百科问答小站 logo
百科问答小站 font logo



精通密码学的人是怎么设置密码的? 第1页

  

user avatar   digging2core 网友的相关建议: 
      

首先,这个问题与密码学无关,再者我也不精通密码学(逃

我的密码设置规则是这样的:

网站特征前段+主密码+网站特征后段

网站特征比如说谷歌:google

主密码比如说是:HE1!Om0t0;各位应该发现我用1、!代替了小写L?用0代替了后面的O,并且主密码其实是两个单词构成的,做个大小写分配,这样设置的话,数字、英文大小写、符号一次性交叉具备了。

网站特征google,切一刀(以正中间为例),大略有这么几种变化:

  • goo HE1!Om0t0 gle
  • GOO HE1!Om0t0 GLE
  • goo HE1!Om0t0 GLE
  • GOO HE1!Om0t0 gle

鉴于网站大多有5次试错,这个组合方式,可以保你记住主密码的情况下,不会因为密码试错次数过多而被BAN。

也就是说,你只需要牢牢记住主密码就行了!

另外,不同等级的网站服务应该设置不一样的主密码……,比如说个人邮箱这种肯定是最重要的,那就不该跟知乎用同一个主密码。

如果做到这一步,还是被盗了,你应该要怀疑的不是密码太脆弱,而是你冲浪被侧录了。

如果有帮到你,请不吝啬点个赞+喜欢☺☺。


user avatar    网友的相关建议: 
      

在有一个安全会议上,有人提出一个观点,就是不应该强制人们使用过于复杂的密码,比如说同时包含大小写和数字符号。因为非常复杂的密码人记不住,因为记不住,所以人们倾向于在不同的网站使用相同的密码,并且长时间不修改密码。而这带来的安全风险更大。当然,绝对简单的密码不要用,8位以内的字母数字属于这种,因为有彩虹表的存在。另外就是你的身份非常受关注,那么也比较难办。但是对于一般人,抵御一般的机器穷举和撞库的威胁。我的建议是采用一个固定的前缀+网站简称作为你某个网站的唯一密码。比如你统一用 AsKik123 作为前缀,那么你在知乎的密码就是 AsKik123_zhihu。这样不容易忘记,也防止了万一遇到csdn那种泄露明文密码的事故造成所有的网站密码一锅端。



补充

想不到这个短短的回答引起那么多人的关注和点赞。虽然知乎是冷漠且奸邪的。但是大部分的知乎用户却是友善的。我很愿意和大家交流。我也害怕有居心不良的人,冒充我的名义发私信谎称自己是答主。

所以,在此公布下我的帐户

大号

小号

我也不知道为什么,那些营销号到处放广告,诱导点赞,甚至故意坑人,都没有人管。而我已经9次被封禁了。上一次仅仅是因为网友要关注我,我回复了一条“给你私信了”就被当作恶意营销。希望各位高抬贵手。不要再举报了,如果我的回答引起你的反感,我给您赔不是了。

之前要求关注我的,我会一个一个慢慢通知。如果同时发很多私信,知乎又会折腾我的。


user avatar   ni-gou-91 网友的相关建议: 
      

看了一些答案,被有些逻辑逗笑了,所以也来答个题。

其实就算是你把密码设置得再复杂,中英文大小写加数字标点,但是问题得根本在于,目前的密码泄漏往往不是因为你的密码不够复杂和严谨,而是因为那些你登陆的网站、app他们存放密码的数据库太过脆弱。

现如今,单独针对某人去对他进行密码破解,时间成本和人力成本都颇高,大多获取密码的方式是撞库或者脱裤啊。

除了你身边暗恋你的人和你爹妈朋友之类,基本上没有人会对你的账号密码感兴趣,有时候密码泄漏——比如QQ偶尔被异地登陆、某账号在不安全IP尝试登陆,往往是网络上的AOE碰巧伤到你了。

但是相信我,背后的操作者往往都没有针对你。

很多的数据库不讲武德,甚至用明文存储密码,所以在脱裤的人看来,你把密码设置得天花乱坠和设置成123456没有任何区别——反正都是导出来跑脚本。

而对于重视安全的企业和科技公司,在对用户字段处理的过程中,密码字段往往采用了加密。

可是话又说回来了,加密后,你的密码是123456或者是flzx3000C,似乎也是没有任何区别。

但是,防不胜防的是,通常人不可能只在一个网站或者软件注册账号,所以就有一部分人,破解了某些网站的数据库之后,拿数据库里的资料去尝试登陆大企业的网站,比如拿下了某连锁旅店的数据库资料,去登陆12306。俗称撞库。

然后12306万万没想到,我安全做的这么周密,全程https,信息各种加密,甚至验证码拦住了99%的机器人和脚本。然而还是出现大规模用户账号密码泄漏的事件。

许多唐诗爱好者觉得自己密码已经是独具一格,各种数字符号夹杂简直无人可破,素不知自己的账号早就被别人用于拼多多砍刀和贡献火车票抢票加油包了。

对于那种明文存储的数据库,你密码设置得再长再复杂,似乎也不管事,倒是每次输入的时候麻烦了好多——还得切换大小写,还得输入符号。可是对于盗号者来说,他甚至都不用输入啊,直接脚本在导出和复制……

言归正传,怎样设置密码才安全呢?

我可以负责地告诉你,目前所有登陆方式中,手机验证码登陆是最安全的。如果非要上一些不方便透露手机号码的网站,那就按网站设置密码,尽量每个软件或者网站都是单独的密码。这样就算某个网站被脱裤了,对你其他账号也没有影响,而且你可以根据泄漏的资料快速判断是哪个网站出了问题,从而快速消除影响。


正文已结束,以下为衍生品。

====================================================

下面说点好玩的,精通密码学的人是怎么设置密码的。

01 凯撒密码

说到密码学,绕不开凯撒。

凯撒大帝(Gaius Julius Caesar)是罗马人,出生于公元前100年,中国是汉朝,汉武帝时期。

凯撒带兵打仗的时候,经常给手下的将领传达口信的时候,会被敌军截取,或者有内鬼泄漏。

于是他就想了一个加密的方法,也就是最原始的凯撒加密——字母向后偏移3位。

比如 kill his mother tonight(今晚干掉他妈),

加密后就变成了nloo klv prwkhu wrqljkw(简直乱码)

然后他把这个加密方法告诉了他手下的将领们。

在后续的送信中,就算敌方截获或者是内鬼泄漏,但是敌人仍然是一头雾水,不知道他妈的命运究竟是如何。

然而总是有些喜欢喝酒的将领,有时候说着胡话就跟身边的舞女说了句LORYHX

舞女就不解,问将军,LORYHX是什么意思啊?

将军就说:嘿嘿,LORYHX就是I love u啊!

舞女就问,LORYHX怎么会是I love u呢?

将军就说:I love u每个字母向后偏移3位就是L ORYH X,这叫做加密。

舞女就说:那我明白了,把LORYHX向前偏移3位就是I LOVE U,这就叫解密。

将军说你真棒!

舞女转眼就把这个消息告诉了敌方大帅,原来这个舞女是敌方的卧底。

敌方大帅这才终于明白了自己母亲的真实死因,原来是被凯撒的人暗杀的。

于是又领兵跟凯撒大战了一场。

凯撒后来几次也发现,我这军机怎么老是被泄漏呢?

一查就发现自己的加密方式被破解了。

但是凯撒是什么人?密码学鼻祖啊!

他立马肃清身边人,又下令禁酒,又设定了几套新的方案:

1、向后偏移10位,命名为Avocat
I LOVE U加密后变成了S VYFO E
2、向后偏移13位,命名为ROT
I LOVE U加密后变成了V YBIR H
3、向前偏移5位,命名为Cassis
I LOVE U加密后变成了D GJQZ P
4、向前偏移6位,命名为Cassette
I LOVE U加密后变成了C FIPY O

每次的加密信息都不同,而且伴随着严格的军纪,所以凯撒的信息传递效率很高,十个信使派出去,就算被截获4个、叛变3个、迷路2个,只要一个能送到,凯撒完全不担心军机会延误。

凭借这个,凯撒就打遍罗马,成为一代大帝。


凯撒的加密方式一直持续了800年,成为无外人可破的顶尖密码学。

直到一个阿拉伯的数学家Al-Kindi横空出世。

Al-Kindi仰望着凯撒大帝的雕像,轻声说道:

“凯撒大帝,我是你的破壁人。“

----------------------第一次追更------------

Al-Kindi在研究关于英文的书籍中,发现了字母频率这个客观存在。

基本上大多数英文单词,都有元音字母在其中。

一篇英文里面,a、e、i等字母出现的频率要略高。

Al-Kindi总结了一套频率表,按照频率将字母排序。

如:e、o、a、i、t、n、s、r、h……

这一套解密方法,被誉为英文的指纹。

使用者在通信的时候,往往都没有察觉到自己留下了指纹。

比如:talk is cheap, show me the code

凯撒加密后变成:wdon lv fkhds, vkrz ph wkh frgh

当Al-Kindi拿到这组加密后的数据后,他就看这句里面出现最多的字母,很明显就是h

然后,他就假定这个字母原本是e,就可以得出偏移量是向后3位,不到一秒钟,他就解开了这组凯撒密码。

这种降维打击让凯撒密码全部失效。

因为只要按照字母频率去挨个破解,无论是偏移了多少位,高频字母一确定,密码就迎刃而解!

这是人类历史上,加密者与解密者的第一次有名的较量。

加密者用常人想不到的方式加密传递信息,在战争年度战无不胜攻无不克。而解密者也是从意想不到的角度解密,在和平年代破壁而出。

但是历史的车轮滚滚前行,战争是不断的,精通密码学的人也再度出现。


02 多表密码

在十五世纪的欧洲(中国是明朝),拜占庭帝国覆灭前的战役,一群欧洲人又构造出了一种全新的密码形式——多表密码

他们在凯撒密码的基础上,发明了关键词,利用关键词加密,从而破坏字母高频出现的规律。

国王把这个关键词告诉他将领们,每次的军机都通过关键词加密和解密。

比如这场战役的关键词是:dog

那就意味着后面的通讯,第一个字母向后偏移3位,第二个字母向后偏移14位,第三个字母向后偏移6位,第四个字母向后偏移3位,第五个14位、第六个6位、第七个3位……以此类推

我们再试着加密一下这句话:talk is cheap, show me the code

他就变成了:worn wy fvkdd, ykcc ps zks irck

这就完全打破了高频字母的出现规律,不知道关键词的人很难破解密码。

但是战争是什么?

战争就是一群人绞尽脑汁想算计另一群人。

多表密码虽然强大而且难破解。

但是仍有不少国家的智囊团通过寻找偏移量的规律而推算出,应该是通过词组加密的。

而智囊团就开始分析该国王的生活方式、饮食起居、兴趣爱好

结果发现该国王养了几条柯基犬。

然后智囊团就想,这个国王的关键词不会是dog吧?

结果套进去一试,咦?这不就解开了吗!

虽然有人解开了多表密码,但也仍然掩盖不住它的光辉。

这种新的加密形式将拜占庭帝国送向灭亡。

而更多的国王发现了弱密码的缺点,就将关键字设定为ilovemydog或者whosyourdaddy

这样,纵使是聪明的智囊团,纵使密码可破解,但也不会在短短一场战役里破解出来。

多宝密码一直被使用到19世纪鸦片战争之前。

随着战争逐步全球化,精通密码学的人又开始了新一轮的投胎……

----------------------第二次追更------------

电报的发明,让信息的传递不再局限于纸或者口讯。

由于铁路迅速发展,传输的距离也达到了以前不敢想象的长度。

可是,超长的距离也增加了路上信息被截获的风险,而且随着数学研究的逐渐深入,人们对解密又有了长足的进步。多宝密码的加密方式虽然令讯息全文变得复杂,但是换位思考,它变成了某一个单词的破解,只要破解出关键词,加密的信息就呼之欲出。

一群精通密码学的人,发明了一种新的加密方式。


03 一次性密匙(one time pad)

一次性密匙可以说是人类不借助工具就很难解开的最强加密方式了,所以从它发明出来一直到现在,仍然普遍被运用。

它仍属于多表密码的延伸,不同的是,多表密码通过关键词加密,就会造成字母偏移的频率仍然是可以被测出来,只要样本足够,就不难推算出关键词。

而一次性密匙,则是通过一组随机数,去加密信息。

比如:π=3.1415926535 8979323846 2643383279 5028841971 693993751……

我用圆周率小数点后10位-40位去加密一段有30个字母的英文文本。

这样加密后的文本,每个字母的偏移量都是不固定的,不仅打破字母频率,而且没有重复规律可循。

文本越长,我就采取越多的随机数,最终的文本就会被加密的面目全非。

虽然说用π加密已经足够安全,但如果重复使用,也容易被推算出加密的数据,因此,战争年代那些人,都会给情报人员配发一本“一次性密码本”,也就是one time pad,每册密码本都只用一次,用过即换,从而做到万无一失。

一次性密匙的两大优点:

1、没有任何重复的模式

2、加密后文本频率均匀

但是它也有一个最大的缺点:操作麻烦!

信息的发送方和接受方,必须得有同样的密码本,而且每次的操作都必须得严格执行密码本的更新,但是人又不是机器,想让人不犯错,是不可能的,只要密码册出问题——可能是印刷问题、可能是运输问题、可能更换不及时、可能上厕所没纸顺手就……这些就会导致就连收的人也不知道信息是什么,从而延误军机。

但是,但这个加密技术从军事走向民生的时候,它又体现出了不一样的优势。

因为是真的很安全。

但是这个安全,被使用起来,也是分等级的。

举例:

1、如果你上网冲浪足够久,那么你一定知道破解软件的存在。

如果你知道破解软件,那么你可能会知道注册机。

许多软件,通过免费下载试用,购买序列号的方式激活。

如:photoshop、coreldraw等

他们的序列号都是通过一个偏移的算法,将你的机器码加密从而得到一组数据。

每个人的机器码都是不同的,所以每个人得到的序列号也是不同的,这里涉及到一个伪随机的概念,因为这种得到加密的方式,并非真正的随机数加密。

于是就有精通密码学的人,破解了这些大厂的算法,做出了注册机。

2、TOTP

比较高一点level的呢,通过时间设置随机数。因为时间每时每刻都在变换,可以精确到毫秒(ms),所以每次得到的数都不一样。

通过时间生成的随机数,设置一个复杂的偏移算法,得到一组加密数。

猜猜被应用在哪里?

玩网络游戏的朋友可能比较熟悉。

3、HOTP

这种一次性密匙,我们有一个俗称,叫做动态密码。

目前应用最广,安全性最高的呢,当然就是验证码登陆啦……

虽然只有4-6位数的验证码(部分重视安全的可达8位)

但实际上也是一种一次性密匙。

银行系统、网络支付、政府机关网站近些年都逐步推广和应用手机/邮箱验证码登陆,归根结底还是因为安全……


言归正传,我们还是回到战争年代,当年还没有电脑,那群精通密码学的人在发明一次性密钥之后,他们做了什么呢?

1857年,有一个叫塞勒斯·韦斯特·菲尔德,想从海底拉一条光缆从北美洲拉到欧洲,也就是从美国拉到英国,故事挺曲折的,有兴趣的可以自行去深究。后来就拉好了,电报就可以跨洋打了,当时英国女王还给美国总统发了个电报。

然后西联国际汇款公司,发现了商机,他们开通了跨洋汇款业务、股票报价购买业务等……

实际操作很简单,我在伦敦和纽约各有一家银行,在纽约收到了1万块,加500块手续费,然后我电报发给我在伦敦银行当行长的姐夫,内容就是:

10000 from Mr. Wang to Mrs. Wang by NY(纽约收到王先生寄给王太太的1万块)

毕竟山高水远,伦敦方面不知道纽约银行是否被劫持,也不知道发电报的是不是本人,所以通过一次性密钥加密,是非常有必要的。万一王先生挟持了我,偷偷在我电报机上多加几个0,那我不是辛苦奋斗的家业,转瞬变成负债破产。

