关于密码那些事(一)

【如何设置一个好记难猜的密码】

家里领导的iPhone丢失之后我们遭遇了钓鱼邮件。虽然没有造成什么损失,但是却也是惊出一身冷汗,尤其是意识到一直以为非常安全的非越狱版iPhone也能被暴力破解,造成个人信息落入骗子之手。

惊吓之余,重新审视了一下自己各种设备的安全措施,包括密码策略。这里我打算分几次介绍一下我自己的关于设置密码的经验谈。

密码的重要性不言而喻,它是我们诸多帐号的安全屏障。但是它也常常遭到大小黑客的各种攻击,其中最常见的就是字典攻击和暴力破解。字典攻击是用最常见的密码来进行尝试,而暴力破解则通过枚举密码的所有可能性来进行破解。例如iPhone的锁屏简单密码是4位数字,暴力破解就只需要从0000到9999尝试一万次,必然能命中。而现代计算机的性能是如此之高,且不说每秒可以进行数十万亿次计算的超级计算机,普通家用计算机尝试一万次所需要的时间也远远小于1秒钟。

那么为啥iPhone胆敢用4位数字的简单密码呢?因为苹果可以设置连续输错密码9次就自毁——抹掉所有数据——的命令,也就是说你保护住自己隐私的概率是万分之九,这已经是相当可靠了。但是,不幸的是,iOS本身具有漏洞,于是就有黑客造出了这样的专门的破解设备,用线缆接上iPhone后,利用这个漏洞就可以绕开自毁装置不停地重试,这样就能很快试出锁屏密码。所以iPhone的简单密码不安全,起不到保护iPhone中个人数据和隐私的作用。我家领导的iPhone估计就已经遭遇了这种悲惨经历了。

必须要指出是,暴力破解是无法避免的。但是暴力破解是有代价的,这个代价就是其不断尝试直到命中所需要花费的时间,如果这个时间是个天文数字,那么我们就可以觉得这个密码可以抵御暴力破解。这其中的数学就不说了,只需要记住一点,密码每多一位,暴力破解所需要的时间就多一个数量级。所以说,必须要把iPhone的锁屏密码从简单的4位数字更改为和公司域帐号一样的复杂密码。

所以我们常见的一种比较安全的密码设置规则就是这样的:

  • 有长度要求:至少8位
  • 有复杂度要求:且必须有大写英文字母、小写英文字母、数字和字符构成,每样至少一个。
  • 有时间的要求:每3个月必须更改一次密码
  • 不得重复的要求:系统会记住12次历史密码,曾经用过的密码不得重复使用

但是,设置一个复杂的密码却很难记住,相信很多人都曾经因为更改密码而犯愁。那么,如何给自己设置一个强壮的难以猜测的可以抵御暴力破解的但是又好记的密码呢?让我来讲讲自己的心得。

首先,密码不能太显而易见,不能用自己的生日、家里领导的名字、孩子或宠物的名字等等太容易猜出的词。因此又要好记,怎么办呢?比较好的方法是挑选一个6-10位字符的词组。例如很喜欢Nike的同学可以选择它的广告语:

Just do it!

然后稍作变形。把字母替换成数字或字符。常用的变形有:

  • a改成@
  • 小写字母o改成数字0
  • 小写字母b改成数字6
  • 小写字母l改成数字1
  • 大写字母S改成字符$
  • 空格去掉或者改成下划线符号_
  • 词组的每个单词首字母改成大写

等等等等。

比如Password就可以改成[email protected]$$w0rd,(当然,这个[email protected]$$w0rd太常见,不推荐用哦)

那么Just do it! 就可以变形成为Ju$td0it! 或者Ju$t_D0_It!这下看上去很复杂了,但是却也不难记住。

其实,Ju$td0it!有9个字符组成,大写小写数字字符齐全,已经是一个不错的密码了。但是通常我们会被要求3个月更改一次密码,每次都费劲脑筋改一个完全不同的密码太伤脑筋,在没有暴露前面复杂密码的情况下,一个折中的方法是以前面的那个密码作为主关键词,在这个主关键词的基础上添加上前缀或者后缀。

一种常用的后缀或前缀是加上年份或者月份。这样既增加了密码长度,也增加了复杂度。以写作本文时的2015年4月举例:

只加2位数字月份的后缀:Ju$td0it!04

2位数字年份加2位数字月份做后缀:Ju$td0it!1504

3位字母月份加2位数字年份做前缀:Apr15Ju$td0it!

农历年生肖拼音(羊年)加1位数字月份做后缀:Ju$td0it!Yang4

当然前后缀的种类可以很多,觉得日期不好的,还有很多其他选择,比如:

  • 用天干的拼音:甲Jia、乙Yi、丙Bing、丁Ding、戊Wu、己Ji、庚Geng、辛Xin、壬Ren、癸Kui
  • 用元素周期表的拼音:钾Jia、镁Mei、铝Lv、钙Gai、磷Lin
  • 用五行日月:金Jin木Mu水Shui火Huo土Tu日Ri月Yue
  • 用色彩:赤Chi橙Cheng黄Huang绿Lv青Qing蓝Lan紫Zi

好了,新技能Get了没有!

