如何设置一个安全的密码

如何设置一个安全的密码

之前的博文《个人信息泄漏的隐患》提到过密码安全问题,这里简单说下设置一个好记、而且安全性较好密码的方法。

在讲述方法之前,先说说不安全密码情况下的一些问题,先看看看下面两个案例。

案例1

下面是2017年 世界常用密码的top25 的排名:

2017年密码top25排行榜

这份数据是全球的排名,可能代表不了国内的排名,国内的前25 至少应该有5201314、11111111,88888888之类的常用密码。如果自己设置的密码是常用密码,那一旦自己账号被盯上,就等价于没有密码了,因为攻击者使用脚本跑一遍常用密码表几乎不用时间就可以把你的密码试出来。

案例2

2011年12月22日 国内最大的开发者社区 CSDN网,600万用户资料(账号密码等)被泄漏,之后25日,天涯网的用户隐私也遭到泄漏,用户数量达到4000万。(后来也很多网站相继被泄漏用户资料)

这两份数据,我抽取过其中部分数据来跑过脚本测试——使用其注册的密码去登录其绑定的邮箱账号(smtp协议去跑),其中天涯社区大概1/5的是匹配的,而csdn 的大概为1/20,也就是说明天涯用户大概有1/5的用户是使用一个密码在多个账号使用的,CSDN 的用户属于开发人员,安全意识高点,但也有1/20是“一码走天下”的。

所有的账号使用一个密码,是极其不安全的做法。如果你注册的某个网站被泄漏信息了,而网站通过了手机认证绑定,那么泄漏的信息也有你的手机号码,别人便知道你的这些信息了。如果你的微信绑定的是手机号,或淘宝绑定的是手机号,或京东绑定的也是手机号,那么别人就可以直接登录了。

上面两个案例,分别说明使用简单密码(弱口令)不安全,因为容易被枚举;所有帐号使用同一个密码也不安全,一个地方被泄漏导致所有遭遇。

为了增强密码被枚举的难度,很多帐号系统都要求用户把密码设置为强密码(强密码的标准是长度大于12位且包括字母、符号和数字)。这样,使得密码更加复杂化了,导致更多人使用相同的密码去对应不同的帐号系统了,这样更加增加了一个系统被泄漏其他的也遭殃的风险。

个人密码设置是一件矛盾的事情,如果所有账号设置密码一样,那么一个密码泄露就所有的都被攻破了;如果每个账号采用不一样的密码,那么记住密码是个比较头痛的事情。

如何设置一个好记而且各个地方不一样的强密码,这是一个技巧的问题,这里来做一个例子说明。

首先,你可以选自己喜好的一句话,比如“八点我们斗地主”,取其拼音首字母——bdwmddz作为密码的部分(下面称“通码”)。通码对于自己来说是好记的,别人就不太可能知道其意义了。接着就是制定个规则,使得各个帐号系统上密码不一样,但又和帐号系统相关联。比如百度,取得其拼音——baidu是5个字母,取得一前一后字母——“bu”,baidu 字母个数是单数(5个),单数就把“bu”的第一个字母变成大写就是“Bu”,之后把通码插入这两个字母之间,变成“Bdwmddzu”作为百度帐号的密码,再如支付宝——zhifubao,取得前后字母“zo”,支付宝的拼音个数双数(8个),双数则把第二个字母变成大写“zO”,通码扔到这两字母之间,变成了“zbdwmddzO”作为支付宝的密码。按照这个规则,那么京东的密码就是“jbdwmddzG”了。这样,是不是密码既好记,又是每个帐号系统不一样?

上面说的方法,实际上就是自己选一个好记的语句作为通码,再配上一个规则,使得每个帐号系统不一样。通码只有自己知道,规则也只有自己知道,这样就算某个系统泄漏了密码,别人也难推测到你的其他帐号的密码——嗯,规则需要设置得复杂点,上面说的简单了,必要时候你可以加上些特殊符号。

2013年密码排行榜

(上图是2013年的top 10 常用密码,对比2017年top 25 常用密码,你会发现前几名没有变化)

最后,有两点建议:

1)切记,尽量避免个人信息作为密码,比如身份证、电话号码、学号、名字拼音和上面提到的弱口令密码作为密码。在个人信息满天飞的情况下,这些密码在密码生成器的配合下,经不起脚本去遍历枚举。

2)对于银行卡这种,需要不定期做下修改。

相关文章:《个人信息泄漏的隐患》

(全文完)

(欢迎转载本站文章,但请注明作者和出处 云域 – Yuccn

发表评论

电子邮件地址不会被公开。 必填项已用*标注