[請益] 如何管理個人密碼?

看板Soft_Job作者 (張昱珩)時間9年前 (2014/08/05 00:20), 9年前編輯推噓16(16022)
留言38則, 20人參與, 最新討論串1/1
發在這邊是想參考資訊人的想法。 我們知道密碼不應過於簡單、容易猜測:不該用生日、電話、常見的單字、人名等等。 安全的做法是用密碼產生器產生隨機不同大小寫的字母、數字、符號組合。 此外,網站被駭客入侵時有所聞, 為了避免因為一個網站的密碼外洩而影響到所有的密碼, 應該讓每個網站採用不同的密碼。 密碼產生器產生的密碼極其複雜,於是有人發明了密碼管理軟體,來幫忙記住各組密碼。 但是一旦我們把所有的密碼都放進同一套軟體,不就又將雞蛋丟進同一個籠子裡了嗎? 分享一個我自己採用多年的方法:token + pattern。 優點 1. 不必將雞蛋放進同一個籠子 2. 容易記憶 3. 每一個網站都不同 4. 較生日、電話等容易猜測的密碼安全 5. 快速方便地輸入密碼,不須透過額外軟體 缺點 1. 複雜度較密碼產生器產生的密碼低 2. 有被全盤破解的風險 Token 是一串自訂的密碼,例如 TAIPEI 的變形 T@iP31。 Pattern 是一種能套用到不同網站的規則。 例如取網路名稱的尾 2 字和頭 2 字: 產生的密碼要給 Google 使用就是 lego;給 Yahoo 就是 ooya。 如此一來在 Google 的密碼就會是 T@iP31lego,在 Yahoo 的密碼是 T@iP31ooya。 只要記 token 和 pattern 的規則即可,非常容易記憶。 Pattern 的制定可以更加複雜,像是加上「凱撒密碼」來混淆。 整體的組合也能再加以變化,像是改成 token 1 + pattern 1 + token 2 + pattern 2。 原文:http://bit.ly/1o6C0t7 -- http://changyuheng.github.io/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.141.116.155 ※ 文章網址: http://www.ptt.cc/bbs/Soft_Job/M.1407169227.A.B1A.html
08/05 00:38, , 1F
打個 1+2+3+4+5=15 就是 strong password 了, 科科...
08/05 00:38, 1F
08/05 01:07, , 2F
我會再加上含有時間的token 每次輸入密碼時比對現在時
08/05 01:07, 2F
08/05 01:07, , 3F
間就知道多久沒換密碼了
08/05 01:07, 3F
08/05 01:25, , 4F
08/05 01:25, 4F
推!
08/05 07:56, , 5F
打......Ab1就是strong password了. 這有甚麼難的? :P
08/05 07:56, 5F
08/05 08:24, , 6F
1. 帳戶要比密碼難猜 2. 不要記密碼,用 reset password
08/05 08:24, 6F
您的帳戶不就是 qrtt1 嗎? @.@"
08/05 08:36, , 7F
帳戶不需要用猜的吧...凡走過必留下痕跡.
08/05 08:36, 7F
08/05 08:37, , 8F
另外,個人密碼還是交給專門軟體來管比較方便,沒有的話,自己
08/05 08:37, 8F
08/05 08:39, , 9F
寫一個簡易密碼產生器+keychain也不會太難. 最不濟,用個檔案
08/05 08:39, 9F
08/05 08:39, , 10F
來記,檔名取奇怪一點也比用腦袋來管理好.
08/05 08:39, 10F
08/05 09:59, , 11F
1password
08/05 09:59, 11F
08/05 11:34, , 12F
用 Evernote 記密碼, 自己只記 Evernote 的 (假設它安全)
08/05 11:34, 12F
08/05 12:23, , 13F
我都用一個記事本記 裡面只寫第1字、中間的字、最後的字
08/05 12:23, 13F
08/05 12:23, , 14F
自己一看就能想起來 別人看到也不能拿來用
08/05 12:23, 14F
08/05 13:01, , 15F
我用這個套件 多加了一道hash:
08/05 13:01, 15F
08/05 13:01, , 16F
08/05 13:01, 16F
08/05 15:13, , 17F
08/05 15:13, 17F
08/05 15:23, , 18F
P@ssw0rd
08/05 15:23, 18F
08/05 15:25, , 19F
一般方便記憶,我會用主機板型號改大小寫加符號數字
08/05 15:25, 19F
08/05 17:13, , 20F
我也是這樣子 網站名稱+MAGIC NUMBER
08/05 17:13, 20F
08/05 19:13, , 21F
國字拼音轉密碼..
08/05 19:13, 21F
08/05 19:39, , 22F
在英數模式打注音輸入 比拼音更亂更好記
08/05 19:39, 22F
08/05 20:02, , 23F
我用KeePass在記
08/05 20:02, 23F
08/05 22:23, , 24F
文字檔記密碼 然後用tc加密 密碼則是找acg女角的中英文名
08/05 22:23, 24F
08/05 22:24, , 25F
拆解出來 英文略稱+中文輸入法拆解成英文(比較常用的)最後
08/05 22:24, 25F
08/05 22:24, , 26F
再加上特殊符號+數字或有的沒的XD
08/05 22:24, 26F
08/05 22:47, , 27F
用管理密碼軟體的,一旦被裝keylogger,不就去了了...
08/05 22:47, 27F
08/06 02:07, , 28F
@Ayukawayen,我也是用這招,但手機要用時就悲劇了
08/06 02:07, 28F
08/06 12:41, , 29F
有Android版啊 同一個Hash Function 手機和套件產生的
08/06 12:41, 29F
08/06 12:41, , 30F
是同一組密碼 所以兩邊可以通用
08/06 12:41, 30F
我很認同每一個網站用不同的 ID, 這讓暴力破解需要的時間大幅提升。 其實我也有想過把 patter 的想法應用在 ID 上, 但不是每個網站都可以不公佈 ID,例如:PTT。 所以這個好辦法目前只能列為選項。 此外 reset password 的過程不一定安全, 通常都是寄重設連結的 URL 到 email, 但是 email 也是有外洩的風險。 經過愈多關卡,密碼外洩的機會就愈大。 但複雜度愈低的密碼被破解的機會也愈高, 而人腦能承受的複雜度當然不能跟電腦比。 如何取得相對安全且方便的密碼, 正是我想詢問的。
08/06 17:30, , 32F
一般會被人看見的 id,需要保護的 id 分開取唄。也可以聽
08/06 17:30, 32F
08/06 17:31, , 33F
影片 QA 的部分,有建議怎麼把密碼弄長又比較好記。
08/06 17:31, 33F
08/06 17:31, , 34F
不過用不同 id,主要是讓別人不知道那個是誰,就不會用洩漏
08/06 17:31, 34F
08/06 17:32, , 35F
的密碼來另一個站 try 你的 id
08/06 17:32, 35F
的確用不同的 ID 除了讓暴力破解成本增加, 也能在洩漏後讓別人不知道帳戶持有者是誰,更不容易連坐。 Q&A 我有聽,可以說和本篇異曲同工啊 XD ※ 編輯: changyuheng (61.220.220.235), 08/06/2014 18:31:44
08/06 22:27, , 36F
看過一個很絕的密碼:BuHowGii -->不好記
08/06 22:27, 36F
08/07 09:58, , 37F
我 email 也有分功用另外申請耶 xd
08/07 09:58, 37F
08/08 00:20, , 38F
很多ID是用email,所以ID不同就不需要去考慮了
08/08 00:20, 38F
更多 changyuheng 的文章
文章代碼(AID): #1JtxBBiQ (Soft_Job)