什么样的密码才是安全的?

什么样的密码才是安全的?相信这样的老生常谈你已经听腻了:密码设置得长一些,混合数字字母符号,避免任何可能容易联系到你本身的密码。但现实是在街头调查中大多数人并没采取积极正确的方法来帮助他们避开诈骗等危险,或者还是不知道怎么做。

那么什么样的密码才是最安全的密码呢?

密码不能有意义

上世纪末网络刚刚兴起的时候,许多人觉得“密码”这个事特别多余。上网聊个天,发个邮件都得需要密码,我用手机发短信多方便。可是没办法,不设密码你都登录不上来。怎么办呢?那就填写生日和电话号码吧。

OK!密码牢牢记住,不出意外,这组数字是不可能忘掉滴。那么你有没有想过,破解这串数字需要多久呢?以当时最笨重的办法,以小时记应该富富有余了,这还是算上用当时龟速的网络下载破解工具的时间。

在第一批网民里,很多人的密码就是被这么破解的。

组成密码的各部分不能有意义

大型网络密码泄露事件不时发生,怎么办?群众的积极性和认知水平提高速度太慢,而大家又不能终止或者说暂时减少网络活动,那网络服务商只好从后台技术入手强制用户提高密码长度下限,并且不允许使用纯数字或纯字母作为密码(大家还记得早晨起来被迫改QQ密码的心情吗)。

嘿嘿,政策是出来了,那用户又是怎么应对的呢?我们就把刚才那位生于1990年1月1日的朋友命名为“小强”。原先他的密码都是纯数字,不符合新规要求。那么他现在的目标是必须得在生日的基础上被迫加进英文字母。

什么字母最好记?用脚都能想到用自己的名字嘛!于是新密码有了,不怕麻烦就用xiaoqiang+生日,要是图省事就用XQ+生日,或者把名字放到生日后等等,可以有很多种组合。

这里就出现一个问题,为什么我们的第一反应总是倾向于把几个有意义的部分组合从而形成新的密码?这是由人类脑部的特定结构决定的。有意义的东西,不管多长,都可以算作一个区块,同样长度的密码,记忆区块越少就越好记。而我们从小接受的教育就是如何挺高记忆力、增强大脑的使用效率,这与我们设置密码时的逻辑是一致的。

虽然密码长度增长、组成元素种类增加,看起来破解难度上升了。可黑客们破解密码时只要逻辑与我们刚刚讲到的记解逻辑相反,就很容易能够破译。在他们的破解逻辑中,并不指望去破译所有人的密码,对每一个用户的攻击都会在若干尝试时间后停止。对于他们来说,你支付宝或网银里的金额不重要,关键是效率,在单位时间内能破译的更多就算成功。

一个密码不能不做改变地使用很久

随着网络信息越来越真实化、网上资金的流转数额越来越大,密码被破译后带来的后果越来越严重。于是网络服务商又推出了更加严格的密码规则:现在你设定密码时,有一个聪明的“守门人”会决定你设置的密码强度(复杂程度)够不够,如果不符合安全规则,你的密码就设置不成功。

于是我们被逼着对密码进行各种各样的调整,比如加入了下划线、各种奇怪的符号、颠倒的字母和数字顺序……最后,这个“守门人”终于龙颜大悦——密码强度足够,放行!

这时你马上要做的就是赶紧找张纸把新密码记下来,因为转身就会忘了这么复杂一个玩意儿。转了这么大一个圈,你现在明白我在文章开头说的那条唯一的心法了吧——我终于拥有了一条自己都记不住的密码!以后我就靠它行走江湖啦,绝对安全!

可是你大错特错了。

道高一尺,魔高一丈。人家黑客现在攻击的武器又改善了,用大数据搞你,具体点儿说,叫“撞库”。

从前破解密码,是一个一个网站来,现在不是了,是一堆一堆的做。破解了一个网站,立刻去另一个网站做用户名的比对,见到一样的或者类似的,就用已获取的密码碰运气。在这个买菜的大爷大妈都会发红包的时代里,每个人都有很多个账户,不充分利用一下您那虽然复杂却“一码多用”的密码多可惜呀。

所以,当你郑重其事地找到一个隐秘的地方,把那条“永远不会被记住”的密码端正地保存好的时候,放弃那些绝对安全的幻想吧,狠狠告诉自己:“这仅仅是个开始!我还要N次来到这里换掉密码!”这不是臆想,专家建议,30天更换一次密码,在目前阶段可以使其被盗的几率降低至接近0%。

好啦,现在你明白什么是最安全的密码了吧?不是技术、而是人性!这是一个不断循环往复的过程,而你,为了自己的信息安全,做好打持久战的准备了吗?

——END——

本文来自企鹅号 - 移安全媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT进修之路

原 IT懒开发【精】

18530
来自专栏我是攻城师

Java与Node.js的较量--一场史诗之战

79660
来自专栏企鹅号快讯

浅淡Python-初学者不得不说的秘密

不知道大家是否知道,Python的出现其实很偶然,是著名的“龟叔”Guido vanRossum在1989年圣诞节期间,为了打发无聊的圣诞节而编写的一个编程语言...

28550
来自专栏编程一生

实践高可用

11630
来自专栏SDNLAB

SDN实战团分享(二十五):博科SDN控制器BSC介绍

首先 BSC与 ODL 的本质一样,同样的内核软件,同样的架构。我们下面看这张图说明一下BSC控制器和ODL控制器的关系: ? 下面蓝色的部分就是ODL的实质,...

36870
来自专栏FreeBuf

解密千万密码:透过密码看人性

对于密码,我们已经知道了不少。比如,多数密码短小、简单、且容易破解。但我们对一个人选择某个密码的心理原因却所知甚少。在本文中,我们分析了包括企业CEO、科学家...

18960
来自专栏北京马哥教育

Linux 内核学习经验总结

学习内核,每个人都有自己的学习方法,仁者见仁智者见智。以下是我在学习过程中总结出来的东西,对自身来说,我认为比较有效率,拿出来跟大家交流一下。

74620
来自专栏张善友的专栏

依赖注入是否值得?

在博客的世界里进行了一场关于使用依赖注入(DI)之优点和缺点的有趣讨论。论题是:依赖注入是否真的值得? 讨论始自Jacob Proffitt,他撰文解释他的观...

19590
来自专栏杨建荣的学习笔记

运维平台元数据稽核小结

数据库运维中的元数据建设都是重中之重,如果元数据不具有参考的价值,那么后续的操作都会受到影响,但是元数据的建设也应该是分成几个步子来走,首先得能够收集到元数...

15540
来自专栏企鹅号快讯

老鸟程序员才知道的40个小技巧

▲ 40条真言,希望对进阶中的程序朋友有所帮助。 1、重构是程序员的主力技能。 2、工作日志能提升脑容量。 3、先用profiler调查,才有脸谈优化。 4、注...

19580

扫码关注云+社区

领取腾讯云代金券