[請益] 如何管理個人密碼?
發在這邊是想參考資訊人的想法。
我們知道密碼不應過於簡單、容易猜測:不該用生日、電話、常見的單字、人名等等。
安全的做法是用密碼產生器產生隨機不同大小寫的字母、數字、符號組合。
此外,網站被駭客入侵時有所聞,
為了避免因為一個網站的密碼外洩而影響到所有的密碼,
應該讓每個網站採用不同的密碼。
密碼產生器產生的密碼極其複雜,於是有人發明了密碼管理軟體,來幫忙記住各組密碼。
但是一旦我們把所有的密碼都放進同一套軟體,不就又將雞蛋丟進同一個籠子裡了嗎?
分享一個我自己採用多年的方法:token + pattern。
優點
1. 不必將雞蛋放進同一個籠子
2. 容易記憶
3. 每一個網站都不同
4. 較生日、電話等容易猜測的密碼安全
5. 快速方便地輸入密碼,不須透過額外軟體
缺點
1. 複雜度較密碼產生器產生的密碼低
2. 有被全盤破解的風險
Token 是一串自訂的密碼,例如 TAIPEI 的變形 T@iP31。
Pattern 是一種能套用到不同網站的規則。
例如取網路名稱的尾 2 字和頭 2 字:
產生的密碼要給 Google 使用就是 lego;給 Yahoo 就是 ooya。
如此一來在 Google 的密碼就會是 T@iP31lego,在 Yahoo 的密碼是 T@iP31ooya。
只要記 token 和 pattern 的規則即可,非常容易記憶。
Pattern 的制定可以更加複雜,像是加上「凱撒密碼」來混淆。
整體的組合也能再加以變化,像是改成 token 1 + pattern 1 + token 2 + pattern 2。
原文:http://bit.ly/1o6C0t7
--
http://changyuheng.github.io/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.141.116.155
※ 文章網址: http://www.ptt.cc/bbs/Soft_Job/M.1407169227.A.B1A.html
推
08/05 00:38, , 1F
08/05 00:38, 1F
推
08/05 01:07, , 2F
08/05 01:07, 2F
→
08/05 01:07, , 3F
08/05 01:07, 3F
→
08/05 01:25, , 4F
08/05 01:25, 4F
推!
推
08/05 07:56, , 5F
08/05 07:56, 5F
→
08/05 08:24, , 6F
08/05 08:24, 6F
您的帳戶不就是 qrtt1 嗎? @.@"
→
08/05 08:36, , 7F
08/05 08:36, 7F
→
08/05 08:37, , 8F
08/05 08:37, 8F
→
08/05 08:39, , 9F
08/05 08:39, 9F
→
08/05 08:39, , 10F
08/05 08:39, 10F
推
08/05 09:59, , 11F
08/05 09:59, 11F
推
08/05 11:34, , 12F
08/05 11:34, 12F
推
08/05 12:23, , 13F
08/05 12:23, 13F
→
08/05 12:23, , 14F
08/05 12:23, 14F
推
08/05 13:01, , 15F
08/05 13:01, 15F
→
08/05 13:01, , 16F
08/05 13:01, 16F
推
08/05 15:13, , 17F
08/05 15:13, 17F
推
08/05 15:23, , 18F
08/05 15:23, 18F
→
08/05 15:25, , 19F
08/05 15:25, 19F
推
08/05 17:13, , 20F
08/05 17:13, 20F
推
08/05 19:13, , 21F
08/05 19:13, 21F
推
08/05 19:39, , 22F
08/05 19:39, 22F
→
08/05 20:02, , 23F
08/05 20:02, 23F
→
08/05 22:23, , 24F
08/05 22:23, 24F
→
08/05 22:24, , 25F
08/05 22:24, 25F
→
08/05 22:24, , 26F
08/05 22:24, 26F
推
08/05 22:47, , 27F
08/05 22:47, 27F
推
08/06 02:07, , 28F
08/06 02:07, 28F
推
08/06 12:41, , 29F
08/06 12:41, 29F
→
08/06 12:41, , 30F
08/06 12:41, 30F
→
08/06 15:18, , 31F
08/06 15:18, 31F
我很認同每一個網站用不同的 ID,
這讓暴力破解需要的時間大幅提升。
其實我也有想過把 patter 的想法應用在 ID 上,
但不是每個網站都可以不公佈 ID,例如:PTT。
所以這個好辦法目前只能列為選項。
此外 reset password 的過程不一定安全,
通常都是寄重設連結的 URL 到 email,
但是 email 也是有外洩的風險。
經過愈多關卡,密碼外洩的機會就愈大。
但複雜度愈低的密碼被破解的機會也愈高,
而人腦能承受的複雜度當然不能跟電腦比。
如何取得相對安全且方便的密碼,
正是我想詢問的。
→
08/06 17:30, , 32F
08/06 17:30, 32F
→
08/06 17:31, , 33F
08/06 17:31, 33F
→
08/06 17:31, , 34F
08/06 17:31, 34F
→
08/06 17:32, , 35F
08/06 17:32, 35F
的確用不同的 ID 除了讓暴力破解成本增加,
也能在洩漏後讓別人不知道帳戶持有者是誰,更不容易連坐。
Q&A 我有聽,可以說和本篇異曲同工啊 XD
※ 編輯: changyuheng (61.220.220.235), 08/06/2014 18:31:44
→
08/06 22:27, , 36F
08/06 22:27, 36F
→
08/07 09:58, , 37F
08/07 09:58, 37F
推
08/08 00:20, , 38F
08/08 00:20, 38F