密码怎么设才好?一条标准就够了

又看到网络安全事件的新闻了吧?心慌不慌?其实设置和保管好自己的密码,只需要记住这一条标准就可以了。

这条标准就是:一定要设定成自己记不住的密码。

如果你是急性子,现在就可以去实践了。如果你比较喜欢问个究竟,咱们就来解释一下。

这句话看似简单武断,实际上包括了以下3个方面的含义:

  1. 密码不能有意义;
  2. 组成密码的各部分不能有意义;
  3. 一个密码不能重复(或稍作改变)用于多个登录。

你还没走?那就往后看看吧。还会解答“该怎么做”的问题哦。 :-)

密码不能有意义

10几年前,互联网在国内刚刚开始普及化的时候,许多人对密码这个事儿觉得特多余。

我不就是打算上网发个邮件、聊个天儿吗?为什么非得逼着我弄个密码?

可是不设置密码,人家就不让你发邮件,不让你聊天。怎么办?那就填写生日吧。

假设有个网友是1990年1月1日生人,那就写”199011”, “19900101”, “900101” …… 对英语日期格式比较喜欢的可能写成了”01011990”,或者”010190”等。

猜猜看,破解你的密码需要多长时间?以当时最笨的暴力破解方法,也无非是以分钟计。因为对于大部分人来说,破解其密码只需要测试一定长度的阿拉伯数字。

更聪明的破解办法,则根本不用遍历所有的数字,只需要把所有可能的(当时还活着的人的)生日日期格式穷举,就可以最终猜出你的密码。

第一批网民里面,许多人的密码就是这么轻易被破解掉了。

为什么会犯这种错误?因为设置的时候不需要动脑子啊。

罗素(Bertrand Russell)曾经说过一句话,很有道理:

Most people would sooner die than think; in fact, they do so.

组成密码的各部分不能有意义

这么多密码泄露,导致许多网上的新兴活动(例如电子商务、网上支付等)都无法正常进行了。怎么办?网络服务商只好硬着头皮去要求用户提高密码长度的下限,而且不许使用单纯数字或者单纯字母来作为密码了!

政策出来了,用户的对策是什么?

刚才那位出生在1990年1月1日的朋友,假设叫做小明。原先他的密码都是数字,不符合新规定要求。那么他在设定新的密码的时候,便被迫在生日后面(或者前面)加上些字母。

什么字母最好想?自己的名字呗!于是就有了[生日]+”xiaoming”(全称),[生日]+”xm”(缩写), ”xiaoming”+[生日](变化顺序)等若干种组合。

为什么人们倾向于把几个有意义的部分组合成密码?因为人脑的工作记忆能力非常有限,只能记下来7±2的区块。这是认知心理学家George A. Miller于1956年在《心理学评论》上公布的发现。

有意义、好记的东西,不管多长,都可以算作是一个区块儿。同样长度的密码,记忆区块数量越少,就越好记。好聪明哦!

从暴力破解的角度来讲,由于密码长度增长、组成元素种类增加,破解难度一下子就上升了。可问题是,道高一尺魔高一丈,这时候攻击者的武器也改善了。

他们拥有了一个叫做“字典”的东西。对一群人漫天撒网,他们就可以利用“姓名”和“生日”两个字典组合。由于大部分人为了记住密码,采用的组合套路都相似,因此这样的字典攻击可以做到事半功倍。他们并没有指望去破解所有人的密码。对每一个用户的攻击都会在若干尝试时间后停止。对许多攻击者来说,你支付宝里面的钱和土豪银行账户里面的钱是没有差别的,搂草打兔子多多益善,单位时间,多破解几个账户,把钱拿到手里就算成功。

一个密码不能重复用于多个登录

网上的资金流动越来越多,密码易破解带来的麻烦也就越来越大。于是网络服务商只好继续给用户提要求了。这次是你设定密码,一个聪明的程序“守门人”来决定是不是足够复杂。不满足一定的复杂度,你的密码设置就通不过。

许多用户于是被逼着对密码进行各种各样的调整,加入了下划线、百分号等多种特殊字符,颠倒字符顺序、加入大写字母……最后,网页上面这个挑剔的守门人终于“龙颜大悦”——密码强度足够,放行!

你高兴吗?不高兴!因为可费脑子了。赶紧找了张纸写下来,生怕自己忘了这么复杂的东西。

但是拿着这张纸端详,你会觉得自己编出来这么高强度的密码真是个创举。这事儿你又不能跑到微博上面去晒?怎么办呢?得了,以后再遇到密码设定,我就都用它了!足够安全,哈哈。

大错特错。

道高一尺魔高一丈,这时候攻击者的武器又改善了。

人家改玩儿大数据了。

具体点儿说,叫做“撞库”。

从前破解密码,是一个一个网站来。现在不是了,是一堆一堆地做。破解了一个网站,立刻去另一个网站上面对比用户名,见到一样或者类似的,就拿出已获取的密码碰碰运气。随着移动互联网普及,老爷子早起菜市场买菜都要打优步,广场舞大妈都要在微信群发红包啊。既然每个人都有多个账号,那不充分利用一下您那统一的密码多可惜啊?