一次性密钥在商业上的运用,又给了战争以启发,

随着工业革命的到来,以及两个重要人物的诞生,密码学又有了新的突破。

----------------------第三次追更------------

这两个人也是密码学绕不开的大神,谢尔比乌斯和图灵。

04 机械VS机械

谢尔比乌斯,这是一个注定近代无法被传颂的名字。因为他代表着邪恶势力。

1918年,德国人亚瑟·谢尔比乌斯申请了一项专利,恩尼格玛密码机(ENIGMA)。

恩尼格玛的出现意味着密码学进入一个全新的时代,人力的计算已经成为过去式。

Enigma的加密核心,是3个转轮。

在每个转轮上,都标记着26个字母,经过巧妙的设计,每次转轮旋转的时候,它都会停留在某个字母位置上。

这些字母,就代表着偏移量,也就是多宝密码的关键词。

巧妙之处在于,每输入一个字母,这些齿轮就会转动一次,关键词就会发生新的改变,这样一封密函写下来,关键词已经变换了无数次!

比如输入:aaaaaaaaaaaaaaaa

加密后可能变成了:qlsksdfoquowquen

毫无逻辑可言!

哪怕是再厉害的人脑,也不可能反向推算出原文!

而接收方如何破解信息呢?

秘密就在恩尼格玛的初始状态时,转轮上字母的显示。

比如:在输入前,转轮上的字母分别是X、Y、Z,那就可以认为此封密函的初始机器码为XYZ,只需要将接收方的恩尼格玛调试到Z、Y、X,然后就能逆向破解出原文。

那时候的德军科技发展迅猛,希特勒征服世界的野心逐渐显露,但是仅凭德国一国之力,别说征服世界,就是走出欧洲都够呛。

但科技就是战斗力!

希特勒在前期的战斗中领悟出闪电战的战术,只要掌握先机,闪电出击,就能出奇制胜!

在闪电战中,最重要的就是情报!也就是军机!

希特勒收购了恩尼格玛的专利,安排德军通讯部门长官鲁道夫·施密特将所有情报部门配置妥当,又将恩尼格玛进行了一些改进,第二个转子会与第三个转子一起转动,这样一台恩尼格玛密码机就会拥有26×25×26 = 16,900个组合。

在历史上,每条军机信息的长度一般都在几百个字母左右,所以在同一条信息中输入同样的单词产生同样的密码的几率是很小的,比如全篇都在输入kill his mother,结果出来的也会是不同的乱码。

然后情报人员也会配备一个专门的机码本,里面是每天的机器码设置。

只要按照日期调试机器码,就能破译出每天收到的情报。

而这个机码本的重要程度,基本上就是“人在本在,人死本毁“。

德军凭借加密通讯和闪电战术,在欧洲战场战无不胜攻无不克!

但是,希特勒万万没有想到,他的情报处长官鲁道夫·施密特有一个穷困潦倒的弟弟汉斯提罗·施密特,这个汉斯提罗想是当兵被裁军退伍,后是进厂打工被下岗,混得可谓是惨兮兮,不得已投奔大哥,大哥就凭借关系给他安排在了恩尼格玛情报中心。

哪知道汉斯提罗·施密特其实打心里觉得:德意志对我不公!我为师座卖过命,我为党国立过功,然而一分钱没有,混的这么穷困潦倒!我不服!恩尼格玛不是高级吗?不是牛逼吗?我要报复我的国家!

然后汉斯提罗·施密特售价1万马克,把恩尼格玛的线路图卖给了法国情报局。

法国和波兰有军事合作,波兰有专门的密码处,法国就把这些情报都转给了波兰的密码处破解。

波兰密码处有一个年轻人,马里安·雷杰夫斯基,他就喜欢鼓捣这个,他复制出恩尼格玛,仔细研究截获的德军情报,最后终于找到了不用机码而破解情报的秘诀。

因为电路的设置,每次转轮转动是有据可查的,虽然每按一次a出来的都是不同的字母,但是单独研究某一个转轮,循环一圈过后,又会陷入相同的模式。

到了1934年,波兰造了几十台ENIGMA,雷杰夫斯基就用恩尼格玛组装出了一台大机器——炸弹。

通过逆向思维,把几台恩尼格码组装到一起,在排列组合后得到情报原文,不需要知道机器码就能破译,这让波兰人悄悄地领先了好几年。

但波兰人也挺鸡贼,悄悄咪咪也不透露消息,甚至已经破译了德国高层要访问波兰,还装作不知道,受宠若惊地去迎接。但随着破译的情报越来越多(据说有十几万封),波兰也慢慢发现了德国的布局原来是想征服世界,这下波兰慌了,然后把法国英国的高层军官叫来,揭开了炸弹机身上的幕布。

法国和英国人惊呆了,他们原本一直觉得恩尼格码不可能被破解。

但万万没有想到的是,可能这些人里面,又有德国的卧底。

炸弹机面世后,德军的恩尼格码机器进行了一次升级,首先就是从3个转轮增加到了4个转轮,甚至给日本也提供了4转轮版本,还有很多改进版本,比如把原本三转轮的字母换成数字,比如封装版四转轮。

四转轮比起三转轮,可不是简单的多26种变换,最终生产的密码是几何倍增。

这下波兰人傻眼了,法国人傻眼了,但是有一个英国人,正在悄悄精通密码学……

他就是玩计算机都得喊爸爸的——艾伦·麦席森·图灵

图灵在炸弹机的基础上,迸发出一种全新的解密思维,也就是计算机思维。

这里要提到德国人的一个严谨的习惯,也就是每天早上6点发送的情报中,总会有对天气的报告,而在每一封情报的结尾,都会加一句希特勒万岁。

通过对炸弹机的改进,以“Wetter”为突破口,终于破解了德军的加密机器。因为破译了德军军舰布置、进攻计划、飞机部署导致二战提前至少2年结束。关于祖师爷的事迹我就不多说了,大家有兴趣可以去看看相关文献和电影之类。

