密码到底要怎么设置，才能尽可能保证安全

对smzdm用户来说，网络安全一般都不在话下。然而中招的也还是有的吧，作为网购一族，常在河边走，千万别湿鞋。这方面头绪太多，以我粗浅的认识讲一讲我所知道的。别的放到后面简单说，先探讨一下一个噩梦般的存在：密码！

在这里不想搞得太长，重点是提供一个设置密码的思路。稍稍详细点的分析猛击这里看。

一、密码是怎么被保存的

1、明文

很low的网站才会用。当年CSDN这样浓眉大眼的也用，也是大跌眼镜

2、哈希

哈希中文翻译叫“散列算法”、“摘要算法”，打个不严肃的比方，就好比打马赛克。

3、高级

之所以说高级，是因为一般不会给你用。比如RSA、DSA，还有AES等等。不详细讲了，因为我也不太懂。

4、硬件加密

比如招行专业版，登录也得用USBKey。原理我也不是很清楚，总之很安全就对了。

二、密码是怎么丢的？

既然上面第3种、第4种密码保存方式我不懂，那么就说说明文和哈希保存的密码一般是怎么给盗的。

1、暴力破解

啥意思呢，就是穷举，对明文和哈希都有用。当年电脑慢，暴力破解很耗时间。可是暴力破解至今仍然长盛不衰。攻守双方各出奇招。有兴趣的可以点这里看。

2、碰撞Collision

碰撞是专门针对哈希码的。啥意思呢？就是说黑客们找到了一些算法，可以快速找到一个可能和原始密码完全不同的字符串，但是算出来的哈希值和原始密码算出来是一样的。

3、木马

比如键盘记录器木马，把你按的键记录下来，密码不也记录了吗？还有的从发送的数据里抓取密码。然后发送到某个邮箱里去。

当然，上面三种都是勤劳黑客干的事。实际上来说现在黑客们干的可比这low多了。像下面这些：

4、拖库

顾名思义，把人数据库给拖下来了。当然有时候是网站管理员自己干的。

5、撞库

好比你从A站拖了个库，是明文密码的，然后你到B站去，用那些明文的用户名和密码来登录，10个里面有5个能登录，这就是撞库了：从一个站破解出的密码，去用到其它网站。

6、社工库

这个名字有点难以捉摸，其实就是用户名-密码，或者哈希值-密码原文的数据库。黑客们把已经破解的这些数据做成数据库，分享出来，就是社工库。

7、买卖

这个不用解释了。

7、其它

比方说网络数据抓包啊之类的，这些是针对小范围或者特定人的攻击破解。

三、怎么设置密码最安全呢？

从以上内容你应该知道，根本没有绝对的安全。我们只能尽可能地防。

所有的网站都试图告诉你：要用尽可能长、要同时有大小写字母、数字甚至符号混起来用，这样的密码，强！

然而这只是针对暴力破解的。

我总结的设置密码（安全）三条原则：

1、不要用现成的单词

2、不同的网站用不同的密码

3、不能过分难记

也就是说，好的密码设置，应当同时满足安全性和易记性两个目的。不好记的密码有个大问题，即有的人设置了巨长的密码，记不住，然后弄个便签条写下来……

这太不安全了好吗。

提供一种方法供大家参考：

第一步：把你的网站分成4大级别

S1级：跟钱有关系（支付宝、网银，切记，一定要有一个使用S1级密码的邮箱，用来绑定这些帐户）

S2级：跟个人隐私有关系（QQ、微信等各种IM、SNS、重要的Email等）

S3级：频繁使用，帐号丢了很心疼的（smzdm啊，论坛啥的）

S4级：无所谓的网站（有时候为了看一个帖子，但是隐藏了，你必须注册了才能看的那种）

第二步：选两个单词和一个数字串

比如spring brother，你的生日19810908。

数字缩一下：918

从里面选几个字母，比如：

spribrt

数字加进去：

（密干）sp91rib8rt

大小写：

（密干2）sP91rib8Rt

好了，其实这个原密B已经很像乱码是不是？还不够

我们在里面空两个位置出来，比如：

（原密A）sp91ri_b8rt_

（原密B）sP91ri_b8Rt_

第三步：分级设置密码和安全工具

S1级

这种的用密码还嫌不够，如果有USBKey，就买一只。钱不多，安全性提升不少。然后咱还得有个密码，就用原密B，然后在两个空位里填上这个网站的关键字母，比如淘宝，密码就设成这样：

sP91ritb8Rtb

S2级

按S1的密码方式设置为好。

S3级

同S2，只是用原密A而不是原密B，因为这样比较容易输入。

S4级

建议用小号用户名，密码随便啦。

按以上方式设置密码，其实你只需要记两个密码，然后类推就可以设置和记住了。

当然现而今安全问题可能发生在很多方面，密码很多时候反倒不是最重要的。还是得养成良好上网习惯，保住信息安全。