如何管理并设计你的口令

  • A+
所属分类:lcx

在互联网上,需要我们输入用户名口令的地方实在是太多了,多得都让人记不过来了,N个电子邮件帐号,QQ, MSN,校内,开心,facebook,Blog,各种论坛,网银,淘宝,电子相册……,太多了,想想看,你要用多少用户名口令,相信很多人可能会这样做,用几乎一样的口令和用户名来申请所有的这些帐号,我估计这是大多数人的做法。

当然,这样一来,你就需要保管好你的用户名和口令了,因为只要被破解了,就相当于你所有的帐号被破解了,这是多数恐怖的一件事情啊。你可能觉得别人破解你的口令很难,但我告诉你也许会非常容易,因为,如果你只使用一样的用户名和口令的话,也许某天,你注册了一个不知名的小网站,可能会意味着你所有的用户名和口令都被人获取了,要小心啊。

对我来说,我通常会有几组组帐号和密码,

  1. 一个帐号/密码是用于一些大的可以依赖的站点,如:MSN,gmail,linkedin,facebook,hotmail等,因为我相信这些站点应该可以足够信任不会出卖用户信息,也有足够的能力不会让用户信息和口令外泄。
  2. 一个帐号/密码用于一些国内的一些大的网站,如:QQ,开心,CSDN,Sina,网易,Blog,同学录等,因为这些站点必竟还受到国家的监管,以及其内部不良员工可能会倒卖我的信息,指不定什么时候我的用户信息就会外泄。
  3. 一个帐号/密码用于我的一些经济活动,如网银,淘宝,支付宝什么的。
  4. 最后一个帐号/密码用于登录那些必需要注册的破站点,一个最简单的用户名口令。

真烦啊。在这样的一个社会里,忘记密码绝对是一件最普通不过的事情了。就算是我这样的分组归类,同样需要超强的记忆力。不知道你会不会把你的密码写在某处呢?是啊,我也是想写啊,但那岂不是相当的危险,不丢则已,一丢就全丢了。

今天,在国外的某论坛里看到了这样的一个设计方法,好像很不错,分享给大家。

1)首先,先找一句你喜欢的话(你一辈子都记得的话),当然,只有你记得的,无论中英文,然后取各个单词或字的英文、拼音、五笔头一个字母。比如:I Like Long Complicated Passwords, They Confuse People,取头一个字母则成为了:illcptcp。中文的——“信春哥得永生”的五笔的第一个字母是:wdstyt。这个东西只有你自己知道,就算是别人看到明码,也很难马上记下来,是吧。

2)加上一些数字吧,比如你的生日,学号,电话,纪念日等。比如世界末日:2012年的12月21日(我们只取12月21日)。把这些数字加在断句的地方,于是得到这样的口令:illcp12tcp21 或是 wds12tyt21

3)我们把第二步得到的口令叫基本口令。然后你可以在其前后(或是中间)加上站点的简称(用大写)。如:

  • gmail:GMillcp12tcp21
  • CSDN:CSwds12tyt21DN
  • MSNillcp12tcp21MSN
  • QQ:Qwds12tyt21Q

4)改良。你可以在上述的第2)步,在输入数字时按着Shift键,于是,你可以得到更BT的口令:[email protected]@! ,或是在第3)步聚的前缀和后缀间加上特殊字符,如:&, #,^等等。

相信这样的规则会让你的口令即不重复,又好记,而且又足够复杂。不然,你真的要去下载一个软件来记你的口令了。

大家不妨也说说你的口令的设计或管理方法。

(全文完)


网友评论:

bones7456 2010年5月18日09:04 | #1 回复 | 引用 不错的思路。

还有就是,对那些注册了只会用一两次的站,可以用bugmenot搞定,我那还有个firefox插件的。

 

T2 2010年5月18日09:19 | #2 回复 | 引用 有时候用化学方程式,有时候用一些自己电脑上的硬件ID,还用过movAcc,Me,pushPWD这种伪汇编……

 

xifs 2010年5月18日09:41 | #3 回复 | 引用 切换了键盘布局的密码

 

枯藤昏鸦 2010年5月18日10:06 | #4 回复 | 引用 杯具,一直以来我都是以这几种方法来的,这下都知道了。

 

依云 2010年5月18日12:16 | #5 回复 | 引用 @xifs

好主意。我一直是用特定的公开的编码规则来编码的,现在再加上键盘布局,估计连我自己看到自己的密码都不认识了——

 

[email protected]#’%p^lbejwtoto

 

liz 2010年5月18日12:30 | #6 回复 | 引用 千万别用QQ或者百度的帐号信息和密码注册gmail或者hotmail,会被网监和法院直接登录“取证”,特别是用户名和密码不要一样,这将是检方直接的证据,颠覆国家政权罪等这你

 

liz 2010年5月18日12:32 | #7 回复 | 引用 谭做人就是这么进去的,5年阿。。。@liz

 

济南seo 2010年5月18日12:58 | #8 回复 | 引用 精彩内容,怎容错过!

o(∩_∩)o

 

mml 2010年5月18日13:22 | #9 回复 | 引用 一般都是用些比较geek的语句,然后使键盘上手指整体偏移一个坐标输入,出来的我自己都不知道是什么,

 

menmang 2010年5月18日14:05 | #10 回复 | 引用 Add in the following replacement for alphanumeric strings randomly:

a – @

E – 3

S – $

8 – &

o – 0

 

e.g. [email protected]$w0rd

 

AWard 2010年5月18日14:37 | #11 回复 | 引用 通常用带有数字的唐诗宋词两句

这样搭配shift就有大小写字母数字符号了…长度通常在14位以上

好记又复杂…

 

陈皓 2010年5月18日15:25 | #12 回复 | 引用 menmang :

 

Add in the following replacement for alphanumeric strings randomly:

a – @

E – 3

S – $

8 – &

o – 0

 

e.g. [email protected]$w0rd

 

这样的规则已经是大众所熟悉的规则了,已经不好使了。

 

pjhades 2010年5月18日16:51 | #13 回复 | 引用 寒假无聊的时候异想天开,用一种畸形的方法生成密码,拿一个11个字符长的字符串乘以一个11阶幻方,再把结果映射到自己设定的字符表里面……

 

wenjianhn 2010年5月18日17:37 | #14 回复 | 引用 hp有个sitepass

 

realtianya 2010年5月18日17:54 | #15 回复 | 引用 赞一个…..

 

miaowu 2010年5月18日19:04 | #16 回复 | 引用 坐标控

 

核子力量 2010年5月18日19:41 | #17 回复 | 引用 以前看过一篇文章不错,叫做“唐诗宋词,华人信手拈来的密码”

 

现在的互联网服务很多,登陆论坛要密码,电子邮件要密码,即时通信还要密码,每一次需要创建密码的时候,都是最头疼的,我见过一些国际化的网络公司的高级网管,出于安全考虑,设定密码的时候闭着眼睛在键盘上乱砸一气,然后把得到的密码记在纸上,等到背熟了再销毁,这样的密码如:as/fjruq2;3 [-q235isd 当然很难被暴力破解,但是自己用起来也很麻烦,很难记忆和口述给别人 – 有的大公司的密码设定还有更详细的规定,如不小于10位,必须包括至少一个大写、一个小写字母、一个数字等… 总之很麻烦,那么为什么不试试唐诗宋词呢?

 

如果你对唐诗宋词没有研究,或者你的拼音功底比较差,那么现在关闭这个页面还来得及,当当网正在搞购物打折活动,现在去估计还能买到促销的好东西

 

这并不是对密码学的专业研究,但是可算一种实用的密码生成逻辑

 

举个例子,如果你能背得出“两个黄鹂鸣翠柳,一行白鹭上青天”,那么你可以把每个字的第一个声母作为密码,即:lghlmcl.yhblsqt,进一步加强,如果某个字和数字的读音类似,可以改成数字,这个密码变化为:2ghlmcl.1hblsqt,再进一步,你可以按自己的习惯修改,如把每句的第二个字母大写,或者修改分隔符之类的,如:2Ghlmcl,1Hblsqt

 

感谢你耐心的看到这里

 

下一步是要考虑如何对付穷举破解密码了,如果有好事者搞了一个唐诗宋词密码本出来,穷举破解密码,那么简单的唐诗组合就不安全了,所以你可以在密码中加入干扰,如:将每句诗缩短到几个字,本例中,可以将诗缩短成“两个黄鹂,一行白鹭”,密码则为:2Ghl.1Hbl

 

最后,设置密码的人常常在过后忘记自己当时的生成逻辑,记得我以前的公司刚刚为大家创建股票帐户的时候,强调了大家要注意自己设定的密码,不要太随意避免出问题,所以许多同事绞尽脑汁设计了自己的密码,但几天后就忘记了,所以很多人不得不为取回密码而折腾一番,为了避免这个问题,你可以在纸上写下提示性的文字,如“杜甫诗,每句取4个字…”或者“窗含西岭,门泊东吴”之类的,如果真的忘记了密码,这样的提示是很有用的。

 

Yifan 2010年5月18日19:45 | #18 回复 | 引用 Use KeePass: http://keepass.info/

 

turygo 2010年5月18日20:39 | #19 回复 | 引用 使用lastpass来管理所有密码,这个软件基本支持所有主流浏览器扩展,可以随机生成任意位数密码,最重要的是,这个软件是美国人做的,我放心…..只要lastpass的登录密码记住就行了,可以设个强密码

 

yongfa365 2010年5月18日21:27 | #20 回复 | 引用 呵呵,我就这么搞,不过老婆非常不赞同,施行不起来,哈

 

yea 2010年5月19日10:05 | #21 回复 | 引用 也来说说我的方法。

 

1、我的密码一般分成两种:需要保密的,和不需要保密的(相当于上面文章提到的前三类和最后一类)。

需要保密的密码,会采用“一句完整的英文句子,区分大小写,部分单词使用数字或缩写代替,允许的话,加上标点和空格”。例如:“ItIsAGoodDay2Die.”、“show.me.the.$$$!”等等。不需要保密的密码,比如论坛登录密码,一般就直接用“登录名@网站名”,比如“[email protected]”,简单,好记。

 

2、对于纯数字密码,比如银行卡密码,使用“电话号码助记法”。

“电话号码助记法”是在欧美比较流行的记电话号码的方式,大家的电话数字按键上一般都会印有“2abc”、“3def”、“4ghi”等等,26个单词对应数字2~9,1和0保留。那么,一个N位数字密码,就可以找一个包含N个字母的单词、句子或缩写,对着键盘直接按,就得到了数字密码。比如,“iloveu”就是“456838”。这样一来,无意义的密码就是变成了有意义的语句,方便记忆。

 

raychino 2010年5月19日19:18 | #22 回复 | 引用 请大家试试lastpass

托管密码的工具,支持几乎所有浏览器,只用记住它的密码,剩下的随便你怎么写就行了,探测到需要输入ID和密的时候,可以自动登录

当然,这个方法和博主的思想有本质上的差异

 

小轰 2010年5月19日21:03 | #23 回复 | 引用 @核子力量 这样真是一个好办法。

 

楼主提供的分组办法我也觉得相当明智。其下介绍的办法也很牛屄。只是所有的密码已经设置完毕,想改想记住,真的是难上加难了。呵呵。不过最好的一个办法是,设置永久的电邮,一旦密码发生“错误”,都可以通过这个找回来。

 

小轰 2010年5月19日21:04 | #24 回复 | 引用 诶,现在发现,这样的一种“回复”方式,非常不错。不会有扰人的条条框框,也可以迅速定位。

 

内地规定:非国家工作人员受贿5000以上将被… 2010年5月19日21:38 | #25 回复 | 引用 个人有个人的招

 

五月凌 2010年5月19日22:29 | #26 回复 | 引用 @pjhades

您很牛叉。。。。

 

jueny 2010年5月19日23:59 | #27 回复 | 引用 哈哈,好文章,正在为这个事苦恼,天天要重设密码

 

viaxl 2010年5月20日01:57 | #28 回复 | 引用 噢也.. 看了一下没人知道我的idea.. 我不会说的..

 

初境 2010年5月20日09:15 | #29 回复 | 引用 我以前用的密码系统就是:wo4gangsi+(网站名缩写)。意思是:我是刚丝。很简单。前几天把整个密码系统又重新整理并优化,跟银行有关的(像淘宝,支付宝,OK宝)是一个系统,用我邮箱作账号的娱乐性网站(豆瓣,虾米,人人)是一个系统,游戏类的(魔兽,游戏平台)又是一个系统。我没加什么特殊符号,字母与数字就够了。

 

蜂窝 2010年5月20日11:41 | #30 回复 | 引用 不错的办法,上次看到还有个办法就是键盘上,往左或往右移动一格打入密码。

 

sapphire 2010年5月20日13:12 | #31 回复 | 引用 密码设定为 固定字符+网站域名hash码。固定字符要包含字母数字和特殊字符。目前用的网站域名hash算法是用取域名的定长字段,用手机键盘转换。同时和一个定长字段做与。产生一个10位的密码。缺点是如果暴露了多组密码,很容易被猜出来。

 

路过 2010年5月21日09:16 | #32 回复 | 引用 dd if=/dev/urandom bs=12 count=1 2>/dev/null | base64

 

imcoddy 2010年5月21日14:41 | #33 回复 | 引用 AWard :

通常用带有数字的唐诗宋词两句

这样搭配shift就有大小写字母数字符号了…长度通常在14位以上

好记又复杂…

 

这个方法很赞同,要破解还需要中西合璧啊

 

leges 2010年5月25日16:52 | #34 回复 | 引用 首先我很赞同你的密码分类,不同类别的采用不同方法的编码习惯。而且我也很赞同你说的,国外的服务比国内的更让人放心,唉,悲惨的国家,自己人都不相信自己人了…额,跑题了,不过还是谢谢你的方法。

 

darasion 2010年6月9日18:31 | #35 回复 | 引用 我的设计是,闭着眼睛在键盘上乱按一通。然后把这个序列牢记,就是密码了。

 

爬墙砖家 2010年6月15日14:24 | #36 回复 | 引用 @xifs

这个牛比,可惜比较麻烦。

哥现在用1password,懒得记那么多

 

XML好强 2010年7月26日00:07 | #37 回复 | 引用 我的密码是不:O0l1O01l

 

house.lee 2010年10月11日21:07 | #38 回复 | 引用 记一组原始密码,然后分组罗列N个f(x)做hash.

把f(x)离散放在不同位置,每一个位置有一个g(x)能hash出一个地址指向下一个f(x)所在

 

element 2011年1月27日16:27 | #39 回复 | 引用 我的就一个密码。。。。

 

被窝宝贝 2011年2月10日02:03 | #40 回复 | 引用 儿子在学3字经

 

他背哪, 我就换到哪。

 

野草博客 2011年2月27日22:01 | #41 回复 | 引用 好棒~刚准备写文章来分享野草设计密码的方法的呢。

全被博主和楼上这些说完啦~

 

sky 2011年3月2日12:18 | #42 回复 | 引用 不错,我的密码也是分级的,但不是像楼主那样按信任度来分。而是按其帐号的重要程度、机密度来分的,比如:一般网站与金融有关的就不是一个级别的。

一般的娱乐网站的密码很简单,就字母加数字。

而银行的密码却比较复杂了。大小写、数字、字符穿插在一起,而且不是普通的随意组合,而是使用了俺在做程序开发中所碰到的需要做特殊处理字符,而且还有意做了混淆动作。比如:看起来像一个中文字符的uncode编码等等,加上足够的长度,如果不是被挂马或是被钓鱼,就算是普通的加密算法,破解起来也较困难。

 

yyc1992 2011年3月24日03:14 | #43 回复 | 引用 base64

 

下载.de 2011年3月31日07:05 | #44 回复 | 引用 @T2

 

你这个方法更猛

 

esopose 2011年5月27日15:25 | #45 回复 | 引用 这个问题困扰我很久了,老是记不得密码,今天大开眼界!

 

lemon 2011年8月25日18:55 | #46 回复 | 引用 这种思路真不错,我咋没想到啊。

 

Iceberg 2011年9月14日17:30 | #47 回复 | 引用 真是不谋而合。我和博主用的是同样的思路和体系。不过有一个问题,即使按文中最后一种方式设置的密码,也一样存在被一个小网站泄露之后,就整个系列都被一锅端的风险。毕竟那些网站名特征字太容易辨认了。有什么好办法呢?嗯,有思路了……

 

巡洋舰 2011年10月12日16:31 | #48 回复 | 引用 @被窝宝贝

这个主意不错 背完了又怎么办啊!

 

阿木 2011年10月25日17:15 | #49 回复 | 引用 挺复杂的。我普通的论坛一种帐号,邮箱一种帐号(邮箱也不尽相同),QQ等一种帐号,网银等一种帐号。

 

hustlijian 2011年11月6日02:09 | #50 回复 | 引用 分类+基础密码+网站名称+特殊字符

 

jjmaiz 2011年11月28日09:21 | #1 回复 | 引用 @turygo

自己才是最可靠的。。

 

michael 2011年11月28日10:54 | #2 回复 | 引用 我大部分的密码我自己都不知道,而且是软件生成的,通过keepass(SourceForge上的,也不确定安不安全)管理。

keepass的好处是你登录的时候不需要自己输入帐号和密码,所以密码和帐号都是伪随机数,再长都无所谓(我gmail有100位密码),密码也就不需要共用了。就算有说梦话的习惯也不怕了(当然啦,我是不会说梦话的)。

然后强记一个无规律的密码作为HMAC,生成帐号的checksum作为比较重要的帐号的密码(具体原理我也不太懂,从维基百科上看貌似挺安全的)。

QQ的密码从来都没改过,因为没办法改掉(杯具)。

 

michael 2011年11月28日10:57 | #3 回复 | 引用 “在键盘上乱砸一气”生成的密码实际上非常容易破解@核子力量

 

icy 2011年11月30日20:50 | #4 回复 | 引用 为了能让密码自己能记得而其他人猜不出,最好使用行业壁垒,冷僻知识,比如IT的在伪码里取材(前面有人提到),数学的用著名数列;化学的用元素周期表,元素+原子量/周期/族 什么的刚好字母加数字;生化和医学的名词有英文拉丁文以及行话简称,绝对够用够晦涩,而且好处在于万一忘记随时能查出,相当于公用且标准的密码字典。自己从中取样加上自己改造,稍加提示的记下来做备份,安全且不容易辨认。(当然对方如果是同行或者Geek还是有小概率破解==)

 

double 2011年12月21日17:33 | #5 回复 | 引用 一个帐号/密码用于一些国内的一些大的网站,如:QQ,开心,CSDN,Sina,网易,Blog,同学录等,因为这些站点必竟还受到国家的监管,以及其内部不良员工可能会倒卖我的信息,指不定什么时候我的用户信息就会外泄。

 

csdn亮了

 

skydark 2011年12月22日09:46 | #6 回复 | 引用 CSDN亮了+65535

 

Eshin 2011年12月22日12:29 | #7 回复 | 引用 CSDN杯具

 

loll 2011年12月22日12:47 | #8 回复 | 引用 2B公司不给你安全保管,损失的还是我们

 

笨猫猫 2011年12月22日14:32 | #9 回复 | 引用 “指不定什么时候我的用户信息就会外泄。”神预言

 

dent 2011年12月22日15:05 | #10 回复 | 引用 可以用i和!呼唤,a和@呼唤,S和5呼唤来设计自己的密码。

 

teyqiu 2011年12月22日17:09 | #11 回复 | 引用 已阅。求关注。。

 

Zhe 2011年12月22日17:25 | #12 回复 | 引用 咱的密码规则是一首唐诗,穿插了Shift,数字替换,足够长,足够复杂!可是架不住明文啊。。

 

Zhe 2011年12月22日17:26 | #13 回复 | 引用 a,@/i,1/o,0/s,5/l,1替换已经都使烂了。。

@dent

 

soxunyi 2011年12月22日20:26 | #14 回复 | 引用 最好的方法,自己对自己的密码加密。在不同的网站密码都不一样。这样的结果是,每次登陆网站,我都得心算一个密码是什么。呵呵。

 

elf 2011年12月22日20:33 | #15 回复 | 引用 用数学公式….

 

追梦人 2011年12月23日10:34 | #16 回复 | 引用 有人总是用MD5散列值做密码,强度够吗?

 

xh014 2011年12月23日17:01 | #17 回复 | 引用 弄来弄去估计自己破解的时候都忘记了。。。。T.T

 

299792458 2011年12月27日13:19 | #18 回复 | 引用 可以用一些生僻的方法来进行组合倒不错

比如用五笔编码 四角号码 等等

 

瑞克少尉 2011年12月27日13:49 | #19 回复 | 引用 已经天下无贼,我们只能自我保护了……

 

Rockrush 2012年3月15日10:25 | #20 回复 | 引用 大部分网站是共用一个帐号(出于不可告人的目的),这些帐号很不重要,丢了大不了再注册一个。

 

当某个服务器上的帐号变得重要起来时,我会用软件生成随机密码,加密保存到多个位置。

 

当某个帐号非常重要,不容丢失时,直接背下那个随机密码,不再保存。

 

难道是? 2012年4月20日14:38 | #21 回复 | 引用 @Iceberg

是这样么? QQ的 mht。。。。。。

淘宝的 my。。。。。

 

[点此浏览更多评论]


发表日期:2010年5月18日,作者:陈皓,来源:http://coolshell.cn/articles/2428.html

文章来源于lcx.cc:如何管理并设计你的口令

相关推荐: 简单分析丝绸之路创始人如何被抓,FBI真的能透过TOR获取真实IP么?

昨天,丝绸之路创始人Ross William Ulbricht被伟大的美帝政府和谐了,我们来看看新闻 根据记者Brian Krebs个人网站“安全Krebs”上发布的法庭文件获知,Ulbricht因为“故意且明知,共谋,联合并同意……来范围美国的麻醉品法律”被…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: