个人密码的管理[bak]


密码管理,对于大部分人来说可能就是所有账户都使用一个密码(图方便),这种做法的危险性不言而喻。为什么我们需要管理好自己的密码呢?

老牌密码明文存储先驱 CSDN,加上你注册的大量论坛都是基于各种开源的程序搭建,站长或多或少没有及时更新补丁。一旦一个网站的密码泄露,黑客通过自动化的程序就可以把你所有用了一样密码的服务都找出来,然后说不定什么“xx门”就曝出来了。

其次,设置简单的密码,黑客通过社会工程学可以很轻易的猜解到密码(如果你没什么名,可以无视这条)。例如「Machook事件」的某位参与者的密码被轻易人肉出,再比如「黑客是如何发现女朋友出轨的」这剧。

最后,如果公司的企业账户因为设置了简单的密码被猜解出后果更加严重。

那么如何设置安全的密码呢?我们可以先将密码的属主进行分类:
• 个人密码
• 公司密码

个人密码也可以再分,按照重要程度、使用场景:
• 不重要的网站
• 涉及金钱或重要个人资料的网站(支付宝,Github 什么的)
• 需要经常输入密码的服务(Apple ID什么的)

相应的密码生成策略应运而生:
• 公司密码使用 1Password 生成随机强密码
• 自己不重要的网站可以用一个统一的密码
• 自己重要的密码全部用 1Password 生成随机强密码
• 自己经常需要输入的密码可以用一定的策略生成容易记忆的强密码

如何生成容易记忆的强密码呢?
• 密码由数字+大小写字母+特殊字符组成
• 不同网站可以对应不同的密码

聪明的你一定会想到方法了,用一个固定的字符串加上网站的名称就可以让不同网站的密码不一样,我们这里将规则加强一些,得到下面的方法:
• 密码第一部分由固定的字符串组成,切记不要用生日电话昵称之类的,这里我用 Maple888 作为例子
• 第二串包含特殊字符,我选了 @
• 第三串,使用网站英文名的第 2、4、6 三个字母,没有 6 个字母的网站用 0 补全

比如我在 Google 下的密码就是 Maple888@oge,包含了数字,大小写字母,特殊字符,而且不容易被猜到是 Google 的。

第三串的规则大家可以自己来生成规则,比如倒着的 1、3、5 个字母之类的,再比如第 2、4、6 个字母在键盘上面的字符等。

最后,隆重推荐 1Password 这个密码管理工具(支持 iOS/Mac/Windows/Android),以及建议不要使用 LastPass,原因如下:
• LastPass 多次爆出安全漏洞
• LastPass 出现过多次用户密码被全部清除
• LastPass 密码存储在 LastPass 的服务器上面,和 1Password 的存储在 Dropbox 上有很大区别,1Password 的 Dropbox 就算被攻破,但是只要主密码不被攻破密码就很安全

这里不打算介绍如何使用 1Password,仅仅分享下自己积累过的 1Password 使用技巧,送给看得懂的有缘人:

How to create, share a vault with family or coworkers
Quickly copy passwords from 1Password in iOS
1Password with Launch Center Pro’s lists and prompt fallback

 

原文/参考链接:

http://miao.hu/2014/11/17/password-management/

, ,

《 “个人密码的管理[bak]” 》 有 17 条评论

  1. `
    1.姓名
    2.性别
    3.职位
    4.照片
    5.兴趣爱好
    6.实际出生日期
    7.身份证出生日期
    8.身份证号码
    9.身份证家庭住址
    10.家庭成员
    11.社会关系
    12.快递收货地址
    13.教育经历
    14.QQ
    15.微信
    16.邮箱
    17.手机号(曾用与现用)
    18.银行卡
    19.电子邮箱
    20.支付宝
    21.各社交平台主页(QQ空间,微博,人人网,百度贴吧,校友网,facebook,twitter等)
    22.常用ID
    23.常用密码
    24.常用密码组合
    25.性格素描
    `
    社会工程学概念与达到要求参考
    https://www.hackfun.org/pentest/The-concept-of-social-engineering-and-its-requirements-for-reference.html

