西西河

主题:【原创】【周末瞎聊天】也分享一下我的口令策略(上) -- 1001n

共:💬36 🌺97 新:
分页树展主题 · 全看 下页
  • 家园 【原创】【周末瞎聊天】也分享一下我的口令策略(上)

      

      细脖大头鬼兄(这叫啥称呼啊,)提出口令设置的问题(【求助】什么样的密码设置是科学有效,同时又不容易忘记的?),之后jet兄给出了非常漂亮的回答(【原创】分享一下我的密码策略)。看着就手痒,忍不住作文以记之。不过,下文说的跟正八经的密码都不沾边,不过是一些小狡猾而已,希望能给大家一个参考吧……

      jet兄所说的“四级分类+邮箱保存”,是非常好的办法,有四个主要的闪光点:1、关键口令与普通口令分离;2、相信烂笔头胜过好记性;3、邮箱不灭则口令不会遗失;4,邮箱登录机制确保自己是唯一查看人。在此,赞成并强烈推荐这个主意。

      说到口令生成,不由想起刚刚上网时的一件事。那时候还是拨号,需要购买ISP提供的上网卡,刮开保护层看“密码”。由于是第一次上网,对这个口令印象深刻的不得了,从此就记住了,衍生成了现在我个人主要使用的各种口令。具体情形,好比如下:

      口令:w5rb4u

      一共6位。分析一下不难得知,这个口令的优点有两个,缺点有四个:

      优点1是相对比较容易记忆(比起十几位的混杂口令),优点2是数字和字母混杂;

      缺点1是太短,2是没有特殊符号,3是没有大小写切换。如果在ATM上使用,第4个缺点就出来了——它不是纯数字。

      既然已经知道优缺点,针对性地衍生出新口令就很容易了。最重要的第一步是,我们需要凝视w5rb4u这个6位字符串,花上三分钟将它永远不忘地记牢,试一试就知道,实际上这一点也不难。这将是后面的基础,所以花掉的三分钟很值得,也许能让你用上很多年。

      然后,将它简单地加倍,变成w5rb4uw5rb4u——OK,这个东西,已经够让普通的暴力破解工具干瞪眼了……

      但这还远远不够。聪明人会数出w5rb4uw5rb4u一共有12位,他会猜测,我们为了方便记忆,将某几个简单的字符串重复过。于是他试验性地将12位分解为重复3遍的4位字符串,或者重复2遍的6位字符串,以此类推。只要他猜对一次,后续的暴力破解工作就会势如破竹。既如此,我们就让他分解不了——很简单,只要加1或减1就行了:这样一来,12就会变成13或11,都是质数……

      11位:w5rb4uw5rb4 去掉了最后的那个u

      13位:w5rb4uw5rb4uw 加上了第一位那个w

      碰上11位的***********或13位的*************,这样的口令肯定相当让人郁闷。在只知道位数的情况下(假设他知道了位数),他依然毫无办法,也只能猜测为,这是一个词组或一句话,否则一般人是记不住的——那么他肯定会在错误的道路上越走越远而徒劳无功,因为我们的初始字符串不仅根本没有文字意义,而且还混有数字……

      这依然还是小聪明,但我个人坚信,这样级别的口令,在甚至比较重要的论坛登录时都已经足够了。如果还嫌太短,那就重复3遍,变成18位好了。然后再加1或减1,幸福的是,17和19依然都是质数……

      我们已经解决了“太短”的问题,为了能够更上一层楼,解决“特殊符号”和“大小写切换”也就提上日程了。

      特殊符号,有人喜欢用下划线和@,我个人感觉,多按一次shift键比较麻烦,而且在我平时使用的搜狗输入法里,按了shift很容易就会导致“切换中英文输入”,容易误操作,类似的例子还有!、#、¥、%、(、)等等;

      其次,在各种特殊符号中,*和!不光麻烦而且有特殊意义,它和/、\、?、=、;一样,往往会被屏蔽;

