像类似于固定字符+网站名(包括改良版)这样的密码是否真的安全?
alinusking · 2016-10-25 22:25:03 +08:00 via Android · 1904 次点击这是一个创建于 2739 天前的主题,其中的信息可能已经有所发展或是发生改变。
所谓固定字符+网站名就是类似于比如: Google12345 ,12345Google 这样的密码
复杂一点就是进行一些变换 比如 Google 这个单词的字母取后
一位 即 Hpphmf (取前一位、键盘位移等等) 然后把整个密码进行一些顺序调整,比如 Hpp12hmf345 (等等方法)
对于一般的情况,因为不同网站用了不同的密码,所以应该能防范。但是这样的密码应该很容易被猜解即不能防止针对性攻击。
现在争论的问题是“攻击者是否很少会来关注个人,而是直接拿大批的数据尝试能否登录? ”
所以,像这种形式的密码,是否真的“安全”呢?
复杂一点就是进行一些变换 比如 Google 这个单词的字母取后
一位 即 Hpphmf (取前一位、键盘位移等等) 然后把整个密码进行一些顺序调整,比如 Hpp12hmf345 (等等方法)
对于一般的情况,因为不同网站用了不同的密码,所以应该能防范。但是这样的密码应该很容易被猜解即不能防止针对性攻击。
现在争论的问题是“攻击者是否很少会来关注个人,而是直接拿大批的数据尝试能否登录? ”
所以,像这种形式的密码,是否真的“安全”呢?
 |
1
ahhui 2016-10-25 22:33:26 +08:00 via iPhone
这种模式用的人多了,就和使用英文单词做密码一样了,虽然一站一码,但明显规则可以写词典里,对于明文存密码的网站,脱裤后这些规则也是透明的,黑客可以通过特征找出有规则的用户再针对性扫其他站来撞密码,而且也有一定能力可以做成全自动的,所以最好的密码就是没有规则的密码。
|
 |
2
chiv2 2016-10-25 22:38:13 +08:00
相对弱密码只是穿了条丁字裤,如楼上所说,一旦用的人多了对黑客来说就是更新几条规则的事。所以一定要这样用的话最好加上自己的特殊符号并且长度越长越好。
|
 |
3
qiayue 2016-10-25 22:39:39 +08:00
这样子可能更安全:
10 位的固定字符,字母+数字 然后加上域名,域名有自己的大小写规则 |
 |
4
Tink 2016-10-26 00:59:51 +08:00 via iPhone
其实就是域名加盐而已,问题就是这个盐
|
 |
5
XiaoxiaoPu 2016-10-26 01:12:03 +08:00 via iPad
HMAC 截取某些位,再 base64 一下
|
 |
6
azh7138m 2016-10-26 07:56:29 +08:00 via Android
我也是这样,不过我算了一次 md5 避免被人知道我的那个盐是啥
|
 |
8
AltairT 2016-10-26 14:14:10 +08:00
我近期出去旅游回来忘了两个刚改过的密码,自此痛定思痛,打算用密码管理软件.但是 Keepass 用起来有些麻烦,只是用了花密来算密码,只取前八位,账户信息关键字另外明文存储.
|
 |
9
v9ox 2016-10-26 15:11:29 +08:00
我一般是设成类似
hackMe@V2ex? hackMe@Sina? hackMe@QQ? 我觉得挺安全的 |
 |
10
alinusking OP |
|
11
v9ox 2016-10-27 00:38:09 +08:00
@alinusking 或者就全平台 Safari 然后直接用 Safari 自己生成的密码 就不用记了
|
|
12
AltairT 2016-10-30 14:21:05 +08:00
@alinusking 用花密真心只是为了方便,毕竟我只是安卓程序员,自定义算法的话,安卓上可以自己实现,但是 IOS PC 等其他平台就无从下手,花密在这些平台上多少有个简陋的客户端,再不济有 WEB 端。事实上,我安卓上花密就是用官方的类文件搞了个非常简单只生成 8 位密码点击复制的程序。官方那程序无用东西太多,启动慢。
|
Select Language