V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sNullp
V2EX  ›  问与答

如何构造好键入又安全的密码?

  •  
  •   sNullp · 2014-05-15 08:36:34 +08:00 · 4823 次点击
    这是一个创建于 3846 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,好键入指的是包含单词、不是很长的数字和特殊字符的密码(不要求好记忆,主要目的是在移动终端上手打方便一些)。现在流行的密码生成软件生成的密码好像都很难手打
    50 条回复    2014-05-16 13:19:10 +08:00
    cxshun
        1
    cxshun  
       2014-05-15 08:56:15 +08:00
    我现在的密码都是直接网站名,例如豆瓣就直接douban+一个特殊符号+常用密码,这对大部分网站(国外基本OK,国内大部分OK)生效,但遇到小米,阿里系那种对个密码长度都限制的,就只能呵呵了,顺便一句TMD,那种安全要求高的反而不给弄长一点的密码,搞不懂为啥,密码长了我们密码是我们的事,有必要他们瞎操心吗。
    robbielj
        2
    robbielj  
       2014-05-15 08:56:28 +08:00   ❤️ 1
    diceware办法?
    大概就是记一串英文单词,用空格逗号什么的分隔开,只要足够长,就很安全了
    比如
    https://entima.net/diceware/
    multiple1902
        3
    multiple1902  
       2014-05-15 09:01:22 +08:00 via Android
    欢迎楼主选 08-534 Usable Privacy and Security
    http://cups.cs.cmu.edu/courses/ups-sp14/
    clino
        4
    clino  
       2014-05-15 09:01:52 +08:00
    我是用 keepassx 生成能发音的密码,会比较好记一些
    ksc010
        5
    ksc010  
       2014-05-15 09:34:35 +08:00
    @cxshun 百度的才蛋疼 最多14位 我大部分密码都是14位以上啊
    stoneyulay
        6
    stoneyulay  
       2014-05-15 09:42:19 +08:00
    @ksc010
    @cxshun 请问下限制了长度的怎么破!
    gastlygem
        7
    gastlygem  
       2014-05-15 09:45:13 +08:00
    @ksc010 百度貌似没有那个服务重要到非要设一个很安全的密码……
    sNullp
        8
    sNullp  
    OP
       2014-05-15 09:51:58 +08:00
    @clino 对就是“能发音的密码”之类的方便type的密码!
    ayang23
        9
    ayang23  
       2014-05-15 10:09:55 +08:00
    遇到天天脱裤,再安全的密码也是扯,楼主还是弄个简单密码,省心省力。个人信息能填假的尽量假,泄露也无所谓。
    clino
        10
    clino  
       2014-05-15 10:13:53 +08:00
    @sNullp 这种生成的基本上只有大小字母了,你可以自己加一下个把数字加强一下
    likuku
        11
    likuku  
       2014-05-15 10:26:13 +08:00
    推荐使用 pwgen
    yangqi
        12
    yangqi  
       2014-05-15 10:27:06 +08:00
    直接上lastpass, 现在支持手机端app自动填密码后更是无脑使用了
    zjuster
        13
    zjuster  
       2014-05-15 10:30:35 +08:00
    姓名缩写20网站名称14,例如zyw20sina14、zyw20baidu2014,适当配以大小写
    sNullp
        14
    sNullp  
    OP
       2014-05-15 10:40:26 +08:00
    @yangqi 总是有些地方不支持lastpass的
    yangqi
        15
    yangqi  
       2014-05-15 10:51:13 +08:00
    @sNullp 网页都是支持的啊,手机应用大部分也支持的. 偶尔不支持总比不安全和不方便要好
    sNullp
        16
    sNullp  
    OP
       2014-05-15 10:56:40 +08:00
    @yangqi 我主要就是经常需要有这种不支持的场景。。所以我才开帖问的。。
    revlis7
        17
    revlis7  
       2014-05-15 11:00:39 +08:00
    以前公司用诗词的拼音首字母做密码,又好记又够复杂

    两情若是长久时,又岂在朝朝暮暮
    lqrscjsyqzzzmm

    碰到带数字的可以
    2qrscjsyqzzzmm

    不过诗词背错就2了
    ksc010
        18
    ksc010  
       2014-05-15 11:14:13 +08:00
    @stoneyulay 没办法 只能记住 百度的是14位
    faceair
        19
    faceair  
       2014-05-15 11:17:14 +08:00
    vilic
        20
    vilic  
       2014-05-15 11:28:49 +08:00
    我是混合了两个人相遇的时间, 姓名, 生日等信息. 然后生日的数字可以转换成字母.
    jsonline
        21
    jsonline  
       2014-05-15 11:45:48 +08:00 via Android
    自己想一个算法,应用于产品的名称上。比如v2ex的密码是vnima2nimaex
    oott123
        22
    oott123  
       2014-05-15 11:48:14 +08:00 via Android   ❤️ 1
    @cxshun 被明文拖库了,然后针对性的社工,就麻烦了。
    人家一看你的密码前面有 douban 就会猜百度的是不是 baidu 呢~
    不过思路值得借鉴,比如把 douban 这种的网站域名变换一下,变成 double 或者 doubi 之类的╮(╯▽╰)╭
    skydiver
        23
    skydiver  
       2014-05-15 12:02:43 +08:00
    @oott123 一般人没有被针对性社工的价值。。一般都是批量扫,这种够了
    imxz
        24
    imxz  
       2014-05-15 12:33:42 +08:00
    对此,给出的建议是不要用单一的词组来作为密码主体,而是要以一个短句的变形来设计密码,并在其中使用数字、符号等混淆信息。我觉得这样非常有效,推荐给大家。

    举例来说,如果用户以“This little piggy went to market.”这句话为基础来设计密码,那么就可以设置成“tlpWENT2m”,这里面包含了大小写和数字两种混淆信息,并且前后字符之间没有明显的联系,且从字面来看只有设置者才能理解其中的意思,因此一般的算号器将很难猜中。这样无疑能非常好地保护密码信息。

    read more -->
    http://imxz.me/life/thought/how-to-protect-password.html
    fox
        25
    fox  
       2014-05-15 12:48:12 +08:00
    安卓手机+lastpass的话其实障碍很少了,自动一个月前lastpass支持填写后。
    saintw
        26
    saintw  
       2014-05-15 12:51:09 +08:00
    用花密给每个网站生成独立密码,1password 记录密码。

    花密的区分码,可以采用网站域名的变体。
    ShunYea
        27
    ShunYea  
       2014-05-15 13:18:36 +08:00 via Android
    天天到处泄露密码唉,真得好好研究下策略。
    cxshun
        28
    cxshun  
       2014-05-15 13:26:12 +08:00
    @oott123 那也是,被爆了就杯具了。所以一般不大重要的就直接一个密码了,如某度啥的,那种随便盗,爱怎样就怎样。但支付宝那些有多复杂设多复杂,只是坑爹的这货限制长度。我有用过keeppass,但又是国内的那些网站,不给粘贴,真是TMD,我生成的密码我还得一个个照着输,真想直接给那些产品经理就是一脚,回家养猪去吧。不给粘贴安全个鸟啊。
    Keng
        29
    Keng  
       2014-05-15 13:56:59 +08:00
    密码设复杂点,放在Gmail里怎样呢
    dong3580
        30
    dong3580  
       2014-05-15 13:58:19 +08:00
    @cxshun
    不给粘贴是个好事,因为你不知道下一个用你鼠标的人会不会是你。
    国内的那些安全高的都有自己的密码插件吧,装了个工行的插件,结果连我上x宝网站前面少输了w也提示你即将访问的是冒牌网站。汗。
    cxshun
        31
    cxshun  
       2014-05-15 14:53:54 +08:00
    @dong3580 这个理由是很好,但同样也把那些正常使用的用户搞死一大片了,用keepass那些生成的乱七八糟的密码,输着痛苦死啦。
    dong3580
        32
    dong3580  
       2014-05-15 15:11:01 +08:00
    @cxshun
    网站的条条框框都是为不是正常访问的孩子们准备的。
    例如:
    验证码是为了搞机器人的人;
    后台检测插件是为了防止有人玩键盘记录器的人;
    连前台的js都是为了防止有人乱输入各种非法字符的人准备。
    哈哈,耐心输吧,
    peartail
        33
    peartail  
       2014-05-15 15:19:02 +08:00
    1Password Mac + iOS, 本地 WIFI 同步,集成浏览器。

    现在已经不需要用脑袋记密码了。
    advancedxy
        34
    advancedxy  
       2014-05-15 16:52:34 +08:00
    1Password!
    Anme
        35
    Anme  
       2014-05-15 17:19:52 +08:00
    密码如需人工键入的话,感觉鱼和熊掌不可兼得。
    ShunYea
        36
    ShunYea  
       2014-05-15 17:38:47 +08:00 via Android
    @yangqi 手机端要付费啊,用不起
    ShunYea
        37
    ShunYea  
       2014-05-15 17:40:34 +08:00 via Android
    @advancedxy 这个好像要付费是吧?本地还是云?
    davidjqq19
        38
    davidjqq19  
       2014-05-15 18:07:58 +08:00
    我设密码的规则是:网站名称缩写按键盘布局对应的数字上的符号+固定字符串。
    Q,A,Z对应1上的符号"!",W,S,X对应2上的符号"@",以此类推……
    比如QQ密码就是,!!123456
    douban缩写为"db",密码就是,#%123456
    weibo缩写为"wb",密码就是,@%123456
    phyng
        39
    phyng  
       2014-05-15 18:11:48 +08:00
    我特别想分享自己创造的规则。。。可是分享了就不安全了 ╮(╯_╰)╭
    sNullp
        40
    sNullp  
    OP
       2014-05-15 18:19:45 +08:00
    @phyng 求分享个思路~
    ispinfx
        41
    ispinfx  
       2014-05-15 18:20:08 +08:00
    asdfghjkl;'

    每次一劃而過,甚有快感.

    以前習慣用另一個: /8520*963.-+

    每次輸都有刷卡一樣的快感,不過這個得在大鍵盤上.
    lyoe
        42
    lyoe  
       2014-05-15 19:19:03 +08:00
    yylzcom
        43
    yylzcom  
       2014-05-15 19:51:50 +08:00
    keepass生成,好久没有靠记忆输入密码了...不过有时候没有密码库是挺尴尬的
    Linxing
        44
    Linxing  
       2014-05-15 20:18:31 +08:00
    我一直都是自己的名字拼音跟下划线数字的组合,12位
    metrics
        45
    metrics  
       2014-05-15 22:44:33 +08:00
    1Password.
    piaoliu
        46
    piaoliu  
       2014-05-15 22:52:25 +08:00
    土豪可以入手1 Password
    WildCat
        47
    WildCat  
       2014-05-15 23:26:53 +08:00
    @gastlygem BAE!
    qian
        48
    qian  
       2014-05-16 00:15:44 +08:00
    1Password + Command-C + Keyboard Maestro (AppleScript) 任何场景都能一键注册一键填入不管 OS X 网页/桌面 app 还是 iOS
    cxshun
        50
    cxshun  
       2014-05-16 13:19:10 +08:00
    @dong3580 哈哈,那也是,但还是挺杯具的哈。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2696 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:51 · PVG 18:51 · LAX 02:51 · JFK 05:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.