这里值得一提的是,公认的第一台通用计算机是ENIAC(1946年美国),但是也有一部分人认为,图灵曾经参与研究的CO-LOSSUS(巨人)机应该算第一台通用计算机(1943年英国)。

三个小故事:

1、1940年,破译得德军情报表明德国人会在11月14日进行大规模空袭。地点为包括伦敦、考文垂在内的三个可能地点,最终英国人还是没有能确认地点,未能阻止考文垂大轰炸的发生。

但是有一种说法,说丘吉尔已经确认了空袭地点,但出于不暴露我们已破解你的密码这个“超级机密”的考虑,未采取预防措施,当时丘吉尔正在前往迪奇利公园的路上被告知伦敦将会被空袭,于是折回唐宁街十号准备在空防部顶楼亲眼观看空袭。

2、图灵被认为是计算机的鼻祖,但是他是个gay,不符合当时英国的法律和社会环境,后来被实行药物阉割,最终在浴室吃了一口含氰化物的毒苹果而自杀。那个苹果成了Apple的logo。


3、一代枭雄恩尼格玛,在破解后退出了战争的舞台,但是有发明家通过他的三个转轮,发明出一种新的风靡全球的东西,游戏机的拉霸。


计算机的发明,让密码学进入了一个全新的时代,它的出现,直接让之前的对加密的研究被称之为“古典密码学”或者“经典密码学”。

庞大的计算量、超高的计算速度,让加密呈现出了千姿百态,衍生出各种流派。

从历史的长河看出,每一次密码学的更新跌代,都是一群高智商的人在博弈,而在现在,那些高智商的人如何交手?21世纪那些精通密码学的人怎么设置密码呢?

3301蝉这个组织,可以说是最顶尖的那一波密码学玩家了。

太长了,不准备更新了,就此打住吧!


user avatar   Ryanasking 网友的相关建议: 
      

其实不用那么复杂的,搞那么多,又记不下来,有啥用?

看看我历史回答的这个方法,你学会了后,就非常简单而且安全了!


以下为原文:

这个时候,就要推荐我的“虚构人设”及“万能密码大法”了。

“虚构人设”

如果这些账号不涉及实名认证的,如论坛的、某些游戏的、活动的,就可以用“虚构人设”来用啦。

就像我叫“瑞恩”,

我注册任天堂的账号我就叫“任瑞恩”,

我注册微软的账号我就叫“微瑞恩”,

我注册无损音乐的账号我就叫“无瑞恩”,

当有一天,有人打电话过来说:你好,请问你是任先生吗,我这里有信贷服务。

你就明白,是任天堂的账号泄露了你的信息,你可以改信息也可以改密码。

而且自己不会混!

“万能密码大法”

核心密码有且只有自己才知道,二级密码需要核心密码才能重置,三级密码需要二级密码才能重置。

三级密码设置和上面一样,很简单:

我注册任天堂的账号,密码就是"Ren+二级密码"

我注册微软的账号,密码就是"Micro+二级密码”

我注册无损音乐的账号,密码就是“Wu+二级密码”

上述方式有什么好处呢?

1、所有账号密码都是独立的一套,无法“撞库”

2、即使泄露了,你可以追本溯源。

3、容易记忆,都是按照自己起的格式去写的密码。

目前我按照这种方法,这种逻辑自恰的方法,到现在都是平平安安的。

你学会了吗?


user avatar   kaveil 网友的相关建议: 
      

1、支付宝单独一个用户名及密码,不需要太复杂,自己好记就行。

2、微信同上,与支付宝区分开。

3、如果用QQ等常用的联系工具,再设置一个密码,也不需要太复杂,只要不太容易被猜出来就行。

4、有道云/石墨文档/QQ记事本或者其他类似的你惯用的方便访问的,比较稳定的网络文档一份。

这样你就有了4个需要记住的密码,如果第四条用的是QQ记事本,那么是3个。


以上就是比较重要的东西,尽量一号一码,即便有一个被盗取了也不会牵连到其他的。

对于其他不太重要的站点,采取的是同号异码的方式,即所有站点使用同一个账号,不同密码。

比如你随便注册玩一下的游戏啊,微博啊,各种app啊这些,都是密码泄露大户,单新浪微博运营至今被曝出用户信息数据库被人盗取事件就已达到两次之多。而撞库,是目前盗号使用最多的手段之一,另一个是发布各种虚假中奖信息或高仿官网吸引你登录。

所谓撞库,就是我盗取了新浪微博的用户数据库,那么我拿获得的用户名密码去网易云音乐登录,如果一个用户注册过新浪微博,又同时注册了网易云音乐,而且这两个站点的用户名密码使用的都是同一个,那么新浪微博密码泄露的同时,网易云音乐的密码也对应的泄露了。

所以,不同站点设置不同密码非常重要

这里给大家推荐一个工具

可以为你生成随机密码,密码长度和使用字符都可以自己设定,完全符合我们的需求。

然后有人或许会问,这么多密码记不住咋办?

