当前位置:
文章详情

避免被“撞库”,浅谈个人密码设置

2016-12-13 19:19:10 293点赞 1331收藏 329评论

前言

周末,JD 的12G信息外泄事件曝光,又把信息泄露时间推上了浪口风尖,小编也在周日下午的发出了一篇文章。

避免被“撞库”,浅谈个人密码设置你的信息,比你想的更重要!从京东用户数据外泄,浅谈网络信息安全这个周末跟所有应该睡懒觉的周末没有啥不同,除了小小值真的是改了一上午密码,是的,当看到下面这条消息时,小小值整个人都不好了:哎,真...3473722516 原创小小值

看了一下,里面的干货真的不多。而我周日一整个下午都在忙于“升级”我的密码本,而在小编帖子的评论里,也跟几位值友,分享了一下大家的做法。我想,为了造福更多不了解如何设置密码的值友,把的一些经验分享给大家。最主要的还是受到了小编的鞭策。

避免被“撞库”,浅谈个人密码设置

作为前知名安全厂商中一员,还是见过一些“世面”的,不过我不是技术人员,很多事情没有深入去了解,难免会有所偏颇,请多包涵。避免被“撞库”,浅谈个人密码设置

避免被“撞库”,浅谈个人密码设置

在分享之前,先说明一些情况:

1、密码设置,通常有很多种,(其中利用各种电脑软件的,不在今天讨论范围)今天我想分享的内容是,完全人工设置密码的方法。

2、如果平时只使用几个密码(一般这样性格的人,使用不同密码的数量不会超过5个),且基本上不太会主动更换密码。那么你被“撞库”攻击的概率会大大提升。

3、通常,我会分享给身边朋友,一些基本的规则。基于这些规则,就能组合出各种不重复的密码,看似没有规律,实则有规律可寻(仅限于设置规律的人)。

Let's Go!避免被“撞库”,浅谈个人密码设置

易记且不重复的密码设置——v 1.0

昨天在评论中,已经有值友@大波浪长头发分享出他的经验了。其实这种方法,也是常见的方法,我自己之前也基本上使用这种方法。

避免被“撞库”,浅谈个人密码设置

这种方法简单说,就是固定+变动的组合1.0方式。

固定的一般都是数字,你可以任意选择数字,不过千万别学他,使用123456这种数字。对于数字的选择,不要使用你本人的生日、你太太&孩子的生日这种数字(谨防身边小人,或者某些不道德的能接触这些信息的人)。

对于一组密码,除了数字、大小写字母外,已定要加上标点符号,固定的就是标点符号了。键盘上那么多标点符号可以任意选择。

变动的字母。为什么说变动的是字母呢?因为数字变动,很难有规律可寻,但是字母就不一样了,你可以根据不同的网站英文或者拼音首字母,组合出来。比如,百度,你可以选择bd,新浪就是xl,什么值得买就是smzdm。搭配大小写,记得,别永远把第一个字母设为大写。哪怕你第一位设置为小写,也远比第一位设置为大写,要安全一些。sMZDM 安全性好过Smzdm。

以上的组合,基本上可以让你只需要记住一组“固定模式”,就能设置全部的网站,且很少会有重复。实际举例,固定数字(50189)放最后面,固定标点符号放中间(&),变动字母放最前面。

www.baidu.com 你可以设置登录密码为:bD&50189 或者复杂一点的 (bAIdU&50189)

www.smzdm.com 可以设置登录密码为:sMZDM&50189 (sHENmEzHIdEmAI&50189)

www.jd.com 就是:jD&50189 (jINGdONG&50189)

作为最常用的一种密码设置,仅适合各种比较懒的人。虽说懒人很少会主动修改密码,很少会设置不同的密码,主要还是怕麻烦,怕记不住。但v1.0的密码已经足够你们使用了。

优点:不用可以记每个网站的登录密码,只要打开网页,有网站名字,以前按照此方法注册过的,基本上就能90%成功率登录。全部使用不同的密码,几乎没有一组密码会重复,可以规避来自于简单“程序”化的撞库攻击。

缺点:一旦有人花点时间看一下,瞬间就能“破解”你的密码。有些改良版的“程序”也已经可以设置不同参数,自动破解这些密码了。

密码本关键字——固定的数字+固定标点符号,变动的字母

看似无规律,实则有规律的密码设置——v 2.0

先来看这组密码:AbD&501891234 AsMZDM&501892234 BjD&501892234

有没有一种似曾相识的感觉呢?避免被“撞库”,浅谈个人密码设置 对了,这种方法我自己定义的2.0(我昨天下午就是把所有网站密码,分门别类重新重置了一遍),升级到这种。它来自于1.0的方法。不一样的地方是,嵌套了一个密码本。密码本可以自由选择。还是举例说明,看下图。横轴上,我按照ABCDE的顺序来设置,纵轴上随便写了一个数字。

避免被“撞库”,浅谈个人密码设置

然后呢,把网站类别做进去,然后自然而然就有新的组合密码出现了。下图。

避免被“撞库”,浅谈个人密码设置

这种“变种”后的密码,你让程序员或者智能“程序”自动匹配,几乎就很难了。如果说1.0的密码属于8位加密的,2.0的几乎就是128位的了。

你觉得ABCDE还是不够安全,那么下图呢?你能找到规律吗?如果这样,你都能找到规律,你避免被“撞库”,浅谈个人密码设置

避免被“撞库”,浅谈个人密码设置

上图的规律,我只用告诉你5个中文,聪明的你们就知道是什么了吧?避免被“撞库”,浅谈个人密码设置

避免被“撞库”,浅谈个人密码设置

优点:随意定制属于你个人的密码本,几乎没有被“撞库”攻击的可能性了,除非你真的是某个重要的人,或者重要的岗位,被有针对性的APT攻击了。

缺点:既然用到了密码本,就不可能像v1.0那样,看到一个网站,就知道自己的密码了,每次使用,都需要配合密码本。如何保管你的密码本,保证密码本的安全,就是额外的重要工作了。

我现在就用这种方式,所以对于密码本的管理、备份,我采用两地三中心的方式。A,我用一个专用加密U盘(至少对密码本,比如Excel访问&读写权限进行加密)保存。B,家里无线WIFI上的NAS存储上,也做加密本数据同步。C,手机APP加密软件里的存放(变相的公有云存储)。每次有新的密码增加、删除、修改,在ABC上,全部做一次数据同步,这样可以最大程度的保证密码本的安全。

你能找到规律,绝对可以获得百万年薪的密码设置——v 3.0

张大妈上,神人太多,在昨天小编的帖子里,就发现这么一位值友@猫皮。我佩服的五体投地。我把他的评论分享给大家。

避免被“撞库”,浅谈个人密码设置

用书来做密码本的方式都出来了。我当时看到这条评论,感觉就是类似于电视剧里《解密》的情节。这种方式加密,几乎没有可能性被撞库了,虽然我个人觉得我说的v2.0已经够安全了。但相比与这位大神,简直幼儿园小朋友与博士生进行智力比赛,不在一个级别。

优点:太厉害了,我水平有限,没有更好的词语来表述了。

缺点:每次登录,都要掏出一本书。别人登录一个网站只需几秒,这种方式需要几分钟。

其他安全信息保护

除了个人密码设置外,你个人能在网站上注册时做的保护并没有那么多了。但有条件的,还是可以做一下,就是邮箱设置。很多网站密码找回可以通过手机或者邮箱,所以邮箱的设置,你还能做一些。比如:尽量少使用公共邮箱,除非你觉得这个网站不重要,那么拿公共邮箱作为类似于DMZ区的跳板,把你真实的邮箱作为公共邮箱转发的邮箱使用。这样一旦公共邮箱被破解,你还能保护你真实邮箱的安全性。

总结

Q:我平时很小心保管我的密码,且很难记,我的密码也会被破解吗?避免被“撞库”,浅谈个人密码设置

A:现在密码泄露大都是通过攻击一些小的网站(大中型网站一般都有完善的防护体系),通过这些网站获得你的个人信息。如果你只使用几个相同的密码,那么你的密码就容易被破解了。

Q:我是个人用户,对黑客没有价值,他们不会针对我的,所以我的个人信息很安全。避免被“撞库”,浅谈个人密码设置

A:个人信息只是所有可交易信息中的一部分,而可交易信息已经基本形成一条成熟的产业链。有卖攻击软件的,有找各种漏洞的、有收集信息的,有做分类、提取、再次销售的,有负责联系网站或者个人的,有直接/间接获得经济利益的……这些信息通过交易,转到不同的人手上,至于后续怎么使用,前面的人基本上都不管。而比特币的出现,为这些交易提供了非常好的资金转移手段。

Q:关于个别网站密码长度或者格式的问题,我无法按照上面的方法设置密码。

A:人是活的,规律是死的。所以你完全在登记到密码本的时候,自己做一些特殊处理,至少大方向符合规律就行。

本文仅是把我个人的一些密码设置方面的经验分享给大家,希望本文对于哪些还不知道如何设置密码的值友们有所启发。

展开 收起
329评论

  • 精彩
  • 最新
  • 你设置的再复杂,也是可以记录键盘,照样被盗。。

    校验提示文案

    提交
    没有100%的安全。对于个人来说,能做到自我保护,而不是等发生意外了,再想办法费时费力的去处理。对于企业用户,那么还有其他方法可以处理。

    校验提示文案

    提交
    以前年少,搞过木马盗号,完全可以记录你的密码,所以密码无所谓复杂,别被病毒搞到,才是关键~

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 我来了,我当时就是举个栗子写的123456,实际肯定不能这样了!不过为了大家的账号安全,我充当一次反面教材也值了! [惊喜] [惊喜] [惊喜]

    校验提示文案

    提交
    至少也让你榜上有名了一次,不是. [耶]

    校验提示文案

    提交
    收起所有回复
  • 没看懂,可能我智商低 [狂汗]

    校验提示文案

    提交
    v1.0 的内容可以看懂吧?我想,我已经写了尽量简单,并举例说明了啊.

    校验提示文案

    提交
    那个能看懂,但是好麻烦,还要切换大小写,我依然是几个密码走天下 [脸红]

    校验提示文案

    提交
    收起所有回复
  • 说出来就不灵了

    校验提示文案

    提交
    分享出来的是方法而已。说出来也不怕,比如你用2.0的唐诗,你可以改成宋词嘛。

    校验提示文案

    提交
    收起所有回复
  • 这样填个密码我要想半天 我觉得活的太累。。被盗概率不到百分之一 为这点概率我需要这么累吗。。宁愿只分批记住重要网站的密码 。像张大妈这种网站账号没啥价值 直接统一密码

    校验提示文案

    提交
  • 我想说我一般都是用古诗词+网站当组合密码,比如10nm1jzdm这种,翻译过来就是十年磨一剑张大妈,个人觉得安全性已经很高了,毕竟连我老公都不知道我的诗词储备量和我最喜欢的几句诗词是什么哦耶 [脸红]

    校验提示文案

    提交
    如果你每个网站都是10nmj+变量,不就是我文中提到过v1.0的版本.