      剩下的符号本来就不多了,而在中文和英文输入法状态中,逗号、句号还会有半角和全角问题;

      至于标准键盘右侧小键盘上的标点,使用笔记本时又不方便……

      所以,独家推荐一个简单的键。

      这个键,一没人屏蔽它,二不用按shift,三不存在全角半角问题,四存在于笔记本键盘上——简直就是专门为口令设置开发出的一个特殊字符啊——它就是伟大的减号-。顺便说一句,此为1001n的个人专利小窍门,呵呵……

      这减号大仙一出世,世界就不同了。将它和刚才的口令相结合,添在末尾,成为

      12位:w5rb4uw5rb4-

      14位:w5rb4uw5rb4uw-

      当然也可以添在别的位置,比如12位可以是w5rb4u-w5rb4,-w5rb4uw5rb4,都很好记。实践证明,在yahoo邮箱或hotmail邮箱设置口令时,没有这个伟大的-,安全强度只会是“中”;只要飘上这个小小的-,立刻变为“强”……

      对有追求的口令狂热爱好者来说,这还没完,我们还没搞大小写切换。对于12位来说,比如

      w5rb4uw5rb4-

      其实只要简单地把前一组字符串中的字母变成大写就够了:

      W5RB4Uw5rb4-

      想偷懒,就只改第一个,或最后一个字母:

      W5rb4uw5rb4- 或w5rb4uw5rB4-

      如果还嫌不够放心,那就再虚假地提升一次安全强度,办法是再次叠加初始字符串w5rb4u,然后减1。现在,我们可以来看看精心设置的新17位口令了:

      w5rb4uw5rB4-w5rb4

      减号不多,就1个。大写字母也不多,仍然是1个。初始字符串不长,还是那6位。但对一个完全不知道我们思路的陌生破解者来说,会不会累到吐血?……

      以上只是简单的思路,触类旁通的变化还有太多。比如重复时,叠加的是倒置的初始字符串;比如多用几个减号,花插着用(只要你自己能记住),如此等等。

      关键是,你要记的,其实只是w5rb4u这个字符串,和一个小小的减号,必要的时候再上“大写”……然后,无数简单的、复杂的口令就可以炮制出来了,日后想不起来的时候,只要还记得这个字符串,根据自己的记忆,试上几次也就能搞定了。

      下面,我们接着聊聊银行卡的口令,也就是ATM口令。它有点麻烦,因为它只接受数字……

      接【原创】【周末瞎聊天】也分享一下我的口令策略(下)  

    关键词(Tags): #口令#策略#密码

    本帖一共被 2 帖 引用 (帖内工具实现)
    • 家园 我喜欢

      用唐诗加特殊数字,

      够复杂又好记,

      经常换也不怕忘,

      还顺便背背唐诗,长点文化

    • 家园 俺的密码

      俺在公司电脑的密码,说实话,俺也没记住,公司要求的密码强度还挺高,一般的字母+数字不好使,加了大小写也不行,逼得俺没办法了,俺只好闭着眼睛输密码。

      开头六位雷打不动,大小写结合,后面4位,俺就shift + 键盘 右手标点符号从右往左,呵呵,到期了,换一行,循环往复。真要逼俺写出密码来,俺只能在键盘上试几把才知道,而且不同的输入法,还不一样。。。

    • 家园 我对特殊字符有偏爱

      因为打字的时候是双手放在键盘上的,这样即使旁边有人,我的左小拇指貌似漫不经心的放在SHIFT键上,左手掌的阴影已经覆盖了小拇指的动作。然后右手去按数字键,如果有人偷看的话,就会以为我输入的数字,而其实不是。而且我通常是输入至少连续6位特殊字符。。。。这个在用笔记本,又是公众场合的时候特别好。。。。。

      不过,突然想起我这个好像跟暴力破解不破解没什么关系。。

    • 家园 花有宝

      惊喜:所有在本帖先送花者得【通宝】一枚

      鲜花已经成功送出。

      此次送花为【有效送花赞扬,涨乐善、声望】

    • 家园 我的方法比较简单

      用中英文地址,比如我第一个公司的地址:

      changanStr1haO

      银行卡用第一个公司的电话号码的后六位,这个号码是十年前的,早就没人知道了

      最烦的公司机器,每两个月要换一次密码,而且不能和前面的重复、要有大小写,要有数字等等

      呵呵,我就顺着用各省会的名字,好比

      Haerbin2008,Shenyang2008,Changchun2008,。。。,

      这不到用到现在还没渡江呢。唉,按现在的经济形势看,肯定没等到俺用香港、海口,俺就挂掉了

    • 家园 学习了,花之!
    • 家园 设置密码时最需要的注意应该还是别让自己都想不起来

      丢了几个七位八位QQ后总结的,太简单又怕暴力破解,现在是三组主码加三组附加码 主码数字字母长一些,附加码各种符号,短一些,生日什么也无妨,反正还有附加码.两种都要好记点的,不用记录(以前也抄过,最后本子找不到了)所有的与密码有关的东西都用这些口令,时不时再重新组合换一下,万一哪天脑袋短路了,大不了试九次,

    • 家园 不怕贼偷就怕贼惦记

      真的被懂“暴力破解”的仇家盯上了,咋设置都不行... 被破解只是早晚的事情...

      所以还是少惹仇家为好...

      另一个就是别没事儿在网上到处sign up各种账户,还使用同一个账户名,还使用同一套密码 -- 更要命的是你的网上银行账户也用这个密码...

      其实就这么简单...

      或者就“以暴易暴”,来个64位真随机密码,强行记下... 你来破吧...

    • 家园 我的经历是这样

      原先最早最早腾讯QQ可以设置密码的位数没限制 后来要4-16位 当然我不知道现在怎么样了.

      我当时设置了-=\作为密码,只有3位,(正好是键盘上3个挨一起的键)~ 以至于暴力猜解都无从猜起,很多软件都是从4位猜起的~

      后来大脑短路把密码设置成了16位的...平常用自动登录...有次重装系统..TnT 然后俺就跟那个QQ说88了。。。。

    • 家园 我喜欢用一句文言文句子

      加上大小写,或者只用声韵母,另外加上特殊符号分隔,偶尔再用用数字谐音,觉得还是比较好记的

      比如环滁皆山也-》Huan#Ch^93-1,

      句子一长,跟现代文口语习惯有出入,像左传里的句子,跟现代汉语差太多了,还是比较难破译的吧

    • 家园 【原创】【周末瞎聊天】也分享一下我的口令策略(下)

        接【原创】【周末瞎聊天】也分享一下我的口令策略(上)

        就常识来看,因为ATM口令太简单而被猜中进而导致失窃的事件,还是很少见的。既然如此,下面我们就只是以一个纯粹的完美主义者的眼光,来看看常用ATM口令的安全风险吧。

        ATM口令的一大特点,就是变化可能太少:只有6位,不允许字母和符号,于是只剩下从000000到999999的1000000种可能;至于设置为4位口令的同志,自毁长城就不用提了。

        更大的问题,出在口令数字的选择。很自然的——我几乎可以打赌——绝对有一多半的人在使用跟生日相关的口令!

        这一点并不奇怪。那么,它的安全隐患在哪里?

        我们假设ATM口令是6位。很自然地,一般会设置为“年年月月日日”的格式,或者倒过来,成为“日日月月年年”。然后……

        首先,日期一定不会大于31,不会小于01,因此它的十位数已经被限制死了。这就是说,六位中有一位一定是0或者1或2或3。想想就不难明白,这一位的分布概率应该是

        它是0:01-09,约29%

        它是1:10-19,约32%

        它是2:20-29,约32%

        它是3:30-31,约6%

        根据常见的“年年月月日日”,或者“日日月月年年”,已经出事了——有超过90%的概率,第5位或者第1位是1、或2、或3!

