密码设那么复杂真的管用吗?

2013-11-30 20:59:37 +08:00
 qingfeng
见过很多文章,还有网站提示用户设密码的时候尽可能复杂些。但是设复杂了真的就管用了吗。对于客户而言,木马、键盘记录器这些根本不需要暴力破解。对于服务器端而言,遇到CSDN、Adobe这样的被拖库的,密码设置的再复杂也没用啊。真正暴力尝试去登录服务器破解的行为其实很少,而且这种暴力破解对于服务器端来说很好防范。

设置复杂的密码,主要是防范哪一类的破解行为?
4661 次点击
所在节点    程序员
23 条回复
the13matrix
2013-11-30 21:15:52 +08:00
关键密码要复杂、唯一。比如:网银 / 服务器最高权限 等。
别的密码,随意吧。复杂了反而容易忘掉。
geeklian
2013-11-30 21:24:44 +08:00
因为有CSDN这样的站点
>每个网站设置的密码不一样就很重要
>>大脑能想出来的密码数量有限,记住也不现实。
>>>结果就需要各种密码生成器
>>>>密码生成器生成的密码自然会很复杂
>>>>>反正也记不住,所以长度长点也无所谓...
lvye
2013-11-30 21:26:51 +08:00
除去CSDN这种奇葩用明文,设置复杂密码的意义在于:1.防止被登录爆破 2.在拖库的情况下,加大被暴力破解的难度。
其实只要网站有心,为每个用户加不一样的salt,譬如用id,时间戳当salt,再做两次md5,难度就非常非常大了,如果用户密码狗复杂,拖库后被爆破出来的可能性很低了。
不过国内这种不重视安全的环境,你只能尽量各个网站分一下级,用不同的密码。用lastpass或者1password这种随机密码会好很多。
raincious
2013-11-30 21:29:10 +08:00
@lvye 关于你提到的的md5 https://www.v2ex.com/t/90371
chloerei
2013-11-30 21:31:27 +08:00
lvye
2013-11-30 22:04:00 +08:00
@raincious 我只是打个比方,破解在于你的网站的账户值不值得,值不值得一个是本身账户的价值,还有就是破解的成本。
绝大多数游戏厂商被拖库就是因为账号太值钱了,但是如果用户的密码足够复杂,厂商的密码系统设计得足够复杂,譬如还需要二步验证,u盾,那么获取的账号的成本就会无限放大。
只是简单的md5加密几次,这个成本还是可以接受的,因为硬盘很便宜,制作彩虹表,买显卡破解,一百万左右就能破解非常复杂的密码了。
但是每次游戏被刷库绝对不止这个价。
geeklian
2013-11-30 22:13:15 +08:00
@lvye
@raincious

需要设置复杂密码的根本原因就是网站靠不住....

你根本不知道对方是明文还是密文保存你的密码。
bombless
2013-12-01 00:54:12 +08:00
密码复杂应该是应对那些存储设备不给力的攻击者的……
现在存储空间白菜价了,也不存在这个问题了……

还有就是有一些密码可以通过收集你的个人信息得到,或者像123456那种可以碰运气猜出来。
csslayer
2013-12-01 01:20:12 +08:00
garipan
2013-12-01 01:38:37 +08:00
我觉得还是有必要的。因为提高任何一方面破解的难度,其实都是在增加你密码的安全性。

我推荐试试flowerpassword这个小软件,结合网站名生成特殊长密码。
pagecho
2013-12-01 11:04:03 +08:00
弱密码通常是网站的名字加两个伪随机数字,比如,让两个为随机数字是网站最后两个英文在二十六个字母中的排序或者中文笔画数量。这样很好记密码,永远不忘。
garipan
2013-12-01 12:18:59 +08:00
qingfeng
2013-12-01 13:45:54 +08:00
@garipan 谢谢分享好文章
LazyZhu
2013-12-01 14:48:33 +08:00
1. 不同地方使用不同的密码。优点是即使某处泄漏了,也不影响其他的;缺点是密码多了不容易记住,但可以借助密码管理软件,推荐免费开源的KeePass,一点也不比收费的差。
2. 目前越来越多网站支持了两步验证,优点是更安全了;缺点是复杂化了,试想登录一个网站还得查看手机短信或查看邮件,而且各种网站的两步验证还有差别。
3. 其他特殊的方式,比如支持密匙对验证的,像登录服务器这种尽量使用这种且关闭密码登录。

我目前采用的是1+3
zakokun
2013-12-01 15:33:48 +08:00
个人感觉复杂密码主要是防止熟人猜出啦或者被人用“眼睛”破解。还有就是多次尝试的方式破解
princeofwales
2013-12-01 16:52:03 +08:00
看来CSDN密码事件是IT人心中永远的痛
bingowrt
2013-12-02 02:22:50 +08:00
在脑中生成一个简单的函数
输入比如注册站点的名字之类的东西
用这个函数进行转化
作为密码的一部分
剩下的部分由公共部分(记在脑中的密码)组成
进行组合。。。
这是我的方法
bingowrt
2013-12-02 02:23:39 +08:00
缺点是每次输密码 得计算一下。。。
lfzyx
2013-12-02 11:26:15 +08:00
我是根据每个网站的域名脑补随机函数的,打个比方,v2ex的网站,我就在基础密码上添加f@3s,这样每个网站的密码都不一样了
Vonex
2013-12-02 17:42:45 +08:00
大家上班都关门 就你不关,你说谁丢东西的几率大?
大家都设置复杂的密码,就你是容易猜到的 你说谁帐号风险高?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/91296

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX