- 程序有所改变。发帖如还有问题请报告
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】分享一下我的密码策略 -- jet
发主贴攒人品,但是不知道发在哪个版面,版主帮忙识别一下吧。 ^_^
个人使用的密码,有几个需求,其中最重要的,就是安全,和方便(记忆和使用)。
这两个需求是对立的,所以需要才用不同级别的密码安全策略以满足不同情况的需要。在重要的场合使用高级复杂密码,非重要场合使用简单方便密码。
以下的这个策略是我一段时间的使用和修改的结果,对很多可能做了考虑,而且也应用了一段时间了,自认为安全度还是OK的,记录密码的文件不怕被偷窥和丢失,而且相对也不是特别的麻烦,另外也没有很多要记的东西。
首先我们要设置好三级到四级密码:
四级最复杂,用于需要高安全度的地方,有大小写字母数字和特殊符号和长度,用一句常用的话的拼音+英文混用,另外加替换和谐音象形,比如用@替换a,6替换b,o替换0还有#替换0。当然最好还是一句没有任何意义的码,死记记住。网上有密码生成器。google在注册gmail的时候也有一个东西可以评估密码的安全等级,可以凑合用一下。不建议用中文,因为不是所有的地方都有中文输入方式的。
三级次复杂,用于需要高安全度,但是密码策略又JJYY的地方,比如某些地方的密码策略不支持特殊字符,就用四级密码去掉特殊字符,四级都记住了,去掉了难度也不会忘
二级不太复杂,用于需要一点点安全的场合,有长度,有数字,大小写有没有随便,但是要有长度,一般14位到16位,用一句话的拼音或者英文,加几个数字
一级是白痴密码,就是几个乱字母,时常换,用于马甲和需要省事的时候,比如用马甲去一些去一次就不会再去的论坛,马甲丢了对自己的其他帐户也没有影响的地方。比如“陈水扁是贱人”“贱人是陈水扁” “陈水扁真贱”这类东西的拼音缩写。
其他密码:比如银行卡的密码之类,只能用数字,而且是四位或者六位的数字,这个只要不用888888 或者666666 或者123456 或者某一个人的生日 之类这种白痴密码就行了。建议使用几个人的生日凑在一次,比如mm1的出生年,mm2的出生月,mm3的出生日。。。
然后是组织方式:
在一个使用四级密码的地方(某个安全度可信的邮件服务商的邮箱,或者一个加密了的zip或者rar文件),维护一个列表,其中列出来重要的应用的名称和代号
对应每个应用,记录密码等级,而不是明码
比如:
网yin:四(不写网银,防止偷窥。不写“级密码”,如果此处被破解,黑客对“密码,password”之类的词肯定很敏感的)
重要邮箱:四(三)
公司内部邮箱:二(一)
××论坛1: 一
××论坛2: 一
松鼠: mm1姓名 mm2姓名 mm3姓名 (这里姓名还可以换成你给mm起的绰号) -_______________-!!!
(比如我的卡上面画了一只松鼠,不要写中行卡农行卡之类的)
松树: mm4绰号 mm5绰号 mm6绰号。
密码策略到此基本OK
===================华丽的分隔线=====================
另外很多论坛之类的地方都会要求提供密码提示问题,一般都是私人信息,比如母亲娘家的姓氏(对老外来说这算是隐私)
有两个策略:
1. 安全的,不担心泄露个人隐私的地方,比如:自己的电脑,公司内部不联外网的电脑。 使用真实信息。
2. 不希望泄露个人隐私,但是密码有怕忘的地方。比如:前面说过的去过一次就不一定再回头去的论坛。 使用无关信息
比如: 密码提示问题是 “陈水扁是贱人吗?” 答案是“达赖也是”
不过我个人更加倾向于密码提示问题用没有意义的问题,比如“1133663 ? ” 答案是 三个mm的生日数字组合,或者干脆10个1或者12个1(有几个1这里自己要记得),让无聊的人试去吧。试出来也不会泄露你的隐私和密码,因为密码一般都是发回某个邮箱,而不是直接显示。
================啰唆的分隔线====================
使用:
注册一个需要使用密码的地方的时候,首先自己评估一下这个地方需要密码的安全程度,选择相应等级的密码,注册成功以后记录到那个密码和应用列表里面。忘记了去查一下。如果需要更改就两边都改。
四级密码如果真的记不住,就写在纸条上藏起来,如果跟爹妈住得远,就干脆告诉爹妈,让他们写在纸条上藏在你小学的文具盒里面啊,之类的地方。毕竟四级密码是其他所有密码的钥匙,忘了就比较惨了。所以还是用原始的方式比较好,但是这一串码一定不能让闲人产生“这是密码”的联想。
比如,有一段时间我的信用卡密码(6位数字)就是写在我家(爹妈所在地)的挂历上面。 
本帖一共被 3 帖 引用 (帖内工具实现)
度,还是比较费劲得再记一下,俺研究完就去找个绝密打死也不说的邮箱试试去,但愿不再出错。如果这个邮箱密码和压缩软件密码再忘了,只能去死了,别拦着我,呜呜……
我这边很多小区出入的时候都依靠密码,有一些办公的地方,也需要依靠密码控制出入。不过有趣的是,无论小区里面有多少人,办公楼有多大,一律都是四位数字的密码。
当然了,几百个人的密码,直接猜对四位的密码也不这么容易,但是很多人实际上用非常简单的密码。比如1111,或者1234,或者4321之类的。我自己试过很多小区和办公楼,基本上知道这三个就可以畅通无阻了。
我去过很多客户的公司,
他们的winxp的系统密码很多就是@dmin 或者P@ssword 或者P@ssw0rd 这一类的东西
结果用电脑的一帮中年大姐都懒得记,直接写在n次贴上面贴屏幕上面。
相反用户名还比密码难猜一些,在国外混了几年才知道老外的名字不光是lucy lily kate john之类的 
最安全的还是winrar之类的本地文件,多存几个副本放电子邮箱的草稿箱里面,需要查的时候就下载下来看看,
加密的winrar压缩文件在rar里面打开的时候,在本地电脑是不保留副本的。
要是嫌麻烦就直接把那个密码提示文件放在草稿箱里面。用四级密码,gmail和hotmail安全性都没啥问题,毕竟没有黑客无聊到要去破解一个招牌就吓死人的IT企业的的邮箱以获得一大堆mm的名字绰号还有陈水扁是贱人这样的消息的。
^_^
对银行密码之类的安全性要求很高的时候,保存密码明文本身还是很不安全的。比较方便的是不记住密码本身,而是记住密码的生成算法。例如说我给人推荐过的算法就包括:根据银行卡号做分组取模运算、把自己熟悉的某个地址中所有的数字取出运算、把一组缩写通过手机数字键盘映射为数字等等。只要这些算法及其参加的元素不公开透露,那么基本上很难被猜测出来,而自己要记住,也并不困难,甚至可以做到定期更换。
而我自己的银行密码,则是在我的算法中,加入了一个密钥。这个密钥是我在申请第一张银行储蓄卡的时候,银行给我随机生成的密码。当然,这个算法和密钥,也没有写在任何地方,或者告诉任何人。
不过倒是很赞成对密码进行分级管理,例如说用于银行帐户的密码或者算法或者密钥,就决不应该在任何其他场合出现或者使用。
四级密码的字母数字符号组合,字母不管
数字中,选取常用的数字,比如电话号码,生日
实际输入的时候(比如PC上)按住Shift键输入。数字就会变成无意义的符号。
这样一方面好记,另一方面不会因为明文保存而发生泄漏(比如4位数字,前两位按shift,后两位不按,也可以隔一个用shift)。
此外还有一种BT的方法,标准键盘上找固定位置的几个键,按照上一下二左三右四...密码就出来了
比如1q2w#E$R
请教一下,密钥怎么插在密码中?我也用键盘去映射得出密码,要是加上密钥就安全多了。
mm1_year + mm2_month + mm3_day, 得到的还是一个生日, 其复杂程度与单独一个mm的 year + month + day 是一样的...
这个虽然是生日,但是这个生日的主人并不存在,也不是卡主的某个亲朋好友,所以在有限次的尝试中,理论上是不会被试出来的。
如果用自己,或者LD或者爹妈的生日,这个字典就太小了
本来送花是想感谢一下这个不错帖子
因为我也跟楼主差不多,经常忘记一些很重要但不是经常用的密码
这个帖子真的很有启发。
哼哼,没想到。。。竟然白学了手艺又捡到了宝贝。。。
今天 要不要去买一张宝串呢?
鲜花已经成功送出。
此次送花为【有效送花赞扬,涨乐善、声望】
你认识的人里面没有这天过生日的, 但是你不认识的人里面, 肯定有这天过生日的.
对于一个cracker来说, 这仍然是一个人的生日, 与其他人的生日没有什么两样.----除非这个cracker认识你.
最常见最简单的一种就是按位叠加取模。例如说123456叠加234567的结果是357913。