个人密码的管理[bak]

本文最后更新于2014年11月30日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

密码管理,对于大部分人来说可能就是所有账户都使用一个密码(图方便),这种做法的危险性不言而喻。为什么我们需要管理好自己的密码呢?

老牌密码明文存储先驱 CSDN,加上你注册的大量论坛都是基于各种开源的程序搭建,站长或多或少没有及时更新补丁。一旦一个网站的密码泄露,黑客通过自动化的程序就可以把你所有用了一样密码的服务都找出来,然后说不定什么“xx门”就曝出来了。

其次,设置简单的密码,黑客通过社会工程学可以很轻易的猜解到密码(如果你没什么名,可以无视这条)。例如「Machook事件」的某位参与者的密码被轻易人肉出,再比如「黑客是如何发现女朋友出轨的」这剧。

最后,如果公司的企业账户因为设置了简单的密码被猜解出后果更加严重。

那么如何设置安全的密码呢?我们可以先将密码的属主进行分类:
• 个人密码
• 公司密码

个人密码也可以再分,按照重要程度、使用场景:
• 不重要的网站
• 涉及金钱或重要个人资料的网站(支付宝,Github 什么的)
• 需要经常输入密码的服务(Apple ID什么的)

相应的密码生成策略应运而生:
• 公司密码使用 1Password 生成随机强密码
• 自己不重要的网站可以用一个统一的密码
• 自己重要的密码全部用 1Password 生成随机强密码
• 自己经常需要输入的密码可以用一定的策略生成容易记忆的强密码

如何生成容易记忆的强密码呢?
• 密码由数字+大小写字母+特殊字符组成
• 不同网站可以对应不同的密码

聪明的你一定会想到方法了,用一个固定的字符串加上网站的名称就可以让不同网站的密码不一样,我们这里将规则加强一些,得到下面的方法:
• 密码第一部分由固定的字符串组成,切记不要用生日电话昵称之类的,这里我用 Maple888 作为例子
• 第二串包含特殊字符,我选了 @
• 第三串,使用网站英文名的第 2、4、6 三个字母,没有 6 个字母的网站用 0 补全

比如我在 Google 下的密码就是 Maple888@oge,包含了数字,大小写字母,特殊字符,而且不容易被猜到是 Google 的。

第三串的规则大家可以自己来生成规则,比如倒着的 1、3、5 个字母之类的,再比如第 2、4、6 个字母在键盘上面的字符等。

最后,隆重推荐 1Password 这个密码管理工具(支持 iOS/Mac/Windows/Android),以及建议不要使用 LastPass,原因如下:
• LastPass 多次爆出安全漏洞
• LastPass 出现过多次用户密码被全部清除
• LastPass 密码存储在 LastPass 的服务器上面,和 1Password 的存储在 Dropbox 上有很大区别,1Password 的 Dropbox 就算被攻破,但是只要主密码不被攻破密码就很安全

这里不打算介绍如何使用 1Password,仅仅分享下自己积累过的 1Password 使用技巧,送给看得懂的有缘人:

How to create, share a vault with family or coworkers
Quickly copy passwords from 1Password in iOS
1Password with Launch Center Pro’s lists and prompt fallback

 

原文/参考链接:

http://miao.hu/2014/11/17/password-management/

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/1637.html

《个人密码的管理[bak]》上有10条评论


  1. 1.姓名
    2.性别
    3.职位
    4.照片
    5.兴趣爱好
    6.实际出生日期
    7.身份证出生日期
    8.身份证号码
    9.身份证家庭住址
    10.家庭成员
    11.社会关系
    12.快递收货地址
    13.教育经历
    14.QQ
    15.微信
    16.邮箱
    17.手机号(曾用与现用)
    18.银行卡
    19.电子邮箱
    20.支付宝
    21.各社交平台主页(QQ空间,微博,人人网,百度贴吧,校友网,facebook,twitter等)
    22.常用ID
    23.常用密码
    24.常用密码组合
    25.性格素描

    社会工程学概念与达到要求参考
    https://www.hackfun.org/pentest/The-concept-of-social-engineering-and-its-requirements-for-reference.html

  2. 密码修改最佳实践
    https://linux.cn/article-8973-1.html
    https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html