  2. 密码修改最佳实践
    https://linux.cn/article-8973-1.html
    https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
    `
    三个重要的建议:
    1、不要再纠结于复杂的密码规则。它们使密码难以记住。因为人为的复杂密码很难输入,因此增加了错误。它们也没有很大帮助。最好让人们使用密码短语。
    2、停止密码到期。这是我们以前使用计算机的一个老的想法。如今不要让人改变密码,除非有泄密的迹象。
    3、让人们使用密码管理器。这就是处理我们所有密码的方式。

    这些密码规则不能让用户安全。让系统安全才是最重要的。
    `

  3. 中国特色的弱口令生成器
    https://github.com/RicterZ/genpAss
    1.5W条密码样本分析
    http://www.evilclay.com/2017/06/03/1-5W%E6%9D%A1%E5%AF%86%E7%A0%81%E6%A0%B7%E6%9C%AC%E5%88%86%E6%9E%90/
    `
    组合规律:
    姓 + 6位数字
    8位生日 + 两个字母
    一位字母 + 123456
    姓名首字母 + 123
    名拼音 + 520
    姓拼音 + 6位生日
    123456 + 姓名首字母
    姓名首字母 + 6位数字
    姓名 + 000
    a + QQ号
    小名(名连读) + 1111
    姓 + 123
    姓名首字母 + 4位生日年份
    4位生日年份 + 名拼音
    名拼音 + 6位生日
    6位数字 + 姓名首字母
    姓名 + 4位数字
    姓拼音 + 生日年份
    姓名首字母 + 4位生日月份天数
    姓首字母 + 6位数字
    姓名首字母 + 1234
    6位生日(月份 + 1) + 名拼音
    qwerty + 6538
    姓名首字母 + 6位生日
    姓名首字母 + 4位数字
    姓名首字母 + 123456
    对象姓名首字母 + 6位生日
    123456 + 姓
    名 + 4位数字
    姓名首字母 + 4位年份 + 2随机数字
    姓 + 123123
    名 + 4位年份
    姓首字母 + 2位月份 + 4位年份
    姓 + 年份最后2位
    姓名首字母 + 4位年份 +
    1位月份(生日-1) + 1位天数
    姓名首字母 + 4位年份 + 2位月份
    6位对象生日 + 姓名首字母
    姓首字母 + 名 + 生日年份
    对象首字母 + 520
    2个字母 + 123321
    对象首字母 + 8位生日
    对象首字母 + 520520
    520 + 对象首字母
    姓 + 258369
    `

  4. iOS 11 升级后的 iCloud 钥匙串,能够替代 1Password 吗?
    https://36kr.com/p/5089538

    iPhone手机上如何添加要保存的用户名密码?
    `
    设置 -> 密码与帐户 -> 网站与应用密码 -> 右上角+
    `

  5. 全平台最佳密码管理工具大全:支持 Windows、Linux、Mac、Android、iOS 以及企业应用
    https://juejin.im/post/5b226ecc6fb9a00e4e47ac2b
    https://cloud.tencent.com/developer/article/1108231
    https://thehackernews.com/2016/07/best-password-manager.html
    `
    保证在线服务的安全?
    密码管理器是什么?
    密码管理器如何工作?
    哪个是最好的密码管理器?如何选择?

    Windows 最佳密码管理工具
    1. Keeper 密码管理器(跨平台)
    2. Dashlane 密码管理器(跨平台)
    3. LastPass 密码管理器(跨平台)

    Mac OS X 最佳密码管理器
    1. LogMeOnce 密码管理器(跨平台)
    2. KeePass 密码管理器(跨平台)
    3. 苹果 iCloud 钥匙串

    Linux 最佳密码管理器
    1. SpiderOak 加密密码管理器(跨平台)
    2. EnPass 密码管理器(跨平台)
    3. RoboForm 密码管理器(跨平台)

    Android 最佳密码管理器
    1. 1Password 密码管理器(跨平台)
    2. mSecure密码管理器(跨平台)

    iOS 最佳密码管理器
    1. OneSafe 密码管理器(跨平台)
    2. SplashID 安全密码管理器(跨平台)
    3. LoginBox Pro 密码管理器