不需要记住,我们只需要记得前面第4步的密码即可,其他的密码存到这个在线文档里,这样自己需要的时候可以随时取阅,然后复制粘贴。

现在app都会有记住密码或者短信登录功能,我们不需要频发的使用密码登录,所以即便记不住密码去复制粘贴一下也不会太过于影响我们日常使用,甚至于游戏账号给别人用的时候也不会担心泄露其他密码。

为了防止在线文档泄露,还可以使用简写账户名,只需要自己记得住即可。

比如这个是我剑三的账号密码,没错,我没打码,可是谁知道这个对应的是哪个账号呢?如果你直接拿这个账号去试,那么可就大错特错了,长度都对不上。

另外,为了防止在线文档出意外打不开,请记得定期备份至本地


最后说点题外话。

其实最开始使用这个方式,并不是为了信息安全,而是为了在朋友面前装x,因为早些时候玩剑三,我的账号帮会里很多人都借用过,每次发给别人对方都会受到惊吓,然后给我吐槽说这么长的密码你怎么记住的(剑三最长可以设置32位,支持大小写数字和标点),成就感满满。然后发现这的确是一个现阶段较为安全的保存个人信息的方式,于是一直沿用下去了。


user avatar   lu-luce 网友的相关建议: 
      

这个问题等于在问:

数学教授买菜的时候,是如何计算折扣的。

我认为是无所谓。


user avatar   15398605130 网友的相关建议: 
      

说个故事!

去年10月份的时候,程序员圈子传出了一个不大不小的消息: 一个德国慕尼黑的妹子尝试破解39年前的密码,破解了5年,大部分密码都被她破解了。但有5个密码她破解不了,于是在论坛里求助。

5天后一个自称Nigel Williams的论坛成员破解了密码,并通过邮件公开了密码的内容!

——这就是计算界著名的“Ken Thompson密码破解事件”!

我g了下,那名德国妹子 Leah Neukirchen 的文章,原文如下:

意思呢就是说,2014 年的时候,她在Unix早期的版本——BSD的源码里,找到了一个 /etc/passwd 文件。里面包含了计算机领域中一些传奇工程师的旧密码,比如Ken Thompson、Dennis Ritchie、Brian Kernighan、Steve Bourne 和 Bill Joy 等 Unix 开发的大师(这些人有多牛,底部看介绍)。

出于兴趣,Leah 就开始暴力破解这些人的密码 (因为源码来自Unix早期开源的版本,所以破解他们的密码不会涉及法律问题)。

5年之后的2019年,成千上万个密码都被Leah破解了,但仍然有五个纯文本的密码无法破解,于是就发生了开头所说的“Ken Thompson密码破解事件”。

这里我们话分两头,各表一支。

成功破解的密码

大多数情况下,Leah能够成功是因为用户的密码容易猜到。

比如,Dennis Ritchie使用了“dmac”作为密码(他的中间名是MacAlistair);

Stephen Bourne的密码是“Bourne”;

Eric Schmidt(Unix软件的早期开发者,现在是谷歌母公司Alphabet的执行董事长) 的密码是妻子的名字“wendy!!!”;

Unix自动化工具make的作者、同时也是第一个Fortran编译器的作者Stuart Feldman,他使用的密码是“ axolotl ” ( 一种墨西哥蝾螈的名字 ) 。

其中最弱的可能是 Unix 贡献者Brian W. Kernighan的密码了,使用的竟然是字符:“/.,/.,”,重复敲两次键盘上的相邻键便可以设置。

以上的密码跟家庭成员、姓名或者一些小动物的名称有关,很容易被猜到。当然如果她破解的是咱们身边朋友的密码,那就更轻松了,毕竟每个国内的朋友都设置过——至少一个以出生年月日组成的密码吧[¿]。

Leah无法破解的密码

Leah无法破解的5个密码中,包括土耳其计算机科学家Ozalp Babao lu, Unix 软件开发人员Howard Katseff,Unix 的重要贡献者Tom London 和 Bob Fabry。

而令Leah最费解、花的时间最长的是Unix之父,Ken Thompson使用的密码,5年下来一点头绪都没有。

她在Unix Heritage Society的邮件列表中,沮丧地表示:“我一直没有办法用散列ZghOT0eRm4U9s破解Ken的密码,我列举了所有8个小写字母+数字的组合,仍然无法破解。希望大家给我点提示,任何帮助都行。”

仅仅5天后,Leah就收到了名为Williams的哥们的回信。

这哥们花了4天以上的时间,用AMD Radeon Vega64以大约 930MH /s 的速度运行Hashcat(一个密码破解程序),利用了强大的显卡并行计算能力之后才破解了Ken的密码。

要知道Ken这个密码可是在1980年代设置的,现在都9102年了,用这么现代的计算机才破解了古老的密码,这很汤普森啊。

他的密码加密后的字符串是: ZghOT0eRm4U9s,解密后得到的明文是:p/q2-q4!

在 Williams 发出信息几小时后,论坛成员Arthur Krewat公布了其余四个未破解的哈希密码。他们的花名及密码是:

Katseff: graduat;

Babaoğlu: 12ucdort

Fabry: 561cml..

London:..pnn521

最难破解的密码有什么含义

“p/q2-q4!”这串字符有什么含义呢?Ken设置完了之后,会不会也忘了它有什么含义,或者干脆就忘了这个密码呢?

