怎么创建安全可靠的互联网密码

15
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes)
Loading...

不久前 163 出现大规模密码安全事件,加上之前的 CSDN,不断有大型网站被脱裤,最简单的办法不是使用各种密码管理软件,而是拥有一套自己的密码体系,针对不同的网站创建不同安全程度的密码。@Appinn

密码分级

就 @Ender 个人而言,对于需求不同的网站,密码各不一样,主要有以下几类:

  1. 只为下载资源的各种不知名网站/论坛
  2. 一般的网站/论坛
  3. 重要的网站/论坛
  4. 购物类网站(淘宝/京东/亚马逊)
  5. 邮箱/常用社交软件
  6. 银行/支付软件

针对第一种,一般来讲并不注册使用,而是通过类似 10minutemail(十分钟邮箱) 之类的一次性邮箱注册,密码也是采用最基本的 6 位数字密码,使用完即丢弃。

至于经常访问的网站和论坛以上分级,都采用最高安全的 数字+字母+特殊字符 形式的密码。

密码创建

基本规则:基本密码+网站辨识+特殊符号

比如对于小众软件来说,密码可以设为 A_bWnycyz0807,取网站域名第一个字母和最后一个字母作为网站辨识符,中间为基本密码,最好也不要采用生日之类让人很容易猜出来的密码,可以使用一句诗(薄雾浓云愁永昼)+特殊数字(比如脱单的日子)。

特殊符号可以根据不同的网站进行分类,比如 3 类的统一使用 “_”,4 类的使用 “!” 等等。

而那些不太重要的网站基本统一使用中间的 通用密码+Lastpass 管理即可。

二次验证

对于比较重要的账号,一定要开启二次验证,微信,QQ 都可以通过腾讯的 QQ 安全中心进行管理,而大多数常用邮箱,比如Gmail,Outlook,都可以通过 Google Authenticator 进行管理。这样等于多了一层密码,让邮箱远离被盗的可能。

至于银行密码,如果这个都记不住,也许需要去看看医生了。

update: 以下为青小蛙同学的密码管理经验:

还是基于前面的想法,如果决定使用如 KeePassLastPass1Password 以及 Intuitive Password 等在线密码管理工具,首要原则是一个网站对应一个密码,因为使用了密码管理,密码全部由随机生成。

并且密码位数尽可能的长,最低标准也要在 12 位以上,尽量包含大小写、特殊字符和数字,比如上图的密码,想通过穷举或者密码字典几乎不可能破译。而一个网站对应一个密码,对于撞库(由于密码相同,A 网站泄露的密码被成功登录 B 网站)也能成功幸免。

最后了,快去找个时间改密码吧。

已有 15 条评论, 我要留言

  1. jo说道:

    一次性邮箱的可用性不大,现在很多网站都无法通过一次性邮箱的认证

    • Ender说道:

      @jo gmail可以根据自己的邮箱名添加多个一次性邮箱,具体操作方法记不清了,好像是在账号中加入”.”或者”+”。。。outlook可以添加别名,用完销毁即可。

  2. Marx说道:

    脱单的日子

    还是单着怎么办= =

  3. 金色葡萄说道:

    HASH(基本密码+网站辨识+特殊符号)

  4. xx说道:

    1、linux下创个pass文件记录密码
    2、用gpg -ca pass加密码进行加密
    3、把加密文件的内容存到邮箱
    4、要用时gpg pass.encrypted还原

    有没有什么漏洞?

  5. 金色葡萄说道:

    小众还介绍过《花密》也很好。
    http://www.appinn.com/huami/

  6. 松鼠侠说道:

    1Password iOS,WIN,mac os 三个都买正版的用户飘过,习惯了1P

  7. corcube说道:

    我想了想,也推荐大家一个密码样式:
    比如登录appinn可以这样:cxtkxzph13579
    解释一下,这个密码分成3部分,
    第一部分cxtk其实就是“小众软件”的拼音首字母xzrj在键盘上右移一位得到,你可以上移下移左移右移都可以,还可以移动一位或几位。
    第二部分xzph就是关键的个人识别码,我选了两个字母ph(可以从你的名字里面找),规则是这样的,先根据基础的小众软件首字母xzrj,如果字母和p在键盘上同一行就用p替代,和h同一行就用h替代,如果不同行就照写,这样xz->xz,r->p,j->h。这部分很灵活,可以随便定只有自己知道的规则。
    第三部分13579是固定码,可以是对你有意义的数字,固定码也有花样,因为我的笔记本没有小键盘,123456分别写在jkluio上,所以13579我完全可以用jli79替代,上文密码就变成了cxtkxzphjli79。

    我们实验一下,
    淘宝购物,ynhepbhpkuo80
    苏宁易购,dmuhhnphkuo80
    百度贴吧,nfynbhpbjli79
    显而易见,很难找到规律,不知道第二步的规则更是难上加难,而且这样的密码只要只需要记忆规则,需要输入的时候当场演算,多练习几次就能很快速的输入,即使一个号被盗,也很难波及其它帐号。另外,这是我自己设定的规则,大家自己用的时候可以使用其它参照物,比如第二步,我用关键字ph替换rj,我还可以换成,同行的斜移,r右下斜移变成f,j右下斜移变成m。
    突然想到第一部分更丧心病狂,普通人用“淘宝购物”,我就用“淘宝买东西”,“淘宝剁手”之类的关键词,绝对把盗号的虐得欲仙欲死……当然,对于你印象中不重要的网站,还是用域名或者中文名称来就好,不然会出错。

  8. 文本作坊说道:

    花密 用来生成一站一密

    lastpass进行管理

  9. Jier_Sum说道:

    谷歌二次验证器一直在用,比较实用
    平时电脑手机上用的是keepass,也不用自己动脑子记密码了

  10. Goood说道:

    再牛的密码也抵不住明文存储和XX的原因,用好工具软件是必须的

有不同想法?说说看