    三个重要的建议:
    1、不要再纠结于复杂的密码规则。它们使密码难以记住。因为人为的复杂密码很难输入,因此增加了错误。它们也没有很大帮助。最好让人们使用密码短语。
    2、停止密码到期。这是我们以前使用计算机的一个老的想法。如今不要让人改变密码,除非有泄密的迹象。
    3、让人们使用密码管理器。这就是处理我们所有密码的方式。

    这些密码规则不能让用户安全。让系统安全才是最重要的。

  3. 中国特色的弱口令生成器
    https://github.com/RicterZ/genpAss
    1.5W条密码样本分析
    http://www.evilclay.com/2017/06/03/1-5W%E6%9D%A1%E5%AF%86%E7%A0%81%E6%A0%B7%E6%9C%AC%E5%88%86%E6%9E%90/

    组合规律:
    姓 + 6位数字
    8位生日 + 两个字母
    一位字母 + 123456
    姓名首字母 + 123
    名拼音 + 520
    姓拼音 + 6位生日
    123456 + 姓名首字母
    姓名首字母 + 6位数字
    姓名 + 000
    a + QQ号
    小名(名连读) + 1111
    姓 + 123
    姓名首字母 + 4位生日年份
    4位生日年份 + 名拼音
    名拼音 + 6位生日
    6位数字 + 姓名首字母
    姓名 + 4位数字
    姓拼音 + 生日年份
    姓名首字母 + 4位生日月份天数
    姓首字母 + 6位数字
    姓名首字母 + 1234
    6位生日(月份 + 1) + 名拼音
    qwerty + 6538
    姓名首字母 + 6位生日
    姓名首字母 + 4位数字
    姓名首字母 + 123456
    对象姓名首字母 + 6位生日
    123456 + 姓
    名 + 4位数字
    姓名首字母 + 4位年份 + 2随机数字
    姓 + 123123
    名 + 4位年份
    姓首字母 + 2位月份 + 4位年份
    姓 + 年份最后2位
    姓名首字母 + 4位年份 +
    1位月份(生日-1) + 1位天数
    姓名首字母 + 4位年份 + 2位月份
    6位对象生日 + 姓名首字母
    姓首字母 + 名 + 生日年份
    对象首字母 + 520
    2个字母 + 123321
    对象首字母 + 8位生日
    对象首字母 + 520520
    520 + 对象首字母
    姓 + 258369

  4. iOS 11 升级后的 iCloud 钥匙串,能够替代 1Password 吗?
    https://36kr.com/p/5089538

    iPhone手机上如何添加要保存的用户名密码?

    设置 -> 密码与帐户 -> 网站与应用密码 -> 右上角+

  5. 全平台最佳密码管理工具大全:支持 Windows、Linux、Mac、Android、iOS 以及企业应用
    https://juejin.im/post/5b226ecc6fb9a00e4e47ac2b
    https://cloud.tencent.com/developer/article/1108231
    https://thehackernews.com/2016/07/best-password-manager.html

    保证在线服务的安全?
    密码管理器是什么?
    密码管理器如何工作?
    哪个是最好的密码管理器?如何选择?

    Windows 最佳密码管理工具
    1. Keeper 密码管理器(跨平台)
    2. Dashlane 密码管理器(跨平台)
    3. LastPass 密码管理器(跨平台)

    Mac OS X 最佳密码管理器
    1. LogMeOnce 密码管理器(跨平台)
    2. KeePass 密码管理器(跨平台)
    3. 苹果 iCloud 钥匙串

    Linux 最佳密码管理器
    1. SpiderOak 加密密码管理器(跨平台)
    2. EnPass 密码管理器(跨平台)
    3. RoboForm 密码管理器(跨平台)

    Android 最佳密码管理器
    1. 1Password 密码管理器(跨平台)
    2. mSecure密码管理器(跨平台)

    iOS 最佳密码管理器
    1. OneSafe 密码管理器(跨平台)
    2. SplashID 安全密码管理器(跨平台)
    3. LoginBox Pro 密码管理器

    最佳在线密码管理器
    1. Google 在线密码管理器
    2. Clipperz 在线密码管理器
    3. Passpack 在线密码管理器

    最佳企业密码管理器
    1. Meldium 企业密码管理软件
    2. Zoho Vault 密码管理软件

发表评论

电子邮件地址不会被公开。 必填项已用*标注