警告!本文中提到的密码短语可能会被加入字典攻击的范围中,请不要再使用。

未完待续,明日预告:关于密码那些事之二

时间: 2024-10-03 15:43:11

关于密码那些事(一)的相关文章

关于密码那些事(二)

有很多人怕麻烦,虽然想好了一个复杂的密码,但是却采用单个密码走天下的策略,也就是不管哪里都用一样的密码.这造成了另外一种隐患--一旦一个密码暴露,就会导致所有帐号的密码都暴露了. 不知道有多少人还记得2011年底那场黑客拖库风波,当时好多知名网站,包括某东.某米论坛.CSDN.多玩.人人网都被曝出大量用户数据流出.一时之间人人自危,大家都忙不叠地更改密码.我也是在那个时间重新思考了一下:你妹呀,我保护的再好,那些小破网站没把我的信息和密码当回事,还用明文保存密码,那怎么办呀! 于是我狠狠地很严肃

关于密码那些事(三)

上次我介绍了,我很BT的把自己在所有网站的所有密码都设置成不一样.可是那么多密码,怎么让人记得住啊! 写小本子上显然是不可取的.小本子锁起来不随身带吧,忘记密码的时候没法马上找出来,麻烦.随身带吧,丢了可惨了,弄不好倾家荡产银行账户让人偷个精光.而且几百个密码呢,如果丢了,自己怕是连个清单都不可能记全,更别说全部密码都改一遍呢. 我的方法是,找个可靠的手机App来记录. * 手机总会随身带,随时可以获取: * 手机可以设置安全性,丢了别人也无法获取: * 可以设置云端同步,手机丢了数据不会丢.

PowerPoint密码那些事

今天小编将具体介绍PowerPoint有哪些密码以及如何使用Office密码破解软件破解PowerPoint密码. 用户可以利用PowerPoint在投影仪或者计算机上进行演示,PowerPoint的演示文稿后缀名为:ppt.pptx,所以一般又称 PowerPoint为PPT.演示文稿中的每一页是幻灯片,每张幻灯片都是演示文稿中既相互独立又相互联系的内容.PowerPoint有以下三种密码: 1.打开密码.PowerPoint的打开密码依据加密方式不一样分为强密码和弱密码. 2.修改密码.有了

WIFI密码破解全攻略教程

目前无线网络加密技术日益成熟.以前的wep加密方式日渐淘汰,因为这种加密方式非常容易破解,当然现在还是有不少使用这种加密方式无线网络.现在大部分的无线网络都是使用wpa/wpa2方式来加密的,这种加密方式安全系数高,很难破解,当然这也不是不可能的. 本经验将教大家破解用wpa/wpa2加密方式的wifi密码,只要你肯去做,而且周围是有可用的wifi信号的,破解成功是必然的. 现在就让我们开始吧! 一.准备篇 硬件准备 首先我们需要一个可用来破解的无线网卡,我们也叫它卡王.这类网卡的核心芯片市面上

MySQL忘记密码怎么修改密码

MySQL的 root 帐号密码默认为空,经常都有修改密码后忘记密码的事.如果忘记了root 帐号密码,那该怎么修改密码呢?这里有一个可行的方法,就是在MySQL安全模式下(跳过权限检查)修改密码的方式来解决这个问题.本文分别对Windows环境与Linux环境下介绍MySQL忘记密码时修改密码的方法,希望帮助初学者解决丢失密码的烦恼. Windows下MySQL重置密码 通常MySQL都是安装成Windows服务运行的. 1.启动cmd命令窗口: # 关闭MySQL服务   D:\MySQL\

忘记mysql密码,如何修改 密码

版权声明:博客将逐步迁移到 http://cwqqq.com https://blog.csdn.net/cwqcwk1/article/details/17262655 MySQL的 root 帐号密码默认为空,经常都有修改密码后忘记密码的事.如果忘记了root 帐号密码,那该怎么修改密码呢?这里有一个可行的方法,就是在MySQL安全模式下(跳过权限检查)修改密码的方式来解决这个问题.本文分别对Windows环境与Linux环境下介绍MySQL忘记密码时修改密码的方法,希望帮助初学者解决丢失密

[转]细说SQL Server中的加密

简介 加密是指通过使用密钥或密码对数据进行模糊处理的过程.在SQL Server中,加密并不能替代其他的安全设置,比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统,甚至是数据库所在的机房,而是作为当数据库被破解或是备份被窃取后的最后一道防线.通过加密,使得未被授权的人在没有密钥或密码的情况下所窃取的数据变得毫无意义.这种做法不仅仅是为了你的数据安全,有时甚至是法律所要求的(像国内某知名IT网站泄漏密码这种事在中国可以道歉后不负任何责任了事,在米国妥妥的要破产清算). SQL

$.ajax和vue-resource实现OAuth

Vue.js——使用$.ajax和vue-resource实现OAuth的注册.登录.注销和API调用 概述 上一篇我们介绍了如何使用vue resource处理HTTP请求,结合服务端的REST API,就能够很容易地构建一个增删查改应用.这个应用始终遗留了一个问题,Web App在访问REST API时,没有经过任何认证,这使得服务端的REST API是不安全的,只要有人知道api地址,就可以调用API对服务端的资源进行修改和删除.今天我们就来探讨一下如何结合Web API来限制资源的访问.

20145211黄志远 《网络对抗》Exp7 网络欺诈技术防范

20145211黄志远 <网络对抗>Exp7 网络欺诈技术防范 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法.具体有(1)简单应用SET工具建立冒名网站(2)ettercap DNS spoof(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站. 1.实验后回答问题 (1)通常在什么场景下容易受到DNS spoof攻击 共享WiFi中,尤其要注意不需要密码的WiFi,通常情况下一般是你身边的人 (2)在日常生活工作中如何防范以上两攻击方法 经常上的