有关密码的一些思考

2014-12-25 14:47:57 +08:00
 LukeXuan
今日看到12306被脱裤后许多v友都哭天喊地地去改密码…(还好我没用过12306…
作为高中生没收入用不起1password 就构思了一种廉价的防脱裤的密码方案:
一个唯一的master password
一个每个账户独立的salt(为了方便记忆可以是这个账户的应用名 如alipay tmall)
然后用md5或者其他不可逆的hash算法算出该账户的密码

大概唯一的问题就是每次计算出密码比较麻烦吧…

还有这种方案会不会有安全问题,比如:
知道了一个hash值和它的salt值 可以求出相同master password但另外一个salt的hash值?
3918 次点击
所在节点    问与答
38 条回复
LukeXuan
2014-12-25 16:33:49 +08:00
@wy315700 至少单向的hash是比明文安全的
huyuaning
2014-12-25 16:36:30 +08:00
我的密码策略是:基本密码@当前网站。
如v2ex网站密码:k4n8K2B1!@#@v2ex
OSC密码:k4n8K2B1!@#@osc
QQ邮箱独立密码:k4n8K2B1!@#@qqmail
wy315700
2014-12-25 16:37:33 +08:00
@LukeXuan 大部分不正常使用的hash和明文没本质区别的
真的

要真的安全性,上非对称加密才是真理
LukeXuan
2014-12-25 16:40:28 +08:00
@wy315700 如何算不正常的加密呢

非对称加密没有必要吧 毕竟不需要解密
LukeXuan
2014-12-25 16:42:30 +08:00
@huyuaning 那我不是知道了一个…尝试一下就知道其他的密码了么
不过应该可以逃脱大部分…毕竟脱裤出来那么多密码没有可能去枚举这样的组合
hljjhb
2014-12-25 16:42:53 +08:00
@nealfeng keepass哪里不好了?
wy315700
2014-12-25 16:43:57 +08:00
@LukeXuan
比如使用 md5,sha1

比如没有salt,
比如使用 password + salt的简单方法


至于非对称加密,有一种挑战响应式认证标准

客户端产生私钥,服务器端存储公钥

认证的时候,服务器端发送一个随机字符串给客户端

客户端使用私钥签名后发回给服务器端。

服务器验证签名。

签名验证通过就算是通过认证了。



支付宝的数字签名系统就是这么工作的。
银行的u盾也都是这么工作的。
nealfeng
2014-12-25 16:47:40 +08:00
@hljjhb 界面比较丑,操作流程不够简单,不过别的付费的我也没用过,只是纯主观感受
LukeXuan
2014-12-25 16:50:02 +08:00
@wy315700 你所说的方法非对称加密方法都是要服务供应商支持才行的 而我是从用户的角度寻找方法保证自己的安全

如果原密码足够强 md5还是不安全了么
mcfog
2014-12-25 16:51:27 +08:00
http://www.passwordmaker.org/

开源免费无中心,一直用着

算法,长度,字符范围都可以配置,默认自动用根域名作盐,可配置加上用户名作盐

全平台支持
wy315700
2014-12-25 16:53:10 +08:00
@LukeXuan 不管密码如何安全,MD5都不安全。

其实这里有一个误区,以为要找到相同的密码才可以,但是其实不然

其实需要做的是,找到和你原来密码md5值一样的密码,然后我就可以用那个密码进行登录了。

而MD5和SHA1的碰撞是相当容易的。




@nealfeng 1P你值得拥有,30美元而已,这么多密码绝对值这个价格。
LukeXuan
2014-12-25 16:58:35 +08:00
@wy315700 md5碰撞已经不安全了么 那请问有什么较为安全的不可逆hash
wy315700
2014-12-25 17:02:04 +08:00
@LukeXuan

sha2家族还可以用

sha256 sha512之类的还都可以用。
zomco
2014-12-25 18:57:43 +08:00
我的密码策略是:基础密码+附加密码
附加密码是自己在该网站做过印象最深刻的事情,比如QQ密码:abc123biaobai
密码可以被破解,但人心最难猜解
heiybb
2014-12-25 20:59:58 +08:00
@Layne 能否帮忙做个测试?
我用花密
记忆密码为:714154511 区分代号为:QQ
生成16位码为:Ke9209418beB7B13
不知道在不同的电脑上,记忆密码和区分代号相同时生成的码是否一样呢
ChanneW
2014-12-25 21:05:16 +08:00
@heiybb 肯定一样的啊,算法是固定的.不然换电脑怎么登录.
Layne
2014-12-25 21:08:07 +08:00
@heiybb 一样的,算法是固定的,只依赖主密码,并且区分代号会区分大小写
luoweihua7sync
2014-12-25 22:37:49 +08:00
@huyuaning 正准备用这种方案,你竟然已经在用了
常用网站用这种方案,
其他一些不常用的论坛,用第三方如kp,lp等插件或者软件了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156602

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX