtml
https://zhuanlan.zhihu.com/p/41386095
https://lifehacker.com/four-methods-to-create-a-secure-password-youll-actually-1601854240
https://www.cnet.com/news/your-phone-carrier-is-selling-your-personal-data-heres-how-to-tell-it-to-stop/
https://www.mcafee.com/blogs/enterprise/cloud-security/how-to-create-a-strong-password-you-actually-remember/
https://blog.avast.com/strong-password-ideas
有哪些「社会工程学」攻击手段?- 知乎 (zhihu.com)
建立自己安全可靠好记的网络密码体系!个人密码安全设置策略建议与技巧 - 异次元软件下载 (iplaysoft.com)
凯撒密码 - 维基百科,自由的百科全书 (wikipedia.org)
密码学 - 维基百科,自由的百科全书 (wikipedia.org)
#感谢关注 Topbook
在避无可避的数字生活中,
我们塑造工具,工具也塑造我们,
所以,我们希望,
让工具回归工具,让你成为你。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/