    校验提示文案

    提交
    但是用诗词当前缀,乍一看上去完全无规律,也还好吧 [喜极而泣]

    校验提示文案

    提交
    还有12条回复
    收起所有回复
  • 一般网站的密码,交给lastpass这样的软件就好了。重要的密码楼主构建密码映射的思路是对的,但是映射表选的太复杂了。我也提供几种思路吧:
    1、纯数字:把你的生日、电话等每两位交换一下,比如123456变成214365。
    2、纯数字:生日之类的数字每两位乘个数取结果后两位,比如123456乘2变成246812
    3、字母类:有意义的组合按下键盘上按键旁边的键,比如smzdm按左边anmsn
    4、在特定位置使用shift把原来的字母变大写,数字变符号。比如abc123变成AbC1@3
    5、使用上面的多种组合。
    6、永远记住,密码学告诉我们:密码和丁丁一样,越长越好

    校验提示文案

    提交
    LastPass 随机生成

    校验提示文案

    提交
    好招式 我喜欢

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 呵呵,最简单的就是电脑上新建个文档,输入法换成英文小写输入
    然后脸滚键盘,切记切记,一定是脸滚键盘,出来的字母是啥都看天。打出几十个上百个字母,。每十个每十个的复制用到各个网站上做密码。切记用的时候记本子上某某网站哪十位的密码。 [赞]

    校验提示文案

    提交
  • 某一期TED里面讲到过,密码设定要分为三个级别:
    级别一:会暴露你的上网习惯等。
    级别二:会暴露你的邮箱家庭住址等。
    级别三:会暴露你的财产安全等最私密信息的。

    校验提示文案

    提交
  • 都弱爆了好吧,谁输入密码还拿书,拿密码本出来啊,肯定要有规律才好记忆和输入啊。
    还是我的比较靠谱:
    “我的英文名”+“域名个数”+“域名首字母对应的手机拨号界面数字”+“域名在键盘上字母左边的一个字母,如果到顶了就横排轮回”+“域名倒写一遍”(当然我的真实顺序不是这个啊。)
    比如张大妈的密码就是(比如英文名是tom):tom57an/snmdzms,这样每次输密码,看着域名就可以把密码写出来了。
    我的所有密码都是这样记的,只不过网站、银行、网银的规律不一样罢了。。

    校验提示文案

    提交
    赞,以后密码也参考这样。

    校验提示文案

    提交
    挺好,然后域名改了 [哭泣]

    校验提示文案

    提交
    收起所有回复
  • 看完之后一点也不想改……太麻烦了,懒人连第一种都觉得麻烦!

    校验提示文案

    提交
  • 密码其实最重要的是分类分级管理,重要的密码一定要拿本子记下来,说句不好听的,万一突然挂了,家人需要这些密码

    校验提示文案

    提交
  • 作为张大妈的老顾客,你们搞那么复杂的密码,遇到神价切换账户怎么破?输密码都要几分钟,还抢毛啊

    校验提示文案

    提交
  • 这都能写一篇,把张大妈当blog了。。。

    校验提示文案

    提交
    现在的这里的冗余越来越多

    校验提示文案

    提交
    收起所有回复
  • 若是这样活着我宁愿被撞库 [喜极而泣] [喜极而泣]

    校验提示文案

    提交
  • 我用lastpass生成随机密码,可以自动填充,我自己都记不住 [棒棒哒]

    校验提示文案

    提交
  • lastpass前几年泄露过数据库,毕竟是保存在别人服务器上的,我推荐用单机的keepass,你只需要记住一个总体的数据库密码,这个密码可以是一张图片。每个单项都可以自己生成。完全随机的密码

    校验提示文案

    提交
    用了KEEPASS就只记住一个密码 [赞一个] [赞一个] [赞一个] ,其他密码全都不记得 [喜极而泣] [喜极而泣] [喜极而泣] ,搞到好几次信用卡密码错误,被锁了 [喷血] [喷血] [喷血]

    校验提示文案

    提交
    keepass不错,一般网站用这个很溜,随机生成强密码

    校验提示文案

    提交
    收起所有回复
  • 以前lastpass,现在keepass,每个网站都不同密码。

    校验提示文案

    提交
  • 我买了1password

    校验提示文案

    提交
  • 1password你值得拥有

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
1.3K
扫一下,分享更方便,购买更轻松