V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
alinusking
V2EX  ›  问与答

像类似于固定字符+网站名(包括改良版)这样的密码是否真的安全?

  •  
  •   alinusking · 2016-10-25 22:25:03 +08:00 via Android · 2089 次点击
    这是一个创建于 2986 天前的主题,其中的信息可能已经有所发展或是发生改变。
    所谓固定字符+网站名就是类似于比如: Google12345 ,12345Google 这样的密码
    复杂一点就是进行一些变换 比如 Google 这个单词的字母取后
    一位 即 Hpphmf (取前一位、键盘位移等等) 然后把整个密码进行一些顺序调整,比如 Hpp12hmf345 (等等方法)
    对于一般的情况,因为不同网站用了不同的密码,所以应该能防范。但是这样的密码应该很容易被猜解即不能防止针对性攻击。
    现在争论的问题是“攻击者是否很少会来关注个人,而是直接拿大批的数据尝试能否登录? ”
    所以,像这种形式的密码,是否真的“安全”呢?
    12 条回复    2016-10-30 14:21:05 +08:00
    0TSH60F7J2rVkg8t
        1
    0TSH60F7J2rVkg8t  
       2016-10-25 22:33:26 +08:00 via iPhone
    这种模式用的人多了,就和使用英文单词做密码一样了,虽然一站一码,但明显规则可以写词典里,对于明文存密码的网站,脱裤后这些规则也是透明的,黑客可以通过特征找出有规则的用户再针对性扫其他站来撞密码,而且也有一定能力可以做成全自动的,所以最好的密码就是没有规则的密码。
    chiv2
        2
    chiv2  
       2016-10-25 22:38:13 +08:00
    相对弱密码只是穿了条丁字裤,如楼上所说,一旦用的人多了对黑客来说就是更新几条规则的事。所以一定要这样用的话最好加上自己的特殊符号并且长度越长越好。
    qiayue
        3
    qiayue  
       2016-10-25 22:39:39 +08:00
    这样子可能更安全:
    10 位的固定字符,字母+数字
    然后加上域名,域名有自己的大小写规则
    Tink
        4
    Tink  
       2016-10-26 00:59:51 +08:00 via iPhone
    其实就是域名加盐而已,问题就是这个盐
    XiaoxiaoPu
        5
    XiaoxiaoPu  
       2016-10-26 01:12:03 +08:00 via iPad
    HMAC 截取某些位,再 base64 一下
    azh7138m
        6
    azh7138m  
       2016-10-26 07:56:29 +08:00 via Android
    我也是这样,不过我算了一次 md5 避免被人知道我的那个盐是啥
    Trim21
        7
    Trim21  
       2016-10-26 08:47:39 +08:00 via Android
    @azh7138m 这样那个 md5 本身不就是盐了吗。。。。好像么有什么区别。。。?
    AltairT
        8
    AltairT  
       2016-10-26 14:14:10 +08:00
    我近期出去旅游回来忘了两个刚改过的密码,自此痛定思痛,打算用密码管理软件.但是 Keepass 用起来有些麻烦,只是用了花密来算密码,只取前八位,账户信息关键字另外明文存储.
    v9ox
        9
    v9ox  
       2016-10-26 15:11:29 +08:00
    我一般是设成类似

    hackMe@V2ex?
    hackMe@Sina?
    hackMe@QQ?

    我觉得挺安全的
    alinusking
        10
    alinusking  
    OP
       2016-10-26 15:57:28 +08:00 via Android
    @AltairT 可以自己设计一套稍复杂规则,自己记住,用在涉及财产(支付宝)和社交( QQ )等等这类上面,然后全部启用两部验证,这类账号不是很多所以很容易记住。剩下的用花密+Keepass 。
    @v9ox 这可能是不用工具的情况下比较折中的一种方式。首先太过于复杂的密码必然很难记住。同时这样的安全是建立在“不会针对你个人”的情况下,不过稍微改良一下程序应该很容易破掉。 所以这样(再加上分级)主要确保的是重要账号(支付宝、 QQ 这类)的安全。
    v9ox
        11
    v9ox  
       2016-10-27 00:38:09 +08:00
    @alinusking 或者就全平台 Safari 然后直接用 Safari 自己生成的密码 就不用记了
    AltairT
        12
    AltairT  
       2016-10-30 14:21:05 +08:00
    @alinusking 用花密真心只是为了方便,毕竟我只是安卓程序员,自定义算法的话,安卓上可以自己实现,但是 IOS PC 等其他平台就无从下手,花密在这些平台上多少有个简陋的客户端,再不济有 WEB 端。事实上,我安卓上花密就是用官方的类文件搞了个非常简单只生成 8 位密码点击复制的程序。官方那程序无用东西太多,启动慢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1531 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:02 · PVG 01:02 · LAX 09:02 · JFK 12:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.