為什麼這篇密碼產生器app鄉民發文收入到精華區:因為在密碼產生器app這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者changyuheng (張昱珩)看板Soft_Job標題[請益] 如何管理個人密碼?時間Tue...
發在這邊是想參考資訊人的想法。
我們知道密碼不應過於簡單、容易猜測:不該用生日、電話、常見的單字、人名等等。
安全的做法是用密碼產生器產生隨機不同大小寫的字母、數字、符號組合。
此外,網站被駭客入侵時有所聞,
為了避免因為一個網站的密碼外洩而影響到所有的密碼,
應該讓每個網站採用不同的密碼。
密碼產生器產生的密碼極其複雜,於是有人發明了密碼管理軟體,來幫忙記住各組密碼。
但是一旦我們把所有的密碼都放進同一套軟體,不就又將雞蛋丟進同一個籠子裡了嗎?
分享一個我自己採用多年的方法:token + pattern。
優點
1. 不必將雞蛋放進同一個籠子
2. 容易記憶
3. 每一個網站都不同
4. 較生日、電話等容易猜測的密碼安全
5. 快速方便地輸入密碼,不須透過額外軟體
缺點
1. 複雜度較密碼產生器產生的密碼低
2. 有被全盤破解的風險
Token 是一串自訂的密碼,例如 TAIPEI 的變形 T@iP31。
Pattern 是一種能套用到不同網站的規則。
例如取網路名稱的尾 2 字和頭 2 字:
產生的密碼要給 Google 使用就是 lego;給 Yahoo 就是 ooya。
如此一來在 Google 的密碼就會是 T@iP31lego,在 Yahoo 的密碼是 T@iP31ooya。
只要記 token 和 pattern 的規則即可,非常容易記憶。
Pattern 的制定可以更加複雜,像是加上「凱撒密碼」來混淆。
整體的組合也能再加以變化,像是改成 token 1 + pattern 1 + token 2 + pattern 2。
原文:http://bit.ly/1o6C0t7
--
http://changyuheng.github.io/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.141.116.155
※ 文章網址: http://www.ptt.cc/bbs/Soft_Job/M.1407169227.A.B1A.html
推 sedgewick:打個 1+2+3+4+5=15 就是 strong password 了, 科科... 08/05 00:38
推 csieflyman:我會再加上含有時間的token 每次輸入密碼時比對現在時 08/05 01:07
→ csieflyman:間就知道多久沒換密碼了 08/05 01:07
推!
推 leicheong:打......Ab1就是strong password了. 這有甚麼難的? :P 08/05 07:56
→ qrtt1:1. 帳戶要比密碼難猜 2. 不要記密碼,用 reset password 08/05 08:24
您的帳戶不就是 qrtt1 嗎? @.@"
→ atst2:帳戶不需要用猜的吧...凡走過必留下痕跡. 08/05 08:36
→ atst2:另外,個人密碼還是交給專門軟體來管比較方便,沒有的話,自己 08/05 08:37
→ atst2:寫一個簡易密碼產生器+keychain也不會太難. 最不濟,用個檔案 08/05 08:39
→ atst2:來記,檔名取奇怪一點也比用腦袋來管理好. 08/05 08:39
推 johnlinvc:1password 08/05 09:59
推 lovdkkkk:用 Evernote 記密碼, 自己只記 Evernote 的 (假設它安全) 08/05 11:34
推 v7q4:我都用一個記事本記 裡面只寫第1字、中間的字、最後的字 08/05 12:23
→ v7q4:自己一看就能想起來 別人看到也不能拿來用 08/05 12:23
推 Ayukawayen:我用這個套件 多加了一道hash: 08/05 13:01
推 jack0204:P@ssw0rd 08/05 15:23
→ jack0204:一般方便記憶,我會用主機板型號改大小寫加符號數字 08/05 15:25
推 gmoz:我也是這樣子 網站名稱+MAGIC NUMBER 08/05 17:13
推 jack0909:國字拼音轉密碼.. 08/05 19:13
推 Ayukawayen:在英數模式打注音輸入 比拼音更亂更好記 08/05 19:39
→ PTT007:我用KeePass在記 08/05 20:02
→ Bellkna:文字檔記密碼 然後用tc加密 密碼則是找acg女角的中英文名 08/05 22:23
→ Bellkna:拆解出來 英文略稱+中文輸入法拆解成英文(比較常用的)最後 08/05 22:24
→ Bellkna:再加上特殊符號+數字或有的沒的XD 08/05 22:24
推 mithuang:用管理密碼軟體的,一旦被裝keylogger,不就去了了... 08/05 22:47
推 jeta890119:@Ayukawayen,我也是用這招,但手機要用時就悲劇了 08/06 02:07
推 Ayukawayen:有Android版啊 同一個Hash Function 手機和套件產生的 08/06 12:41
→ Ayukawayen:是同一組密碼 所以兩邊可以通用 08/06 12:41
我很認同每一個網站用不同的 ID,
這讓暴力破解需要的時間大幅提升。
其實我也有想過把 patter 的想法應用在 ID 上,
但不是每個網站都可以不公佈 ID,例如:PTT。
所以這個好辦法目前只能列為選項。
此外 reset password 的過程不一定安全,
通常都是寄重設連結的 URL 到 email,
但是 email 也是有外洩的風險。
經過愈多關卡,密碼外洩的機會就愈大。
但複雜度愈低的密碼被破解的機會也愈高,
而人腦能承受的複雜度當然不能跟電腦比。
如何取得相對安全且方便的密碼,
正是我想詢問的。
→ qrtt1:一般會被人看見的 id,需要保護的 id 分開取唄。也可以聽 08/06 17:30
→ qrtt1:影片 QA 的部分,有建議怎麼把密碼弄長又比較好記。 08/06 17:31
→ qrtt1:不過用不同 id,主要是讓別人不知道那個是誰,就不會用洩漏 08/06 17:31
→ qrtt1:的密碼來另一個站 try 你的 id 08/06 17:32
的確用不同的 ID 除了讓暴力破解成本增加,
也能在洩漏後讓別人不知道帳戶持有者是誰,更不容易連坐。
Q&A 我有聽,可以說和本篇異曲同工啊 XD
※ 編輯: changyuheng (61.220.220.235), 08/06/2014 18:31:44
→ allenxxx:看過一個很絕的密碼:BuHowGii -->不好記 08/06 22:27
→ qrtt1:我 email 也有分功用另外申請耶 xd 08/07 09:58
推 norlan17m:很多ID是用email,所以ID不同就不需要去考慮了 08/08 00:20