关于密码的思考总结
微斯人  | 2016-08-22 22:09
阅读数:898

各种各样的密码一直是个让人头疼的问题。因此这里总结一些对于密码的认识以及将要使用的密码策略。
对于弱密码问题:
弱密码,用通俗一点的话讲,就是能够猜出来的密码。
①默认密码(常见:用户名密码相同)
②证件号后6位(身份证、手机号等)
③特殊的日期(生日、纪念日)
④名字的全拼或缩写(自己的,某人的)
⑤常见的数字密码:123456,1111111,12345678,1234,666666等
⑥常见的英文密码:love、forever、angel、admin等
以及以上的组合(或加下划线等)。如姓名的首字母加生日的月日(XYZ0712)、姓名加常见数字(MNP1234)
弱密码很容易被破解。个人认为,所有弱密码中,身份证号后6位是被用的最泛滥的密码。而默认密码是赤裸裸的危险。
弱密码的存在原因:1.与自己的生活息息相关 或  2.密码本身常见或易知

对于弱密码问题的解决策略:
1.密码中存在的信息应该与自己生活的交集尽可能的小。
比如,我曾经使用过一个12位的纯数字密码。它是那时我的IC电话卡8位卡号和4位密码的组合。它与我的生活交集只    有一个月的时间,没有其他任何人知道它的存在。而12位的密码,即使是纯数字,在当时也是可以看做暴力不可破的。
2.对于含有个人信息的地方避免使用默认密码。

3.用户名的设置习惯应该与密码的设置习惯区分开。(如微信号:姓名+QQ号,很可能意味着你的密码也会是姓名与数字的组合)


对于密码生成的进阶:
除去上面讲到的习惯问题。
密码的强度取决于每位密码的基数以及密码的长度。
因此,当前环境下,密码为字母数字与特殊字符的组合且密码长度大于8位,一般是认为暴力不可破的。

密码由字母数字与特殊字符的组合,会带来另外一个问题:不易记忆,尤其类似密码很多的时候。
这时候就需要一些其他的小技巧了。
比如love, 1ove, l0ve, I0ve,14min等,在当前密码的基础上进行简单的替换,方便记忆的同时也提升了密码的强度。
如上,第一个love为普通的英文单词,第二个密码中,将字母L换成数字1,第三个密码中,将字母o替换成数字0,第四个密码中,将小写的l替换成大写的I。第五个,将admin的a与d替换成其在26个字母中所在的位置1和4。

对于同一密码问题:
密码简单容易记忆但安全性不足。
密码复杂安全性足够但不容易记忆,尤其是密码很多的时候。
这也就导致了一个常见的问题:很多人使用同一个密码作为多个地方的密码。安全性强一点的,对于不同的安全级别 使用几套密码。

这挺方便,也很危险。这意味着,只要这众多地方中的一个地方的密码被泄露,你的信息就可能彻底大白于天下。这也是“撞库”这种密码攻击的成因及威力所在。


因此,每个人面临的最终的问题是:如何生成一个高强度的,且易于记忆的密码。
亦即,我们需要一个脱离自身习惯的强密码(按上面提到的方式及技巧设计),并加入一个易于记忆的可变因素。
新的密码生成策略:
最近在思考这个问题,然后幸运的找到了其中一个变动的因子--网站名。
比如知乎:zhihu、zh、aijiv、ZhiHu、5zhihu、zhu
比如豆瓣:douban、db、epvcbo、DouBan、6douban、dban
比如雅虎:yahoo、yahu、yh、zbipp、YaHoo、5yahoo、yhoo
我们将一个已有的密码借助各网站名进行二次加密形成不同的密码。
这次加密的强度取决于加密方式(即保密加密算法的加密方式)

比如douban,每个字母加1,epvcbo。
比如我再加上douban的首字母,epvcbodb。
比如我把douban首字母其中一个转为数字,另一个转为大写,epvcbo4b。
比如我再把douban的长度6上的特殊字符加上,epvcbo^4b。
然后我再与kibro组合起来。(不要用xiaobuding这样的连贯性强的字母,或者xiaobuding_09这样有区分度的字符串,太容易被找出规律)最后我得到了一个我永远不会用的繁琐的密码:kibroepvcbo^4b。

由于有的密码可能比较常用,二次加密过于复杂可能往往只能是为难了自己。
因此,选取其中的一个比较简单的加密方式就好。
这里提供一些思路:
我们现在又两个字符串,一个是已有的强密码,另一个是网站名。比如:bpvon*stR, douban
可以两个字符串组合成一个新的密码。bpban*stR
可以借助一个字符串,重新加密另一个 字符串生成新的密码。6bpvon^bstR。
应当避免直接使用douban这种字符串,因为这样密码特征个过于明显,假如我同时拥有两个密码,就有可能根据当前密码猜出二次加密的算法。

另外,百度上找到一篇密码设计的文章,也不错,挂上链接。
http://wenku.baidu.com/link?url=ZeKVGk7SEq42q6QgV05sUuJH3CWRlx1FBPSBiebaG7T2V10ovNIo5ObfMkMux3Az5-qd7FYPMadzXDT3oeEFvRxAxiTlTAuaatsMuyNkpQy

就酱。
                                                                                                                                                    大头菜
                                                                                                                                           于2016年8月22日夜