很认真的聊一下密码的问题

应该说,又是老生常谈,很可能谈完了也没什么卵用。

现在发展太快了,以前三五账号,防着木马盗号的日子一去不复返了。现在是成百上千个账号,嗯,刚看了一下自己的 Lastpass ,里面储存了三百多个。而我们现在担心的也不再只是木马,更可怕的是那些大型网站被拖库。

当然了,主要原因还是我们各个网站用的密码都一样啊,一脱裤钱不重新设置密码,简直疯狂的不要不要的啊!

这不安全,是的,但是大家心里都知道,可是怎么解决才是大问题!我们需要一个简单有效,而且局限性尽可能小的方案。这也是本帖希望讨论的问题。

前边提到了 Lastpass ,那么这些密码管理工具很好,他们可以自动填写,自动登录,也可以帮我们输入复杂的密码。密码交给他们管理,那么给每个网站设置复杂,而且各不相同的密码成为了可能。但是,当我们自己都记不住那些密码的时候,我们也就离不开这些工具了。好吧,这是次要的问题,主要问题是,有一天我在别人的电脑上,而且没带移动设备,咳咳,我需要登录一个站点的话……登陆 Lastpass 的网站先,没错,但是如果我用的是 KeePass 呢?我要是没记错,这货是本地数据库的。而且国外网站登录起来不可知的问题也是很多的。其实呢,这些个爆掉你一个主密码就可以拿走你一切的工具用起来也真的觉得很玄,很不踏实。

我们要什么?足够的密码强度,足够的使用便利,最好足以让我们可以不借助,或者只借助简单的工具便可以记忆起来的。当然是一站一码的。

这个问题一个比较好的思路是花密,首先它有各个平台(包括 Web 和 WindewsPhone)的客户端,而且免费。用法也很简单,一个记忆密码,一个网站识别密码,然后用他的工具据此计算出一个强壮密码。很方便了,也很简单了,虽然要借助工具,当然顺便说一下,如果在其他电脑上使用这个工具的 Web 版,还是有安全隐患的,我想,我可以轻松地写一个油猴脚本记录你的输入。而且如果你是用的是很有规律的网站识别码,而记忆密码不变,我几乎可以进而推算出你所有网站的密码。

当然了,现在这个情况已经比那些密码管理工具更便捷一些了,而且这个思路我也很喜欢,用简单的变量+聪明的公式计算出每一个密码,如果可以方便到心算的地步,简直就完美了。当然我们其实随便找一个 MD5 计算工具也可以轻松地实现这种功能,这样局限性又小了一些。

可是仍然有不足的地方,而且很严重。现在我们一站一码,强度足够。那些大网站被拖库我们自然不怕被株连全部账号了,但是出问题的账号还是要改密码的,当然,在上述算法的情况下,其实就加上一个密码的版本号就可以了,因为修改一位便可以让计算结果变得聊他妈都不认识他。可是当这种情况出现多次以后,让我们记住每一个网站的密码版本也变得如此不可能。于是说来说去又说回来了,密码不交给工具去管理我们根本记不住。但是交给工具管理之后,一旦遭遇特殊环境,特殊情况,再想获得密码,对于自己来说也是一个无解的难题。

然后便出现了一个新的方案——两步验证。然而可惜的是我不可能给自己所有的帐号都做这种设置,因为很多网站是不支持的,这很可恶!而且既然有了移动设备,那么在移动设备上使用密码管理工具也可以,虽然照抄很麻烦,但是毕竟特殊情况也不是经常遇到的。

可密码这东西还究竟是不是我自己的?好像没了工具根本玩不转了,人类沦为电脑的努力的征兆开始显现。

你有什么办法?什么想法?拿出来说说,相互启发一下吧~


Append:还有一个必须包含的因素要考虑,用户的区分,有的时候一个站好几个用户啊,头疼

给 Lastpass 加一个二次验证…问题解决了没?

我抛砖引玉说下自己的密码管理方式。
其实也谈不上管理,只是有一套非常简单的密码计算方式

我密码构成的基本套路是:

大写英文字母若干 + 数字若干 + 小写英文字母若干 + 特殊符号。

大写英文字母若干:
这部分我是懒得修改的,通常是固定的3个大写英文字母。

数字若干:
这部分也是懒得改的,通常是固定的4个数字。

小写英文字母若干:
这是重点,为了不在一堆服务上使用同样的密码,所以要使用不同的密码,(据说可以提高安全性)然后在这里,我用了最懒的方式来区分不同网站账号的密码。
1、小写英文字母 = 网站中文名称的拼音首字母,比如小众 = xz / 小众软件 = xzrj(不一定用全称)
2、小写英文字母 = 网站英文名称的辅音字母组合,比如 Facebook = fb, twitter = tt, apple = ap,
(这样始终感觉不太安全,但是也懒得再想新的计算方法。)

特殊符号:
这里就是指围绕26个英文字母键位旁边的那些:

,。、;「【】、!@#¥%……&*()——+,

需要注意的是,全角半角、中英文字符不一样,否则很容易因为输入法而导致密码错误。
特殊符号这里,我一般只使用1个固定的特殊符号,因为手机输入实在是比较麻烦。(还是懒o(╯□╰)o)

总结一下,我的密码基本就是:

固定的3个大写英文字母 + 固定的4个数字 + 不固定的小写英文字母 + 固定的1个特殊符号。

大部分网站给我的密码评级是强,也有一部分非要把长度加到10个字符以上才能算是强密码 orz.
BTW,因为 google 修改密码不能用以前用过的,所以被迫启用了一组新密码。所以现在我是用着两组,大概是这样:

A组,ABC1234gg^
B组,XYZ0987gg^

前面的大写字母和数字被我改了,这样两套密码似乎也挺好的。感觉安全性提高了。

延伸一下:
前面大写字母,也可以加入一些便于记忆的计算方法,(一定要便于记忆,否则忘记了就很悲剧)比如昵称拼音首字母,姓名拼音首字母,学校/公司拼音首字母等等。(最好别用自己的姓名拼音首字母,用别人的。)

数字部分,建议可以使用一些对自己有特殊意义的日期。比如,朋友的生日、父母的生日、毕业的日期、结婚纪念日等等。但是:

!!!不要使用自己的生日!!!
!!!不要使用自己的生日!!!
!!!不要使用自己的生日!!!
重要的事情要说三遍。

抛砖引玉的文字,居然能码那么多。。。orz,以后想到什么再补充吧

1 Like

花密的话适用性太弱,虽然有各种环境的程序
脱离了网页端其他的都比较麻烦
比如QQ类,还得自己手动输入生成的密码。(我也知道QQ不允许被谁注入密码框)
不过安全性会好点,不存储上传,设定一个比较难的识别码加助记码破解性比较难


一些不重要的不涉及网银类隐私类的网站全部弱密码伺候
重要的网站就是使用楼上的ivenwinds的方法,能两步验证尽量开吧。
终极的方法话应该是记载自己的秘密的小笔记本上


至少现在很少记密码了,有时候又经常去一个个试密码烦透了

我很想问一下以QQ登录这种模式安全吗?
谢谢。

单纯说授权方面安全系数还是不错的,而且网站也不会拿到你密码甚至加密后的密码也拿不到。剩下的就是腾讯那边登陆的安全问题了

1 Like

一直是用四套固定密码
不涉及钱和个人信息的用最简单的纯数字,比如各种随手注册就再也不用的论坛
不涉及钱但涉及个人信息的用字母加数字,比如网银的登录密码
涉及钱的用前一个密码的MD5作为密码(没错我确实闲着没事背了不少MD5···),比如网银支付密码
容易被爆♂的账号比如邮箱和QQ用第一个纯数字的MD5做密码
既有强度又有找回方法

虽然我已经把我所有能设上两步验证的帐户都设上了,感觉这才安全啊···
PS:两部验证APP用的Authy,感觉终于从一堆两部验证程序中解脱出来了,最重要的是它不像谷歌的app长得那么丑!!!

相对来说被直接猜测的方式盗号的概率还是比较低的,但是近些年网站密码泄露很多。
因此觉得很不爽,就去改了密码,但是思索改成什么的时候,又是相当的痛苦,临时写一个乱糟糟的又是记不住。
只要从规则上入手,与ivenwinds 差不多就是定义一套自己的加密方式,固定的基础密码 +特殊符号+其他的一些网站名称呀什么的组合,或者更加在前面的规则下在套一层 比如后面网站名称抽取出来的字符组合换成数字插入某个位置什么的。
:sweat: 说的有点乱 不过我本来目的是上来找keepass是怎么用的,自动填写功能不怎么会,求大神指导一下

keepass+云

没,移动设备要花钱,而且如果 Lastpass 莫名清空的话也会彻底傻眼,而且号线还真有人遇上这种事情。

容灾备份至少应该达到异地不同方案三备份才保险。所以如果有简便算法让自己口算密码的话其实是最好的。

目前是lastpass+谷歌Authenticator,以后lastpass好像变成跨平台就收费,单一平台不收费。

我也一直在考虑算法的问题,其实如果不考虑密码的版本(每次修改密码算作一个版本),我可以轻松的构建不可逆算法,而且基本可以口算,但是加入版本这个问题……有点乱,怎么记清楚每个网站是哪个版本,是个很复杂的问题

差不多就是这样吧。简单来讲就是网站名+想好一个数字,然后再确定一个变换、穿插、组合的规律,把网站名、数字、特殊符号组合起来。

lastpass
​ 一直是移动客户端收费嘛,​Web 和 Mobile Web 都免费

腾讯方面可以加个 手机版的QQ安全中心


手机丢的话就比较麻烦了,不良的人会马上修改权限,密码


授权方式的话,某些DZ论坛,网站还是会要求创建一个他网站的帐号