论坛的朋友们很快发现,Ken的密码“p/q2-q4!”是国际象棋中一种常见的开局走法。

意思是 “皇后前面的兵 (Pawn) 向前移动 2 个方格”。q 代表 Queen,p 代表 Pawn,这种走棋记法是国际象棋中的一种代数记谱法,就打咱们中国象棋的兵三进一,车六进四是一个意思。最后的符号感叹号!在记谱法里是一种注释,表示“好棋”。

“不得了不得了,用象棋的走位做密码!” 只能说这个密码很汤普森~因为 Thompson 是一名国际象棋迷,他开发过的一款名为 “Belle” 的国际象棋软件,曾获得1980 年第 3 届全球计算机国际象棋锦标赛的冠军。

那么这个破解出来的密文对不对呢?汤普森通过邮件得知这件事后,对 Williams 表示了赞赏,回复道:“恭喜!”

============故事完=============

计算机相关的内容,还可以看我的这篇回答:Windows 为什么不开源?

到这里故事就讲完了,然后说说怎样设置密码安全的问题!

看了上面的故事,你大概就知道了简单的密码一般都是跟个人信息有关的,比如生日啊,家庭成员的名字。

而复杂的密码是特殊符号和字符的组合,这个组合代表什么信息呢?这个你就可以自由发挥了,用象棋的走法可以,用其他的规律也行。

为什么要用规律?就怕你忘记了的时候,好用规律找回来,随机数生成密码就存在忘记的风险。毕竟现在的人哪,一个是健忘,另外几十个随机的密码,谁招架得住啊??!

好在现在不仅加密算法有了大的进步,还有其他的辅助加密的措施啊,比如Ukey,手机号验证码等。

虽然也不能保证100%安全,但是为了几十块钱破解个四五年的时间,这种事也只有外国人做得出来。再说了四五年时间后,你估计都换密码啦!


==========登陆知乎日报==========

今早起床就收到了知乎日报的推荐, (๑>◡<๑) 鸡冻死啦!

文章同时也被公号 : 互联网工作者(InternetWorker_1024)收录,感谢他们!

这是我第一次获得知乎日报的推荐,感谢老铁们的点赞关注转发。

为了感谢老铁们的支持,在这里统一对评论区讨论最多的问题进行下筛选和回复,再次感谢知友们的支持,让点赞来得更猛烈一些吧!!!

1. 有好多人问为什么遍历了数字+小写字母的组合之后,密码仍然没有破解?

细心的知友应该会注意到Leah的求助邮件里包含了很多值得一说的细节,比如她所破解的密码是通过DES算法加密的,她只是尝试了所有了数字+小写字母的组合,然后她开始怀疑包含密码的文件里面可以获取的哈希字符串,是不是经过了Ken Thompson等人的特殊处理。

有了这些疑问之后,Leah表现得比较悲观[邮件里Leah本人也有提到]。显然她都不清楚自己是否还有必要进行下去,或者接下来破解密码的重心应该放在哪里,才在论坛里发了求助信,这是外围的信息。

内部的信息则是如果考虑数字+小写字母+大写字母+特殊符号的组合,那么这个问题对于Leah来说就变得不可解了,原因后面会详细解释。

要知道虽然只是加了大写字母和特殊符号,但是计算量确实呈几何指数增长的,再者特殊符号那么多,根本不清楚作者本人会使用哪些符号,这是个费时又费力的工作!

2. 杠精们会说也就那么几个字符的组合(8位),为什么难以破解?干不就完了吗?

那我只能说他们还是too young too simple!我摘录百度百科里的的解释,大家感受下。

DES算法具有极高安全性,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。而56位长的密钥的穷举空间为2^56,这意味着如果一台计算机的速度是每一秒钟检测一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间。

可见,这是难以实现的。然而,这并不等于说DES是不可破解的。而实际上,随着硬件技术和Internet的发展,其破解的可能性越来越大,而且,所需要的时间越来越少。

使用经过特殊设计的硬件并行处理要几个小时。译者注: 这里56的穷举空间只是包含26个小写字母+26个大写字母,和10位数字。如果包含特殊字符,常见-的特殊字符少说也得有10个,那么这个穷举空间可能是2^66了,早已超出了人类可以操控的范围。

很多人可能不了解2285年是什么概念?我只想说那就是天荒地老,那就是天长地久,那就是天上人间。

我百度了下,从今年(2020)往前推2285年,正好是春秋战国时期,那一年欧几里得死了,那一年秦王嬴政他干爹吕不韦都还在赵国做生意呢!

而且那时候你还得有台可以跑得起来的计算机才行,跑到现在才有可能把所有的密码组合验证完,如果验证的结果是最后一个组合才是答案,那么到你坟前祭奠的人估计都换了几十茬了。

3. 不说破解很复杂吗?时间得上千年,怎么Williams小哥哥几天(5天)就给搞出来了呢?

这就充分体现了一台好设备,一个好工具的重要性了!我只能说AMD Yes!

AMD Radeon Vega64这款显卡的性能毋庸置疑,你值得拥有!Williams特别强调了这款显卡是针对哈希计算进行过优化的,估计用来挖矿还不错 [:逃]

4. 对于像我这样的手残党来说,破解的时间可能不只2285年这么短把?少说也得有∞年。


想看抽丝剥茧,分析故事脉络的朋友,可以到我这篇回答:

这个新答案讲的是贡献堪比钱学森,但是鲜为人知的“雷人徒手送镭”的故事!

本人注:

  1. Ken Thompson: 40后骨灰级程序员,设计和实现了Unix操作系统,被誉为Unix之父。创造了B语言——C语言的前身,同时也是 Plan 9操作系统的创造者和开发者之一(这个不知道没关系)。Ken老爷这几年也没闲着,自从他进入Google公司之后,就鼓捣了个小玩意——Go语言。
  2. Dennis Ritchie: C语言的创造者,参与开发了Unix操作系统,1983年和Ken一起获得了图灵奖。
  3. Brian Kernighan: 参与了Unix的研发,也是AMPL与AWK的共同创造者之一。与Dennis Ritchie共同写了本书《C程序设计语言》——也是介绍C语言的第一本书。
  4. Steve Bourne: 参与开发了Unix操作系统,设计并实现了Unix早期版本中的 Bourne shell ,adb除错器,2000-2002年担任ACM计算机协会主席。
  5. Bill Joy: 是BSD操作系统的主要设计者,曾创作了包括Unix系统中的文本编辑器vi、C Shell等软件,后来创办了Sun公司,就是开发了Java那个公司。

user avatar   s.invalid 网友的相关建议: 
      

有个开源软件叫KeePass……


这个软件有PC版,也有Android/iOS版;你可以为每个网站生成一个密码(它有密码生成功能,也能设置使用的字符集和长度,不重要的网站可以生成个简单密码,重要网站生成个复杂密码),然后用它加密——你可以让它用AES 512这样变态强的加密算法把你的密码重复加密几千万甚至几十亿次(看你的CPU有多猛了,比如我就选了个十几秒才能算完的数值),然后把加密结果存到一个文件里。


然后,这个文件你可以随便扔。比如丢邮箱里、放论坛、丢网盘甚至放CSDN——随便谁爱下就下吧,反正解不开。


然后,给你的PC/手机都装上KeePass,把你保存着你的密码的文件下载到本地;需要时输入keepass主密钥解密即可。

现在,你唯一需要保密和记忆的就是keepass主密码。你可以极尽巧思,为它设计一个使用了大小写、数字、特殊符号的、几十上百位长度的变态密码,牢记它——刚开始可以写到纸上,真忘了拿出来看一眼;一段时间后彻底记住了就把纸烧掉。


注意只在你信任的设备上输入keepass主密钥(比如你的手机),这个设备不要装来路不明的软件(比如某数字);嫌麻烦的话,不重要的网站随便用个弱密码就行,不需要记入keepass。


加点补充说明吧:

1、安装keepass的机器,不管是PC还是手机,一定要是你完全信任的。

由于众所周知的原因,这个PC/手机上最好不要装国产软件;即便装,也一定要确保这类软件没有申请察看剪贴板的权限。

最好是找一个不打算再用的旧手机,重置到出厂状态,下载你的密码文件和keepass;之后就去掉sim卡、不要连接WiFi(物理上断开它和网络的任何连接途径)。这是最安全的用法。

当然,作为普通人,一般也没人紧盯着搞你。所以自己的PC、自己的手机,只要不装各种管家之类的木马软件、尽量使用uwp版国产软件,它也已经足够可靠了。


2、你的密码文件最好多处备份

不然误操作删掉了或者专门保存密码的那个手机坏了、丢了,那你就惨了。

因此,这个密码文件最好多处放置。比如用邮箱寄给自己、放到属于自己的网盘、在PC和手机等多多备份,等等——你甚至可以把它放到知乎答案里,这都丝毫不影响它的安全性。

正常来说,现在银行等要害部门用的都还是AES128,AES256、AES512这种可以说是“偏执”了;再反复加密几千万甚至若干亿次……AES128都还不存在解密可能呢(起码十几乃至几十年内没有丝毫希望),你用AES256/512你怕啥?银行保险柜都没这个安全。


user avatar   pansz 网友的相关建议: 
      

这个问题透着一股邪乎味儿,怎么看怎么危险啊……

建议专业机构给予支援。


user avatar   lancelu 网友的相关建议: 
      

商场运营方的本质是物业公司,

想各种办法吸引人流过来,接着招商,目的是收取租金,然后涨租金。



所以这个问题的本质,是来福士想要吸引的大批顾客群体,他们是不是在意棒棒入内。

如果他们其实希望棒棒不入内,那么来福士不过是个手套防火墙而已,抵挡了来自网络和外界的骂名。

如果他们反对禁止棒棒不入内,那么就算没有这个报道一段时间后来福士自己也会被用脚投票的顾客教做人。

商场是否以为棒棒影响了形象不重要,最终用户怎么想的才重要,想想谁掏钱?



所以,到底是顾客有这样的需求而商场才这么去干?还是商场自以为是的猜测了顾客的需求呢?这只有顾客自己知道了。





  

相关话题

  请教DH算法在混合加密中,到底起什么作用? 
  在电脑上输入密码的时候,直接显示一个黑点,但是在手机上输入的时候为什么就显示一个字符后才变成黑点?是故意做成这样子还是达不到电脑上的效果? 
  信息论的冗余剔除应用与密码学破解? 
  求破解这个图 什么意思?(朋友说要回家 就在空间发了这张图,有啥意见就说吧 不一定要完全解出来) 
  军事级加密算法有哪些? 
  如何评价 2019 最差密码:123456,日常生活中你会用这个密码吗? 
  区块链技术是什么?未来可能用于哪些方面? 
  适合多方通讯(例如群聊)的加密体制有哪些? 
  兄弟们,有一个关系很好的异性朋友给我发了一段密码,说要是能解开,她就照做,有密码爱好者吗,该怎么解? 
  如果“P=NP”得到证明,意味着什么? 

前一个讨论
为啥最近喷鸿蒙的人少了,是不是说明鸿蒙要成了?
下一个讨论
如何评价董明珠向雷军发起新赌约:请雷军提出自己行业的目标?





© 2024-12-26 - tinynew.org. All Rights Reserved.
© 2024-12-26 - tinynew.org. 保留所有权利