密码健忘症有治了,跟大牛们学习如何管理密码~

安全 作者:尖刀制造 2015-10-21 09:55:46
QQ、微信、微博、人人、邮箱、网银、支付宝、以及各大平台,细细数来注册的账号不下20多个。有人说密码已经乱成一锅粥,安妮儿觉得这锅粥可谓是红枣、莲子、银耳、花生、红豆应有尽有,如此营养丰富,却唯独治不好我的密码健忘症。每当想要登录一个网站,这时候【找回密码】功能就显得如此可爱重要了~
可直到有一天,邮箱密码忘了、密保问题也不记得了、更是没有设置手机绑定,邮箱都登录不起如何再重置其他网站的密码呢!?整个人都不好了,有木有! 有木有 即使健忘症已经达到登峰造极的地步,何弃疗!安妮儿找来大牛们各种设置密码的姿势准备下一剂猛药!(借鉴知乎)  
书中自有黄金屋
  余弦,在知道创宇黑客不神秘 我的方式是:我喜欢看红楼梦,我的密码所有规律都在这本书里。 比如:知乎相对来说有些姿势,那红楼梦里谁的气质类似呢? 把这人的名字与口头禅或某习惯拿出来 + 某个变形 == 最终密码。 这样就很难忘记,忘记了做个推理就好。 那,那些完全无所谓的网站就随意了,爱黑你就黑,别被我发现你的行踪就好。比如某大网站你用我泄露的密码去登录,恭喜你,你的痕迹自动会被这个网站的风控机制记录下来:D  
双因子 or 多因子
  刘晴,阿德莱德大学计算机硕士 以前在微软里面混的时候,权限大的密码都是每90天一换,且之前使用过的都不能在使用。密码的记忆都是口头告诉,没有落实在文档里,就是怕被黑了。 就单独说密码的管理的话,考虑双因子或者多因子方法吧。单一密码很容易出现问题。 比如,密码+动态密码+数字证书+生物信息等。 或者就干脆麻烦点,每次不记忆密码,计算出来,比如自己的身份证号异或老婆的身份证号等。  
长度很重要,但千万别复杂
  涛吴,EXASOL programmer 觉得复杂就别用 觉 得 复 杂 就 别 用 觉。得。复。杂。就。别。用。 长度很重要,八位不够。我知道你数学好,会算排列组合有多少,但世界上的彩虹表是在不断增长的。 最简单的脑兼容算法如下: 四个词和一个数字用hyphen连起来,第一个单词全大写 没有第二步了。 例子: CORRECT-horse-battery-staple-4 I-can-remember-this-I-must-be-god-3 NI-ta-ma-de-cai-che-dan-9 额外的数字和大写是为了满足某些网站的密码组合要求。但是碰到限制密码长度的二逼网站你就没辙了,虽然这样的网站其实不注册也罢。  
关键字 + 算法
  葛致良,Timehut软件开发工程师 曾经在效率天阶上看过一篇关于如何设置密码的文章,很具有可操作性,自己实践了几个月,感觉还不错。这套方法的核心在于“关键字”+“算法”,具体方法摘录见下: 定义一个“关键码”:这是只有你自己知道的密码核心,你只需要一个关键码,它将与其他内容一起组成密码; 例如:你名字的汉语拼音缩写+生日日期的最后一位+门牌号的上一位——比如tht51; 根据网站,取特征码:比如取网站地址的一些关键字,具体规则也是随你来定,但要确保这个规则在所有网站上是一致的; 举例1:你要注册的网站的域名部分的第1、3个和末尾的字符,不足的用0代替——yahoo的话就是yho,sohu就是shu,163是133...以此类推。 举例2:网站域名的头2个和最后2个字符,中间加上域名结尾的字符数——http://elcorp.com.cn就是el5rp,http://lenovo.com就是le3vo...以此类推 把上述两个关键字用你觉得最顺手的方法组合在一起,要点与之前两个一样:“规则一致” 例如:以yahoo为例,你可以组合出yho51tht,thtyho51或者tht51yho,只是一旦确定了规则,你就应该把它用在所有的网站账号中。  
词根记忆法
  大海胖胖,互联网码农 分享一下我的经验,以weibo为例: 选一个词根,比如Big,然后设计一套根据网站名生成密文的规则 比如weibo的元音字母在2、3、5位,得到235 然后辅音在1、4位,得到14 将其中的奇数转为该数字在键盘上对应的符号,得到2#%!4 加一个后缀,比如weibo的首字母为w,字母表上w之后的三个字母为xyz 这就是你的weibo密码了:Big2#%!4Xyz 同样的方式可以得到sina密码:Big24!#Tuv 当然,算法你得想一个真正属于自己的,然后固定下来  
绝对安全的信息中枢
  江南刀客,信息传媒 密码泄露首先责任是网站,为什么会泄露,为什么要存明文的密码,意欲何为?这些网站管理者不光技术有问题,人品也有问题

密码的管理首先是策略问题,其次才是什么算法,什么技巧。程序员都喜欢用大小写,标点符号这种复杂密码,但交给csdn这种垃圾网站还不是一样乖乖泄露。

个人而言,一定要有一个绝对安全的信息中枢。我选择的是gmail,复杂密码+手机动态密码。除了主邮箱,我还注册了几个gmail马甲邮箱,用来注册不重要的账号

资金方面:网银一定要有U盾,支付宝里面平时不放钱

重要涉及隐私的应用:淘宝、QQ、邮箱之类,邮箱一律用gmail,密保问题我都是些乱码,截图存在gmail里,谁能把gmail搞定我就认栽

普通应用:微博、知乎、微信之类,都用gmail注册,但以马甲gmail为主,密码强度不高。觉得重要性提高以后,就修改密码,改成复杂的。自己记不住的就截图,存到gmail里

垃圾网站:gmail垃圾马甲,垃圾密码,现在都流行微博授权登录,我就搞个微博马甲作为垃圾登录专用

 
密码管理器
  不鳥萬Rio, IPN 播客网络创始人 用密码管理器,为每个不同的服务使用不同的随机密码。自己只记住密码管理器的主密码,剩下的事情交给机器去做。 比如我在 OS X 上用系统自带的 Keychain Access 来生成混合字母、数字、符号,长度至少18位的随机密码,然后存在 Keychain Access 中。通常浏览器会从 Keychain Access 根据你在网页上填的用户名自动从 Keychain Access 里面填充密码。如果因为网页的登陆地址每次不同无法自动填充,可以手动打开 Keychain Access 来复制粘贴。Keychain Access 本身则是用我的登陆密码加密的。 OS X 上也可以用付费的密码管理软件 1Password,但 1Password 只能默认保存网页密码,其他如应用程序密码(QQ)、WiFi 密码、SSH 密码系统默认保存在 Keychain Access 里。 密码管理软件依赖于本地存储的数据库,这个数据库必须要做好备份,否则一旦丢失,所有密码都不见了。我用 Dropbox 同步的我的 Keychain Access 的密码数据库,因此我只需要记住我的登陆密码、Dropbox 密码、邮箱密码,就能保证万无一失了。  
复杂不等于安全
  Neeao,阿里巴巴集团安全专家 关于密码安全: 1.再复杂,再难记的密码,你用到了一个不安全的网站,一样是浮云。比如你使用一个16+以上包含所谓的大小写英文字母/还有数字特殊字符,用到一个没有加密的网站,网站被黑客黑了,你的密码也就泄露了。 2.对于国内的网站的安全现状,不是密码的复杂度的问题,而是如何保证你重要密码,比如银行密码,在线支付密码,重要的IM工具密码,比如qq、msn等,提供商不会被黑泄露你的密码。 3.现在国内黑客常用手段之一,获取一个id的密码后,到各大网站尝试是否能登录,所以还是要保证重要帐号密码不一样就ok了。 4.密码复杂度并不能保证你帐号安全,好的密码使用习惯才是帐号安全的根本。

管理密码的方法可谓是八仙过海,但无论你用何种方法记住密码,安妮儿在这里提醒大家: 对于重要的账号,切记密码一定要不定期的更换才行哦~

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接