V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
lepture
V2EX  ›  分享创造

密码是件大事,谈谈密码保护

  •  
  •   lepture ·
    lepture · 2014-07-29 11:39:17 +08:00 · 5543 次点击
    这是一个创建于 3755 天前的主题,其中的信息可能已经有所发展或是发生改变。
    互联网从来就不是安全的,到处是陷阱是危险。用户的账户也从来就不是安全的,你完全无法想像有多少人是用 123456 作为密码的。

    http://eleme.io/blog/2014/design-your-password/
    31 条回复    2014-08-04 09:27:39 +08:00
    dong3580
        1
    dong3580  
       2014-07-29 11:51:39 +08:00
    猪一样的队友,再强的密码也没用。
    yangqi
        2
    yangqi  
       2014-07-29 11:52:20 +08:00
    对于用户来说, 一站一个随机密码才是王道!
    lepture
        3
    lepture  
    OP
       2014-07-29 12:04:42 +08:00
    @yangqi 是的。但是许多用户都不会这样,你真的无法想像有多少用户是用 123456 作密码的。
    limjoe
        4
    limjoe  
       2014-07-29 12:13:04 +08:00
    Keychain
    momo5269
        5
    momo5269  
       2014-07-29 12:15:24 +08:00
    累了 于是我现在用的ZnVja2hhY2tlcg==根据站点修改一下后缀 反正一般网站的数据没有偷的价值 只有重要的
    是原始码base64后加入随机码和固定编号
    momo5269
        6
    momo5269  
       2014-07-29 12:34:59 +08:00
    我这个账号唯一的密码泄露是tgbus被脱裤……然后md5对不上 不过因为是11年的库 QQ群里的就又脱了一次 太……
    shyrock
        7
    shyrock  
       2014-07-29 12:35:40 +08:00
    要高强度密码很简单,难题是怎么记住这些密码。。。而且要定期更换
    lepture
        8
    lepture  
    OP
       2014-07-29 13:12:04 +08:00
    @shyrock 其实最重要的是邮箱的密码,保护好这个密码,其它网站的密码都可以找回。
    Just1n
        9
    Just1n  
       2014-07-29 13:34:56 +08:00
    楼主加入eleme了呀?
    waterfront
        10
    waterfront  
       2014-07-29 13:38:08 +08:00 via Android
    123456有什么问题,各种强迫注册的网站不用这个密码用啥。
    ritksm
        11
    ritksm  
       2014-07-29 13:45:01 +08:00
    重要的东西还是得二次验证。就算123456也无所谓了。
    StackGao
        12
    StackGao  
       2014-07-29 13:54:15 +08:00
    按规律设定密码比如:

    v2hdhxtex --> v2汗滴禾下土ex
    PotatoBrother
        13
    PotatoBrother  
       2014-07-29 15:12:04 +08:00   ❤️ 1
    一直用 1Password 生成密码
    lepture
        14
    lepture  
    OP
       2014-07-29 15:29:42 +08:00
    @PotatoBrother 这不是针对用户的文章,这是一篇写给网站开发者的文章。

    @waterfront 问题是很多重要的网站,还是有很多用户在使用 123456。

    @Just1n yes
    KentY
        15
    KentY  
       2014-07-29 15:51:29 +08:00
    我用自己写的 https://github.com/sk1418/passwdmanager 来管理密码, 也可以生成密码. 用了2,3年了. 存了工作,私人, 网站, 银行账户等等2,300个密码/账户.

    跨平台, 通过dropbox同步自己用起来还比较方便.
    O21
        16
    O21  
       2014-07-29 15:56:27 +08:00
    @KentY 在阅读源码学习中。
    missdeer
        17
    missdeer  
       2014-07-29 15:59:26 +08:00
    @KentY 这么多账号密码。。
    KentY
        18
    KentY  
       2014-07-29 16:13:44 +08:00
    @missdeer 工作每个项目都有3-4个环境, 开发/测试/release candidate/生产 每个环境都有自己的server, db, 等等密码. 工作这么多年了, 项目很多.再加上公司的内部网, novell, vpn, proxy, 工时系统..... 光工作相关的就得有100多.
    PotatoBrother
        19
    PotatoBrother  
       2014-07-29 16:40:46 +08:00 via iPhone
    @lepture 嗯,毕竟用户防范意识再高,不负责任的网站没保护用户隐私意识也是白搭
    lepture
        20
    lepture  
    OP
       2014-07-29 16:50:25 +08:00
    @KentY 好厲害,2300 個密碼。
    KentY
        21
    KentY  
       2014-07-29 17:04:12 +08:00
    @lepture in 2,300 comma不是千位分割符, 请读做"or"
    xuchkang171
        22
    xuchkang171  
       2014-07-29 18:55:09 +08:00
    用花密的解决方案(https://code.google.com/p/flower-password/)
    密码代号存印象笔记备忘
    eary
        23
    eary  
       2014-07-29 21:54:27 +08:00
    Lasdpass随机密码
    benmaowang
        24
    benmaowang  
       2014-07-29 22:09:10 +08:00
    @KentY 那要是dropbox的密码忘了咋办?
    KentY
        25
    KentY  
       2014-07-29 23:05:17 +08:00
    @benmaowang

    首先, 这个软件不是必须通过dropbox同步, 只是为了方便. 其次访问dropbox的文件不是远程直接过去, dropbox都有本地的一份copy, 我们是访问这个copy, 所以加密的数据文件一直是可访问状态.

    有软件, 又有加密的数据文件, 就启动软件找到登记的dropbox,看密码就好了嘛.

    当然你要非说dropbox密码没在这个软件里添加, 那我就该问了 "谁让你不加进去的, 忘了活该" :D
    orancho
        26
    orancho  
       2014-07-30 03:25:24 +08:00 via iPhone
    pbkdf2大法好
    lazyphp
        27
    lazyphp  
       2014-07-30 09:19:24 +08:00
    我会说,身为开发。之前有一个同事,密码都随便起的。我做了各种防护措施,不抵他一个弱口令杀伤强。
    shyrock
        28
    shyrock  
       2014-07-31 11:38:41 +08:00
    @xuchkang171 页面不存在。。。
    JoyNeop
        29
    JoyNeop  
       2014-07-31 12:44:56 +08:00 via iPad
    密码复杂度正比于我对这个网站的重视程度且正比于我对这个网站被拖库的概率的预期的倒数,如果随便来个什么乱七八糟网站都得 12 位、大小写、特殊字符会是多伤脑筋。

    很多网站不能使我相信其安全程度却要求使用复杂密码真是自恋得很啊,知道你就只值 4 位数字密码么。
    xuchkang171
        30
    xuchkang171  
       2014-08-02 00:09:13 +08:00 via iPhone
    @shyrock 需翻墙。地址无误。
    DeclanZ
        31
    DeclanZ  
       2014-08-04 09:27:39 +08:00
    我一般记死5个档次的密码,

    最高, 高, 中, 低 , 无所谓

    分别对应不同的场景, 然后专门有个小纸条来记录每个站对应的密码档次, 比如
    V2EX -> 中

    (我才不会告诉你们这个小纸条其实放在github上呢....)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5341 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 07:39 · PVG 15:39 · LAX 23:39 · JFK 02:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.