如何正确的设置密码

谨以此篇献给我家那个用脸滚键盘设密码的小智障。

密码,因人而异,我家的小智障,就像一只小蛾子,每天扇着翅膀“扑扇扑扇”的飞来飞去。

性格很随性,想到什么就是什么,密码也是。今天心情好了是一个,明天心情不好了又是一个。搞来搞去自己都忘了到处的密码都是什么。

小家伙也还算不傻,知道想解决办法,每设定完一个密码扔到iPhone自带的备忘录APP里,就成了人生的道理。然而iPhone的备忘录啊,安全性低一些不说,随便DFU一下可能就没了,因为这事我还没少被打。为了一劳永逸,我打算提高一下这只飞来飞去的小智障的知识水平。

 

在设置密码之前,首先来了解一下密码都是怎么被盗的:

社会工程学法:

通过侧面收集目标的诸如姓名、生日、手机号等信息,利用组合法,比如设置密码常用的姓名缩写+生日的原则猜测密码。身边有不少人都是这么设置密码的所以中招率会很高。

字典法:

用既有收录的常用密码集中的密码进行登陆目标账户的尝试。

暴力破解法:

很好理解,从0开始,把世界上所有的密码组合逐一尝试,8位以下密码三天内就可以被破解。

拖数据库法:

由于各种原因,通过各种手段获取到了网站管理员的数据库密码,能够访问数据库明文,从而获得了这个网站下的所有用户的密码。不管过没过HASH都没什么卵用。解析出的密码还会被收录到既有密码字典中扩充字典容量。

 

其他诸如盗Cookie,XSS之类的与密码无关,在此不做考虑。

 

既然知道了密码都是怎么被盗的,那么反其道而行,就可以总结出怎么设置密码了

首先,要好记

不要相信什么单词容易被破解,全随机才是王道之类的鬼话。有一个说法叫做Pseudo-Ramdom,意思是在这个世界上没有任何完全随机的东西,一切的随机性行为都是虚伪的,包括随机生成的密码也是一样。

然后,要有一个基准

因为在所有网站设置同一个密码会发生诸如“一家被盗,全家遭殃”的惨剧,比如上个月的Zuckerberg账号被盗案,就是小扎同学N年不用的LinkedIn被拖库,而恰巧他的Facebook和Twitter都共用这个密码还没上Two-Factor Authentication。于是就——BOOM。

推荐大写/小写+字母与符号,比如:Happy#Life$233-*postfix*,其中的 *postfix* 是后缀的意思,比如在QQ使用的密码就可以是Happy#Life$233-QQ,京东使用的密码就可以是Happy#Life$233-JD,以此类推。

至于手机PIN或支付密码等四位或六位密码只有一个要求,请不要使用自己的生日。老公的,爹妈的,狗狗的,都可以。总之不要用自己的。

推荐设置不少于一个的基准密码并牢记在心。

其次,要进行分类

归类法可以很好的帮助记忆,可以大致将使用的网站归类为服务类(谷歌,微软,苹果,),金融类(阿里,网易,金融圈)等。分类原则不强求,但要有自己的说法。每一类网站或服务共享一组基准密码,再通过后缀进行区分。

eg. 淘宝/支付宝账户的密码:Happy#Life$233-Alibaba ,谷歌账户的密码:Full@String$001-Google

至于像新浪或其他小站这种三天两头爆出漏洞且和自己的钱包没有特别大关系的网站,注册的时候完全考虑使用一套简单密码,如姓名缩写+生日。这样也不用担心密码被有心人拖库时自己的后缀模式被察觉。

最后,密码管理器

虽然我很反感密码管理器,认为把密码不放在自己手里反而放在一个公有云上是一种耻辱。不过不得不承认这种“记住一个密码,记住全世界”的理念在某些(小智障)的情况下很受用。当然具体如何还要体验一下才知道,我怕小智障会把密码管理器的密码都忘掉。

 

所以,赶快去改密码吧。

发表评论

%d 博主赞过: