避免被“撞库”,浅谈个人密码设置
前言
周末,JD 的12G信息外泄事件曝光,又把信息泄露时间推上了浪口风尖,小编也在周日下午的发出了一篇文章。
看了一下,里面的干货真的不多。而我周日一整个下午都在忙于“升级”我的密码本,而在小编帖子的评论里,也跟几位值友,分享了一下大家的做法。我想,为了造福更多不了解如何设置密码的值友,把的一些经验分享给大家。最主要的还是受到了小编的鞭策。
作为前知名安全厂商中一员,还是见过一些“世面”的,不过我不是技术人员,很多事情没有深入去了解,难免会有所偏颇,请多包涵。
在分享之前,先说明一些情况:
1、密码设置,通常有很多种,(其中利用各种电脑软件的,不在今天讨论范围)今天我想分享的内容是,完全人工设置密码的方法。
2、如果平时只使用几个密码(一般这样性格的人,使用不同密码的数量不会超过5个),且基本上不太会主动更换密码。那么你被“撞库”攻击的概率会大大提升。
3、通常,我会分享给身边朋友,一些基本的规则。基于这些规则,就能组合出各种不重复的密码,看似没有规律,实则有规律可寻(仅限于设置规律的人)。
Let's Go!
易记且不重复的密码设置——v 1.0
昨天在评论中,已经有值友@大波浪长头发分享出他的经验了。其实这种方法,也是常见的方法,我自己之前也基本上使用这种方法。
这种方法简单说,就是固定+变动的组合1.0方式。
固定的一般都是数字,你可以任意选择数字,不过千万别学他,使用123456这种数字。对于数字的选择,不要使用你本人的生日、你太太&孩子的生日这种数字(谨防身边小人,或者某些不道德的能接触这些信息的人)。
对于一组密码,除了数字、大小写字母外,已定要加上标点符号,固定的就是标点符号了。键盘上那么多标点符号可以任意选择。
变动的字母。为什么说变动的是字母呢?因为数字变动,很难有规律可寻,但是字母就不一样了,你可以根据不同的网站英文或者拼音首字母,组合出来。比如,百度,你可以选择bd,新浪就是xl,什么值得买就是smzdm。搭配大小写,记得,别永远把第一个字母设为大写。哪怕你第一位设置为小写,也远比第一位设置为大写,要安全一些。sMZDM 安全性好过Smzdm。
以上的组合,基本上可以让你只需要记住一组“固定模式”,就能设置全部的网站,且很少会有重复。实际举例,固定数字(50189)放最后面,固定标点符号放中间(&),变动字母放最前面。
www.baidu.com 你可以设置登录密码为:bD&50189 或者复杂一点的 (bAIdU&50189)
www.smzdm.com 可以设置登录密码为:sMZDM&50189 (sHENmEzHIdEmAI&50189)
www.jd.com 就是:jD&50189 (jINGdONG&50189)
作为最常用的一种密码设置,仅适合各种比较懒的人。虽说懒人很少会主动修改密码,很少会设置不同的密码,主要还是怕麻烦,怕记不住。但v1.0的密码已经足够你们使用了。
优点:不用可以记每个网站的登录密码,只要打开网页,有网站名字,以前按照此方法注册过的,基本上就能90%成功率登录。全部使用不同的密码,几乎没有一组密码会重复,可以规避来自于简单“程序”化的撞库攻击。
缺点:一旦有人花点时间看一下,瞬间就能“破解”你的密码。有些改良版的“程序”也已经可以设置不同参数,自动破解这些密码了。
密码本关键字——固定的数字+固定标点符号,变动的字母
看似无规律,实则有规律的密码设置——v 2.0
先来看这组密码:AbD&501891234 AsMZDM&501892234 BjD&501892234
有没有一种似曾相识的感觉呢? 对了,这种方法我自己定义的2.0(我昨天下午就是把所有网站密码,分门别类重新重置了一遍),升级到这种。它来自于1.0的方法。不一样的地方是,嵌套了一个密码本。密码本可以自由选择。还是举例说明,看下图。横轴上,我按照ABCDE的顺序来设置,纵轴上随便写了一个数字。
然后呢,把网站类别做进去,然后自然而然就有新的组合密码出现了。下图。
这种“变种”后的密码,你让程序员或者智能“程序”自动匹配,几乎就很难了。如果说1.0的密码属于8位加密的,2.0的几乎就是128位的了。
你觉得ABCDE还是不够安全,那么下图呢?你能找到规律吗?如果这样,你都能找到规律,你
上图的规律,我只用告诉你5个中文,聪明的你们就知道是什么了吧?
优点:随意定制属于你个人的密码本,几乎没有被“撞库”攻击的可能性了,除非你真的是某个重要的人,或者重要的岗位,被有针对性的APT攻击了。
缺点:既然用到了密码本,就不可能像v1.0那样,看到一个网站,就知道自己的密码了,每次使用,都需要配合密码本。如何保管你的密码本,保证密码本的安全,就是额外的重要工作了。
我现在就用这种方式,所以对于密码本的管理、备份,我采用两地三中心的方式。A,我用一个专用加密U盘(至少对密码本,比如Excel访问&读写权限进行加密)保存。B,家里无线WIFI上的NAS存储上,也做加密本数据同步。C,手机APP加密软件里的存放(变相的公有云存储)。每次有新的密码增加、删除、修改,在ABC上,全部做一次数据同步,这样可以最大程度的保证密码本的安全。
你能找到规律,绝对可以获得百万年薪的密码设置——v 3.0
张大妈上,神人太多,在昨天小编的帖子里,就发现这么一位值友@猫皮。我佩服的五体投地。我把他的评论分享给大家。
用书来做密码本的方式都出来了。我当时看到这条评论,感觉就是类似于电视剧里《解密》的情节。这种方式加密,几乎没有可能性被撞库了,虽然我个人觉得我说的v2.0已经够安全了。但相比与这位大神,简直幼儿园小朋友与博士生进行智力比赛,不在一个级别。
优点:太厉害了,我水平有限,没有更好的词语来表述了。
缺点:每次登录,都要掏出一本书。别人登录一个网站只需几秒,这种方式需要几分钟。
其他安全信息保护
除了个人密码设置外,你个人能在网站上注册时做的保护并没有那么多了。但有条件的,还是可以做一下,就是邮箱设置。很多网站密码找回可以通过手机或者邮箱,所以邮箱的设置,你还能做一些。比如:尽量少使用公共邮箱,除非你觉得这个网站不重要,那么拿公共邮箱作为类似于DMZ区的跳板,把你真实的邮箱作为公共邮箱转发的邮箱使用。这样一旦公共邮箱被破解,你还能保护你真实邮箱的安全性。
总结
Q:我平时很小心保管我的密码,且很难记,我的密码也会被破解吗?
A:现在密码泄露大都是通过攻击一些小的网站(大中型网站一般都有完善的防护体系),通过这些网站获得你的个人信息。如果你只使用几个相同的密码,那么你的密码就容易被破解了。
Q:我是个人用户,对黑客没有价值,他们不会针对我的,所以我的个人信息很安全。
A:个人信息只是所有可交易信息中的一部分,而可交易信息已经基本形成一条成熟的产业链。有卖攻击软件的,有找各种漏洞的、有收集信息的,有做分类、提取、再次销售的,有负责联系网站或者个人的,有直接/间接获得经济利益的……这些信息通过交易,转到不同的人手上,至于后续怎么使用,前面的人基本上都不管。而比特币的出现,为这些交易提供了非常好的资金转移手段。
Q:关于个别网站密码长度或者格式的问题,我无法按照上面的方法设置密码。
A:人是活的,规律是死的。所以你完全在登记到密码本的时候,自己做一些特殊处理,至少大方向符合规律就行。
本文仅是把我个人的一些密码设置方面的经验分享给大家,希望本文对于哪些还不知道如何设置密码的值友们有所启发。
棋子帝
校验提示文案
大波浪长头发
校验提示文案
CaT_TaO
校验提示文案
透了
校验提示文案
bilibili999
校验提示文案
隐鱼
校验提示文案
oO小林子Oo
1、纯数字:把你的生日、电话等每两位交换一下,比如123456变成214365。
2、纯数字:生日之类的数字每两位乘个数取结果后两位,比如123456乘2变成246812
3、字母类:有意义的组合按下键盘上按键旁边的键,比如smzdm按左边anmsn
4、在特定位置使用shift把原来的字母变大写,数字变符号。比如abc123变成AbC1@3。
5、使用上面的多种组合。
6、永远记住,密码学告诉我们:密码和丁丁一样,越长越好
校验提示文案
usr001
校验提示文案
陈666
然后脸滚键盘,切记切记,一定是脸滚键盘,出来的字母是啥都看天。打出几十个上百个字母,。每十个每十个的复制用到各个网站上做密码。切记用的时候记本子上某某网站哪十位的密码。
校验提示文案
無先生
级别一:会暴露你的上网习惯等。
级别二:会暴露你的邮箱家庭住址等。
级别三:会暴露你的财产安全等最私密信息的。
校验提示文案
特邀体验者
还是我的比较靠谱:
“我的英文名”+“域名个数”+“域名首字母对应的手机拨号界面数字”+“域名在键盘上字母左边的一个字母,如果到顶了就横排轮回”+“域名倒写一遍”(当然我的真实顺序不是这个啊。)
比如张大妈的密码就是(比如英文名是tom):tom57an/snmdzms,这样每次输密码,看着域名就可以把密码写出来了。
我的所有密码都是这样记的,只不过网站、银行、网银的规律不一样罢了。。
校验提示文案
我不能再买了
校验提示文案
一生一世快乐
校验提示文案
蜈蚣没手
校验提示文案
Grays
校验提示文案
肥肉肉
校验提示文案
拖着奶瓶笑
校验提示文案
Thatguy
校验提示文案
chintj
校验提示文案
就要猎到你
校验提示文案
醉后才醒
校验提示文案
支书
校验提示文案
陈666
然后脸滚键盘,切记切记,一定是脸滚键盘,出来的字母是啥都看天。打出几十个上百个字母,。每十个每十个的复制用到各个网站上做密码。切记用的时候记本子上某某网站哪十位的密码。
校验提示文案
zhaohui0923
校验提示文案
王小路
校验提示文案
Aim21
校验提示文案
肥肉肉
校验提示文案
火星人Eddy
校验提示文案
绝爱lost2
校验提示文案
绝爱lost2
校验提示文案
绝爱lost2
校验提示文案
abanda
校验提示文案
我爱牛腩和肋排
校验提示文案
buyer66
校验提示文案
蓝水
校验提示文案
万里屠苏
校验提示文案
Bike司机
校验提示文案
羽十一
校验提示文案
大便
校验提示文案
沙漠之鹰2015
校验提示文案