像类似于固定字符+网站名(包括改良版)这样的密码是否真的安全?

2016-10-25 22:25:03 +08:00
 alinusking
所谓固定字符+网站名就是类似于比如: Google12345 ,12345Google 这样的密码
复杂一点就是进行一些变换 比如 Google 这个单词的字母取后
一位 即 Hpphmf (取前一位、键盘位移等等) 然后把整个密码进行一些顺序调整,比如 Hpp12hmf345 (等等方法)
对于一般的情况,因为不同网站用了不同的密码,所以应该能防范。但是这样的密码应该很容易被猜解即不能防止针对性攻击。
现在争论的问题是“攻击者是否很少会来关注个人,而是直接拿大批的数据尝试能否登录? ”
所以,像这种形式的密码,是否真的“安全”呢?
2059 次点击
所在节点    问与答
12 条回复
0TSH60F7J2rVkg8t
2016-10-25 22:33:26 +08:00
这种模式用的人多了,就和使用英文单词做密码一样了,虽然一站一码,但明显规则可以写词典里,对于明文存密码的网站,脱裤后这些规则也是透明的,黑客可以通过特征找出有规则的用户再针对性扫其他站来撞密码,而且也有一定能力可以做成全自动的,所以最好的密码就是没有规则的密码。
chiv2
2016-10-25 22:38:13 +08:00
相对弱密码只是穿了条丁字裤,如楼上所说,一旦用的人多了对黑客来说就是更新几条规则的事。所以一定要这样用的话最好加上自己的特殊符号并且长度越长越好。
qiayue
2016-10-25 22:39:39 +08:00
这样子可能更安全:
10 位的固定字符,字母+数字
然后加上域名,域名有自己的大小写规则
Tink
2016-10-26 00:59:51 +08:00
其实就是域名加盐而已,问题就是这个盐
XiaoxiaoPu
2016-10-26 01:12:03 +08:00
HMAC 截取某些位,再 base64 一下
azh7138m
2016-10-26 07:56:29 +08:00
我也是这样,不过我算了一次 md5 避免被人知道我的那个盐是啥
Trim21
2016-10-26 08:47:39 +08:00
@azh7138m 这样那个 md5 本身不就是盐了吗。。。。好像么有什么区别。。。?
AltairT
2016-10-26 14:14:10 +08:00
我近期出去旅游回来忘了两个刚改过的密码,自此痛定思痛,打算用密码管理软件.但是 Keepass 用起来有些麻烦,只是用了花密来算密码,只取前八位,账户信息关键字另外明文存储.
v9ox
2016-10-26 15:11:29 +08:00
我一般是设成类似

hackMe@V2ex?
hackMe@Sina?
hackMe@QQ?

我觉得挺安全的
alinusking
2016-10-26 15:57:28 +08:00
@AltairT 可以自己设计一套稍复杂规则,自己记住,用在涉及财产(支付宝)和社交( QQ )等等这类上面,然后全部启用两部验证,这类账号不是很多所以很容易记住。剩下的用花密+Keepass 。
@v9ox 这可能是不用工具的情况下比较折中的一种方式。首先太过于复杂的密码必然很难记住。同时这样的安全是建立在“不会针对你个人”的情况下,不过稍微改良一下程序应该很容易破掉。 所以这样(再加上分级)主要确保的是重要账号(支付宝、 QQ 这类)的安全。
v9ox
2016-10-27 00:38:09 +08:00
@alinusking 或者就全平台 Safari 然后直接用 Safari 自己生成的密码 就不用记了
AltairT
2016-10-30 14:21:05 +08:00
@alinusking 用花密真心只是为了方便,毕竟我只是安卓程序员,自定义算法的话,安卓上可以自己实现,但是 IOS PC 等其他平台就无从下手,花密在这些平台上多少有个简陋的客户端,再不济有 WEB 端。事实上,我安卓上花密就是用官方的类文件搞了个非常简单只生成 8 位密码点击复制的程序。官方那程序无用东西太多,启动慢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/315455

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX