技巧009:强壮且容易记住的密码
#Tip #Safe #Office #Password
大数据面前人人都在裸奔,弱密码却是你的皇帝的新装。若你的密码是常规组合(123456,abc123,qwerty,几个6,几个8)或个人信息强关联(名字拼音,生日,电话),那根本不需要高深的技术,一般的黑客字典,彩虹表分钟破解,再通过社会工程学,你的所有网络账户也连带沦陷。
🦁1.数据泄露和信息安全!
我看过好些排名靠前的产品,安全性十分弱智,限制密码长度说提高用户体验,但却没有防爆保护。不在安全圈不了解灰产的人一定不知道,每年的数据泄露有多严重,你可以自己搜索一下【常见的弱密码】【数据泄露大事件】。
过去3年国内泄露过亿或比较瞩目的事件,每年摘取的2条。注意,商业系统的安全强度要远远高于体制内的系统,如智慧城市,行政网,医院,院校等系统。
- 2017年3月,京东内鬼泄露 50 亿条公民信息。
- 2017年3月,58 同城曝重大个人信息泄密:700 元可看所有人简历。
- 2018年8月,5 亿条华住旗下酒店开房数据泄露,37 万元在暗网售卖。
- 2018年6月,圆通10亿条用户信息数据泄露后被黑产出售
- 2019年4月,多家企业的MongoDB和ElasticSearch弱密码泄露5.9亿份简历
🦁2.强壮且容易记住的密码
首先,人脑记不住复杂密码是正常的,所以需要使用工具,比如Keepass或LastPass。以九叔为例,我会强制自己,
- 每个重要的账号独立一套密码
- 密码必须16-32位
- 密码混合了数字字母大小写和特殊字符
- 如果账号被限制密码上限,就按规则截断
我经常忘记密码,最麻烦的一次是忘记了Keepass的56位主密码,后来经过推算又想起来了。所以,只有通过规则才能做到容易记且强壮的密码。
- 唐诗、宋词、名言 -
窗前明月光
- 拼音替换,全拼双拼 -
chuangqianmingyueguang
- 增加音调,01234 -
chuang2qian2ming2yue4guang1
- 移除字母,移除
n
-chuag2qia2mig2yue4guag1
- 凯撒替换,
a
变4
-chu4g2qi42mig2yue4gu4g1
- 符号分隔,
_
分隔 -chu4g2_qi42_mig2_yue4_gu4g1
- 账号关联,淘宝为
TB@
-TB@chu4g2_qi42_mig2_yue4_gu4g1
- 声母大写,也可首字 -
TB@CHu4g2_Qi42_Mig2_Yue4_Gu4g1
- 奇偶变换,偶音调按shift键 -
TB@CHu4g@_Qi4@_Mig@_Yue$_Gu4g1
- 截断规则,限制8位 -
TB@CHu4g
- 中文密码,自家系统支持中文,曾用过 -
地振高岗一派溪山千古秀
- 英文密码,除音调外都适用
- 规则的规则,为规则编码 - 序号或形象记忆
- 密码提示,为规则编号 -
窗前=8
,8位长窗前-2=30
,无音调30位长。 - 安全问题,用规则设置问题或编码答案
规则之外,需要辅助一些记忆术,记忆桩,进行归类和替换,还有密码源和素材。
@#$&
分隔符,分别标识,一般、政府,银行,科技类地址- 尽量使用中文,全角字母符号(好像大部分不支持)
- 不要使用自己的身份特征,社会工程学属性
- 多看谍战剧,地工剧,《悬崖》《潜伏》
- 多读文史地理,破解者多为理科思维。
–
※ 我们的征途是星辰大海 ※
题图:The Magnificent Horsehead Nebula, it is some 1,500 light-years distant, embedded in the vast Orion cloud complex