        日期还好了,月份更是糟糕得多。分析过程大同小异,结论是:第3位有超过83%的可能,是0。剩下的17%,则是1,根本没有其它可能。

        看起来日期和月份的组合变化无穷,应该比年份更难猜,事实却是年份最不好猜,除非对方知道你的大概年纪,去用你、你父母、你的小孩的大概年份来试验。其中,最大可能的就是你本人的大概年纪(这同样包括了你的配偶的年龄段)。一般来说,出生年代的首位应该分布在5、6、7、8——没做过调查,但是持卡人中,这个年龄段貌似应占最大比例——如果用别人的年份,则既可能是父辈也可能是子辈(用爷爷辈年份的好像还没听说过)。即便如此,想一想也能明白,1和2这两个数字出现的可能性实在微乎其微,刨除以后,算8个可能吧。

        第1位或第5位,到底是日期还是年份,这是个问题。但是我们假设一个方向,比如“年年月月日日”的格式,然后排除掉不太可能的,本来六位数字该有的1000000种可能,最后还能剩下多少呢?

        (3、4、5、6、7、8、9、0)*年个位*(0、1)*月个位*(0、1、2、3)*日个位

        也就是 8*10*2*10*4*10=64000

        一百万种可能,一下就只剩下了6.4%。加上也很常见的“日日月月年年”,共128000种,也不到13%——这种上来就将口令变化度降至1/7的办法,实在是很不可靠啊。

        何况,这128000种变化也是唬人的,因为我们刚才算过,某些特殊数字出现的概率比较奇特。比如我们上文提到,有超过83%的把握,认为第3位数字就是0(按以上两个格式,月份都在中间,这个第3位不会变化),因此这128000种可能,也会立即变成“有超过83%的可能,实际只有64000种变化”,即(3、4、5、6、7、8、9、0),(年个位),0,(月个位),(0,1,2,3),(日个位)……

        这还只是第3位。根据上面算出的概率,我们甚至可以蒙一个最大可能的排列范围,这个范围肯定比64000还要小得多。

        当然也肯定有朋友会说,我的生日口令,就不是按这个顺序设置的(比如改成“年年日日月月”,“月月日日年年”,或者干脆全倒过来),因此你的计算数据结论意义不大啊——但我也敢跟您打赌,一定有不少人,甚至可能包括正在看这个帖子的某位同学,他正是如我所说那么设置的!

        对于试3次密码错误就退卡、10次就锁卡(是这样的么?记得如此)的ATM来说,即便是64000种变化,也相当够用了,我们也很少听说口令不安全导致卡上钱丢了的事。当然,钱没有丢的更重要的一个原因是,卡没在贼手里,而在您自己手里,贼压根没有试这10/64000的机会……

        生日是个问题,但就这么简单的口令,照样很多人在用。生日以外,常用的还有车牌、手机号、身份证号、门牌号乃至圆周率和自然底对数,有些凑不够6位,就连写两遍……这些都比生日要好,因为数位上没有那么多的限制。但是,如果贼是熟人呢,或者是不那么熟的某个“朋友”呢……

        总之,我们既然自认为是完美主义者,那么放着一百万种的潜力不去使用,而单单去钻那几万种甚至更少可能的牛角尖,同时还冒着自己财产安全的风险,无疑是令人沮丧的。真正解决的办法说穿了,就是自己随便手写6位数,尽量不要有规律(实在写不出来就在马路上连续记两个车牌的后三位),然后花三分钟,永远记牢它,其实“更安全一点”也就是这么简单。比如说,728435,连盯三分钟,几乎没有任何可能记不住……

        这三分钟也很值得,因为这个简单的6位数,直接跟您的钱包有关——还有比这个更值得的么?

      关键词(Tags): #口令#密码#策略

      本帖一共被 1 帖 引用 (帖内工具实现)
分页树展主题 · 全看 下页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河