所以最近伤及无辜的事儿特多。例如有人Facebook账户被破解了,大家质疑Facebook安全措施不力,于是Facebook股价下跌。后来发现真相是事主的Twitter账户之前被盗了,因为密码都一样,所以Facebook也连带攻破。Twitter被认为是罪魁祸首,可再一调查,发现其实几年前事主的Dropbox密码就被拿到了,Twitter也冤枉……

所以,当你端详写在纸上的那个高强度密码的时候,放弃一切的幻想吧。你应该深吸一口气,告诉自己说,“这只是个开始!这样强度的密码,我还得写N个(N取决于你需要登录的网站及应用数量),更重要的是,每隔一段时间(专家建议是30天之内),我还得更新掉原先的密码”。

好了,你明白什么是好密码了吧?

这样的密码你记得住吗?当然记不住。

怎么办?用工具啊。破解者能不断升级自己的工具,我们为什么不行?好的工具可以帮我们设定随机复杂密码,加密高强度记录保存,而且有的还可以帮我们填写用户名和密码。

而你,只需要记一个密码——进入你密码库的主密码——就够了。 :-P

请上网自行搜索密码管理工具,免费的和收费的都有。我这里就不介绍了,免得有广告嫌疑。记住免费的一定要下载用的人多的,收费的一定要用价格高的。原因不解释。 :-P

答疑时间

有人对此很不屑——至于吗?我就喜欢在互联网丛林里面冒险,怎么了?我用了那么长时间简单密码,不也没事儿吗?别唬人了!

从概率的角度,对大多数人来说,你不这么做也未必会马上受到损失。但是你得明白,这就如同不系安全带开车一样,未必会出啥事儿,可一旦出事儿就是大事儿。

等你不幸成为了某次网络安全事件中的受害者的时候,后悔恐怕有些太晚了。

挤地铁公交的时候,许多人会把包挂在胸前。很不美观,但是防盗效果好一些。因为我们知道那里面有几百块钱和自己的手机,所以值得做。

设置门锁的时候,许多人会多花钱买高一级别的锁头,其实也许只能多挡住窃贼几分钟。但是我们心里会踏实一点。因为我们知道屋里有我们的各种家当,所以值得做。

而在这么一个网络化的社会,密码就是我们一个个宝贵网上账户的钥匙。这里面有我们宝贵的隐私信息,有的甚至真的存着真金白银啊!把这些钥匙都配成一样的,还用个最低级的锁头,你怎么就能踏实得了呢?设置好的密码难道真的不值得做吗?

原文发布于微信公众号 - 玉树芝兰(nkwangshuyi)

原文发表时间:2016-09-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

Twine试用感想

上一次,我写了《Freebase再研究》以后,徐廉之网友赠送了我一个Twine.com的加入邀请。

671
来自专栏IT派

程序员那些牛逼闪闪的禁术,看到第二条我就忍不住哈哈哈哈哈哈哈哈

在和产品经理进行需求对峙时,一本正经地把不好/不想实现的功能通过玄学等方式口述出来,让产品经理当场懵逼,知难而退。

1470
来自专栏Crossin的编程教室

为什么新手在编程社区提问得不到回答,甚至还会被嘲讽?

学编程难免遇到问题,遇到问题难免要上网求助。然而有过不少同学向我诉苦,说在网上提问没有人回答,有的还收到一些不是很友好的回复。我自己也在经常上的论坛上目睹过类似...

901
来自专栏java一日一条

我对“Hello World”30年的爱恨情仇

我最近在4月1日的那一周休了一个假,因此有时间来回顾我的职业生涯。令我震惊的是,我已经写了近30年的代码了!于是,我决定好好利用这段额外的休息时间来创作一篇怀旧...

461
来自专栏大数据文摘

数学之美:图论和网络爬虫

2724
来自专栏coding

写下这行代码时,只有我和上帝知道是怎么回事01.烂代码的路径依赖02.对于烂代码应采取零容忍03.代码规范的重要性04.文档的重要性

"算了,这里的代码有说不清的玄机,重构相当于在给自己挖更大的坑,还是按照原来的写法吧..."

793
来自专栏C语言及其他语言

想举办自己的编程比赛? 来这里

大家都知道C语言网(www.dotcpp.com)是一个集在线学习、训练、比赛、求职于一体的综合性编程学习网站。大家除了日常在网站上看视频学习、做题训练、写题...

1722
来自专栏刺客博客

SS详解(一):原理

4.2K4
来自专栏FreeBuf

横古贯今的隐私密史:密码的前世来生

21世纪什么最贵?密(秘)码(密)! 但陈老师高清无码教材红了,某菊订票信息玩票“脱裤”了,数以千万计的开房信息泄露了,各种社工库横行霸道,让我们不禁不去感叹...

2145
来自专栏SDNLAB

SDN实战团分享(三十):Big Switch的技术颠覆

SDN的出现给了网络界一针强有力的“兴奋剂”,释放了网络界压抑已久的创新的能量。这一波技术思潮催生了大量的SDN创业公司,对各大厂商发起了巨大的冲击,网络领域的...

42010

扫码关注云+社区