1. 引子
今天整理了一下眾多郵箱、網(wǎng)站的密碼,花費(fèi)了差不多一個下午的時間,這里把一點(diǎn)經(jīng)驗分享出來。相信大家現(xiàn)在都有很多重要或者不重要的密碼要記住,也有過忘記密碼然后不得不通過郵箱、短信找回的經(jīng)歷……都用一個密碼,網(wǎng)銀、支付寶、QQ、郵箱、論壇都用一個密碼,那要是QQ密碼泄露或者論壇被“脫褲”了你就處于完全不設(shè)防的境地了。那么如何才能記住眾多密碼還保證安全呢?可以從設(shè)計密碼的角度來達(dá)到安全和易記這兩個目標(biāo)。
2. 密碼要求
安全:不容易被人猜出,不容易被機(jī)器暴力破解,不容易從單個密碼推出其他密碼[1]
易記:看到不同的賬號,能夠在短時間內(nèi)回憶或者推演出準(zhǔn)確密碼
要實(shí)現(xiàn)安全的前兩個要求可以采用數(shù)字+字母+特殊符號的組合。安全的第三個要求要和易記這個目標(biāo)結(jié)合起來,密碼既能根據(jù)不同的賬號按規(guī)律變化,又不能被猜出規(guī)律。
3. 實(shí)踐方法
實(shí)踐方法:
無規(guī)律字符串
為了防止密碼被猜到(人猜,或者字典破解),不要使用自己、戀人、親人的生日,不要用電話號碼、QQ號,可以用自己熟悉的一句話生成[2]。例如:
wxhcdpg(我喜歡吃大蘋果)
這個字符串看起來毫無規(guī)律吧,其實(shí)是“我喜歡吃大蘋果”的配音首字母,記住這句話之后,一遍默念就打出來了,看起來毫無規(guī)律又好記的密碼就誕生啦!為了增加暴力破解難度,還可以將其中的某些大寫,比如第一個字母:Wxhcdpg,或者后面三個字母:wxhcDPG。還可以加上固定的數(shù)字串,比如315,Wxhcdpg315,現(xiàn)在加上數(shù)字后就更難破解了。不過這樣還是不能根據(jù)不同的賬號變化,下面就通過組合的方法來達(dá)到這個目標(biāo)。
組合和分級
前面介紹了一種好記又難猜的密碼,但是不能所有的賬號都用這個密碼啊,這里就可以利用組合來實(shí)現(xiàn)根據(jù)不同的網(wǎng)站在大腦中生成不同的密碼,還是以上面的密碼做為簡書的密碼為例,可以將密碼分為前面的字符串+域名的一部分+數(shù)字,例如這里取域名的前兩個字母,密碼就變成了:
Wxhcdpgji315
這里就得到了一個12位的好記又難破解的密碼了,為了進(jìn)一步增加破解的難度,可以將密碼用特殊符號包起來,比如:
%Wxhcdpgji315# (http://www.lxweimin.com/)
%Wxhcdpgzh315# (http://www.zhihu.com/)
這樣是不是很好記,而且每個網(wǎng)站的都不同。但是萬一泄露了呢?還是很容易就能猜出來后面兩位就是域名。可以采用的一種方式是將域名部分的字母替換成字母表后面的一位,比如ji就變成kj,zh就變成ai了,這基本就比較安全了,但是沒那么好記了,輸密碼前還得想一會兒。為了避免這種麻煩并提高安全性,可以采用分級的方法[3],將所有賬號分為普通/重要/很重要三類,然后每種密碼的組合方式不變,但是前面的字符串部分變得不一樣,這樣就算泄露出了一種密碼,其他兩大類的密碼還是安全的。就像在一個自由電梯的大樓里,每層樓都要密碼才能進(jìn),這樣如果一層的密碼泄露了是不影響其他層的安全。舉例如下:
這里前面用來分級的三個字符串相關(guān)性盡可能小,以免被猜到,這里也是我為什么用dpg(大蘋果)、xxj(香香蕉)、ddg(大蛋糕)而不用pg、xj、和dg的原因。如果你有更容易記住而不容易猜的都可以用上。
4. 結(jié)語
這樣下來密碼是不是變得不再混亂了呢?畫一下午時間來整理密碼吧,給以后節(jié)省的時間絕對比一下午多!當(dāng)然,要是你覺得這樣還是太麻煩,可以嘗試lastpass等軟件。
偏題一下,除了密碼設(shè)計安全,更重要的是要有安全意識,比如不明確的鏈接、文件要小心對待,不然再強(qiáng)的密碼自己拱手相讓也是讓人無奈的事。