    最佳在线密码管理器
    1. Google 在线密码管理器
    2. Clipperz 在线密码管理器
    3. Passpack 在线密码管理器

    最佳企业密码管理器
    1. Meldium 企业密码管理软件
    2. Zoho Vault 密码管理软件
    `

  6. 黑客偷你密码的7种方式
    https://www.sentinelone.com/blog/7-ways-hackers-steal-your-passwords/
    `
    One way or another, passwords are always in the news. They’re either being stolen in data breaches, or mocked for being too simple; derided as pointless, or lamented for being technologically backward. No matter what opinion any of us have on passwords, though, one thing is indisputable: we’re going to be using them today, tomorrow and for the foreseeable future. Unlike touch or facial recognition technologies, passwords are used everywhere because they’re cheap to implement and simple to use. For end users, they are as low-tech as security tech ever gets. Of course, that ubiquity and simplicity is precisely what makes passwords attractive to thieves. In this post, we take a look at how hackers steal our passwords and what we can do to stop them.
    不知怎么的,密码总是在新闻中出现。它们要么在数据泄露中被盗,要么被嘲笑过于简单;被嘲笑为毫无意义,或因技术落后而哀叹。不管我们对密码有什么看法,有一件事是毋庸置疑的:我们今天、明天和可预见的未来都会使用密码。与指纹或面部识别技术不同,密码无处不在,因为它们实现起来便宜,使用起来简单。对于终端用户来说,它们是没有技术门槛的安全技术。也正是这种普遍性和简便性使密码对小偷具有极强的吸引力。在这篇文章中,我们来看看黑客是如何窃取我们的密码的,以及我们可以做些什么来阻止他们。

    1. Credential Stuffing – 密码复用
    2. Phishing – 钓鱼攻击
    3. Password Spraying – 密码喷涂,用常用密码表来进行尝试
    4. Keylogging – 键盘记录
    5. Brute Force – 暴力破解
    6. Local Discovery – 本地发现,翻本地文件来找明文记录的密码
    7. Extortion – 敲诈勒索/威胁

    # Conclusion
    Passwords aren’t going away any time soon, and there’s even good arguments to suggest that they shouldn’t. While biometric data, facial and fingerprint scanning all have a role in helping secure access to services, the one over-riding beauty of a password is it’s the “something you know” and not the “something you have”. The latter can be taken away from you, in some cases legally, but the former cannot, so long as you ensure that it’s sufficiently complex, unique and secret. Combine that with two-factor or multi-factor authentication and your chances of suffering data loss through password hacking are both extremely low and – importantly – highly limited. If an insecure site does leak your credentials, you can be confident that it won’t affect you beyond that particular service if you keep up with good password security habits.
    密码不会在短时间内消失,甚至有充分的理由认为它们不应该消失。虽然生物识别数据、面部和指纹扫描都有助于安全访问服务,但密码最重要的魅力在于,它是“你知道的东西”,而不是“你拥有的东西”。后者可以被剥夺,在某些情况下是合法的,但前者不能,只要你确保它足够复杂、独特和秘密。将其与双因素或多因素身份验证相结合,你因密码攻击而遭受数据丢失的几率非常低,而且(重要的是)非常有限。如果一个不安全的网站泄露了您的证书,您可以确信,如果您保持良好的密码安全习惯,它不会影响您在特定的服务之外。
    `

  7. 中华人民共和国密码法
    http://www.npc.gov.cn/npc/c30834/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml
    `
    第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
    `
    CCTV12 《法律讲堂》| 国家密码管理局新闻发言人解读《密码法》
    https://mp.weixin.qq.com/s/3VGjbQRcen9mfxgcX4_FHA
    `
    《中华人民共和国密码法》2020年1月1日正式进入实施阶段。
    法律意义上的密码和生活中所说的密码有什么区别,又如何分类。这部听上去有些神秘的法律,究竟包含哪些内容,怎样与我们的社会生活息息相关。

    央视12套《法律讲堂》推出密码法专题节目,特邀国家密码管理局新闻发言人李国海为大家解读《中华人民共和国密码法》。
    国家密码管理局新闻发言人李国海用两集的时间为大家进行解读,上集为《保护国家秘密的密码》,下集为《百姓身边的密码》。
    `

  8. 云密码管理软件LastPass数据泄露引发全球恐慌
    https://mp.weixin.qq.com/s/MJqlLg8E8G-4pc8cj60eNg
    `
    这是LastPass自今年年初以来披露的第二起安全事件,此前该公司曾在8月份确认黑客使用泄露的开发人员账号访问了其开发环境。

    根据LastPass的最新通告,最新泄露事件中攻击者使用的正是8月份从其开发人员环境中窃取的“云存储访问密钥和双存储容器解密密钥”访问了Lastpass的云存储设施。

    上个月LastPass曾发布8月份黑客攻击事件的通告,当时该公司首席执行官卡里姆·图巴(Karim Toubba)含糊其辞地表示黑客“仅获得了客户信息的某些元素”。在发送给客户的电子邮件中,Lastpass还证实攻击者从其系统中窃取了专有技术信息和产品源代码。

    在后续更新中,该公司还曾透露,八月的网络攻击中,黑客在其系统中驻留(保持内部访问权)了四天。

    # 到底哪些数据泄露了?

    LastPass首席执行官Toubba表示:“攻击者非法访问了用户的基本帐户信息和相关元数据信息。包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址。(编者:此部分信息为明文未加密)”

    “攻击者还从加密存储容器中复制了客户保险库数据的备份,保险库数据以专有的二进制格式存储,其中包含未加密的数据,例如网站URL,以及完全加密的敏感字段,例如网站用户名和密码,安全注释和表单填写的数据。”(下图虚线部分)

    根据LastPass的说法,泄露的用户保险库数据使用了256位AES加密保护,并且只能用用户主密码(Master Password)派生的唯一加密密钥进行解密。

    Toubba表示,用户的主密码永远不会为LastPass所知,它不会存储在Lastpass的系统上,并且LastPass也不会维护它。

    但LastPass客户被警告说,攻击者可能会试图暴力破解他们的主密码,以访问被盗的加密保管库数据。LastPass声称,如果用户始终遵循LastPass推荐的密码最佳实践,这将非常困难和耗时。

    # 为何引发全球用户恐慌?

    LastPass的密码管理软件在全球拥有超过3300万个人用户和10万家企业用户,其用户数据大规模泄露引发了全球性恐慌,甚至波及其他密码管理器产品的用户。

    虽然LastPass宣称泄露的是加密后的用户数据库,黑客破解很困难。但慢雾科技创始人余弦认为用户面临的风险依然很高。他在推特上建议LastPass的企业用户立刻更改在该密码管理器中存储过的账户密码,并警告说:

    “根据官方披露的信息来看,至少虚线里的信息许多是泄露的,包括Encrypted Vault,这里面就有你那些最关键的密码等隐私。那么后面的游戏就变成:如果你的Master Password也被黑客知道了,那就全完了…”

    “黑客要知道你的Master Password是有方法的,碰撞难度应该挺大,但如果通过其他泄漏源做分析,那就有一定概率可以知道。黑客之后可以玩概率统计游戏,反正LastPass用户那么多…”

    余弦进一步警告说:“更糟糕的是,黑客还拿到了许多明文(用户隐私)信息,”如:

    * 企业名称、最终用户名、账单地址、邮件地址、电话号码、用户访问LastPass服务的IP地址…
    * 用户密码库里未加密的数据,例如网站地址…

    余弦指出,虽然之前推荐了1Password和Bitwarden,但不排除二者将来也有可能发生类似的数据泄露安全事故,因此密码管理器用户应该提高警惕,时刻做好响应的准备。

    # 密码管理器风险预防与缓解六大建议

    GoUpSec咨询多位安全专家后,总结了密码管理器个人用户的六大风险预防与缓解建议,如下:

    * 如果可能,只用开源且不能上传服务器的密码管理器(例如Keepass),或者关闭云同步功能(例如仅使用1Password的本地同步功能),避免使用浏览器插件等“方便的密码管理器扩展功能”。该方法虽然会牺牲一些(团队管理)功能和便利性,但是对于个人用户来说,安全性更好。
    * 设置一个足够强大和独特的主密码(Master Password),并且单独(物理)记录和存放,不可以任何格式(包括图片)存储在任何联网设备中。
    * 在密码管理器中不要在明文区域存储敏感信息。
    * 给密码管理器中存储的密码“加盐”(密码的一部分片段为密写或者用符号代替的子密码,子密码独立于密码管理器记录和存储)。
    * 开启密码管理器的多因素认证,并且使用硬件密钥或APP认证程序等认证因素而不是短信密码。
    * 面对类似LastPass的用户数据泄露事件,请立刻更改所有存储在密码管理器中的账户密码,并遵循以上安全建议。
    `

  9. Top 200 most common passwords
    https://nordpass.com/most-common-passwords-list/
    `
    password
    123456
    123456789
    guest
    qwerty
    12345678
    111111
    12345
    col123456
    123123
    1234567
    1234
    1234567890
    000000
    555555
    666666
    123321
    654321
    7777777
    123
    D1lakiss
    777777
    110110jp
    1111
    987654321
    121212
    Gizli
    abc123
    112233
    azerty
    159753
    1q2w3e4r
    54321
    pass@123
    222222
    qwertyuiop
    qwerty123
    qazwsx
    vip
    asdasd
    123qwe
    123654
    iloveyou
    a1b2c3
    999999
    Groupd2013
    1q2w3e
    usr
    Liman1000
    1111111
    333333
    123123123
    9136668099
    11111111
    1qaz2wsx
    password1
    mar20lt
    987654321
    gfhjkm
    159357
    abcd1234
    131313
    789456
    luzit2000
    aaaaaa
    zxcvbnm
    asdfghjkl
    1234qwer
    88888888
    dragon
    987654
    888888
    qwe123
    football
    3601
    asdfgh
    master
    samsung
    12345678910
    killer
    1237895
    1234561
    12344321
    daniel
    000000
    444444
    101010
    fuckyou
    qazwsxedc
    789456123
    super123
    qwer1234
    123456789a
    823477aA
    147258369
    unknown
    98765
    q1w2e3r4
    232323
    102030
    12341234
    147258
    shadow
    123456a
    87654321
    10203
    pokemon
    princess
    azertyuiop
    thomas
    baseball
    monkey
    jordan
    michael
    love
    1111111111
    11223344
    123456789
    asdf1234
    147852
    252525
    11111
    loulou
    111222
    superman
    qweasdzxc
    soccer
    qqqqqq
    123abc
    computer
    qweasd
    zxcvbn
    sunshine
    1234554321
    asd123
    marina
    lol123
    a123456
    Password
    123789
    jordan23
    jessica
    212121
    7654321
    googledummy
    qwerty1
    123654789
    naruto
    Indya123
    internet
    doudou
    anmol123
    55555
    andrea
    anthony
    martin
    basketball
    nicole
    xxxxxx
    1qazxsw2
    charlie
    12345qwert
    zzzzzz
    q1w2e3
    147852369
    hello
    welcome
    marseille
    456123
    secret
    matrix
    zaq12wsx
    password123
    qwertyu
    hunter
    freedom
    999999999
    eminem
    junior
    696969
    andrew
    michelle
    wow12345
    juventus
    batman
    justin
    12qwaszx
    Pass@123
    passw0rd
    soleil
    nikita
    Password1
    qweqwe
    nicolas
    robert
    starwars
    liverpool
    5555555
    bonjour
    124578
    `

  10. 8个开源密码管理器介绍(英文)
    https://itsfoss.com/open-source-password-managers/
    `
    密码管理器用来管理各种登录密码,本文介绍8个开源的密码管理器。

    Why Should You Pick an Open-Source Password Manager?
    1. KeePass
    2. Bitwarden
    3. Proton Pass
    4. KeePassXC
    5. Passbolt
    6. Buttercup
    7. KWalletManager
    8. Passwords and Secrets (a.k.a. Seahorse by GNOME)

    总结

    No matter the pick, you get all the essentials in every password manager. So, you need to focus on the specifics like the ability to self-host, emergency sharing access, and feature-set for the pricing plan to decide.
    无论选择什么,您都可以在每个密码管理器中获得所有必需品。因此,您需要关注自托管能力、紧急共享访问和定价计划的功能集等细节。

    Proton Pass应该是一个很好的专注于浏览器的密码管理器,而KeePass及其现代分支是完美的离线实用程序。Bitwarden是一个一体化的解决方案。最后,Buttercup和Passbolt是那些想要最小体验或协作功能的用户的独特选择。
    Proton Pass should be a good browser-focused password manager, while KeePass and its modern fork are perfect offline utilities. Bitwarden is an all-in-one solution. Finally, Buttercup and Passbolt are unique choices for users who want a minimal experience or features for collaboration.
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注