互联网时代的密码记忆模型

JerryXia 发表于 , 阅读 (1,091)

前几天写了一篇相关文章:《互联网安全的黑暗森林法则》,还有去年没写完的系列:《我心目中的互联网帐号系统 --【一】体系建设》,Σ( ° △ °|||)︴,而这篇文章要讨论的主题的是:建立自己安全可靠好记的网络密码体系,我会分享一些个人密码安全设置策略建议与技巧

无论如何,在互联网越来越强大的今天,帐号的安全性越来越重要了!如果别人有了你的帐号密码,你可能损失的不仅仅金钱!所以,即便很麻烦,有效组织好自己的安全的密码体系也是相当有必要的,它能帮助你免受很多未知的威胁和损失,而最近网易邮箱和之前 CSDN等大规模的账户密码泄露事件也给人们敲响了警钟,希望大家都留个心眼。

不要使用相同的密码

在现实生活中,我们都会选择不同的门用不同的钥匙开启,谁都不希望自己的家门、车门、公司门、宿舍门、所有的抽屉、甚至是保险箱都用同一把钥匙吧?因为如果这把 “万能钥匙” 一旦丢失,损失将会非常惨重!然而,在网络上,大多数人却贪图方便,一直使用 “万能钥匙” 的密码策略——几乎所有场合都设置成同一个密码,安全隐患极为巨大!

因为这样,无论你将密码设置得多么的复杂,只要有一个网站出事泄露出来,你几乎所有注册过的网站和服务都会全部沦陷。骇客们一扫描,很快就发现这个帐号密码组合能用于多个网站,人家肯定愉快地拿着你的帐号想尽办法“善加利用”了,这危险完全可以想象得到。

因此,绝对不要将所有网站设置成同一密码可以说是账户安全中的最重要也是最基本的原则!只有使用不同的密码,你其他的账户才不会受到连累。不过,很多人也觉得,为每个网站每个账户都设置一个不同的密码好像不太现实,毕竟会大大增加记忆的负担。其实,我们可以利用一些密码设置技巧来帮助你记忆的,下面会提到。

怎样的密码才够安全并难以破解?

根据墨菲定律,你要相信无论你的哪个密码总有泄露的那天,那么泄露的密码如何不危害到其他的帐号呢?换句话说,你那么多密码,如何避免:「密码A」可以轻易推导出「密码B」。

我们应该设置难以被猜解的密码,设置一个高强度好密码的原则:

  • 密码长度尽量设置为8位或以上
  • 使用英文+数字且包含英文大小写,如果网站允许,请务必尽可能加上特殊符号 (如 !@#$%^ 等)!!!
  • 密码没有明显的规则和组成规律
  • 好的密码是自己能轻易记住,但别人看起来是毫无意义的乱码 (防止被别人轻易记住)

优秀密码生成技巧:要够复杂够安全,还必须好记,还不能都一样!

一个优秀靠谱的密码譬如这个:$bNZdz0!5hIxa#Po,它既包含了8位以上英文大小写+数字+符号,符合上面说到的安全要点,没有明显的组成规律,对他人看来毫无意义,只不过是一组无厘头的奇葩字符串!

但是你那么多密码,如果互相都无法推导的话,那这个记忆复杂度就非常之高了,怎么办?那么多密码需要记住!最简单传统的做法:拿一张白纸,把所有密码都写下来,然后找个最靠谱的地方保管好这张纸!

但是这绝不是个很有安全感的密码记忆模型,真正的安全感是被自己的大脑记忆,是仅属于自己的牢固记忆。如果我们全部的密码都遵循一套 “由自己制定且只有自己知道的密码生成规则”,那么记忆起来就容易得多了。

设定容易记忆且足够复杂的密码的方法技巧

我们举个简单的例子,首先选取一个用于记忆的基础密码 (称为记忆密码),然后根据网站名称的不同,为记忆密码套用如下的规则:「网站名前两字母的大写和小写 + 记忆密码 + 网站名后两字母的小写」。

譬如,我的基础记忆密码是:Gqk94gsg!,亚马逊的名称为Amazon (前两字母为Am,后两字母为on),那么生成的密码就应该是AmGqk94gsg!on、苹果帐号Apple的密码就是ApGqk94gsg!le、京东网站jd.com的密码就是JdGqk94gsg!jd,以此类推......然后,我们还可以适当加一些符号来将密码包围起来,比如亚马逊最终的密码是这样:^AmGqk94gsg!on$

不夸张地说,只要你不把这规则告诉他人,这种密码就算被有心人偷瞄几眼,基本他也不会记得住,而根据测试,暴力破解也起码要3千9百万年!想破解想偷窥?妈妈再也不用担心我的密码被盗啦!

当然,有人会有疑问为什么我要把这个规则设置得这么奇葩?简单点用记忆密码+网站名缩写不就好了吗?你想想看,如果某人百度账号的密码甚至为abcd123_baidu,那么请问他的谷歌密码是多少?如果规则简单到别人一看就能猜出来,你的密码策略就没有安全可言了,不是吗?

看到这里你可能会说:道理我都懂,规则可以奇葩,但上面的记忆密码Gqk94gsg!也太难记了吧?OK,如果我告诉你这个密码是取自于顾乾坤就是个帅哥!的拼音头字母+数字谐音顾(G)乾(q)坤(k)就(9)是(4)个(g)帅(s)哥(g)!,你还觉得难记吗?

到此,只要你能制定好一个自己私人的密码生成规则,并且确立一个足够强度但又易记的记忆密码之后,你就可以轻松地实现安全的密码策略了,而且还不会给记忆造成负担。

然后,一些垃圾服务网站,你本来就不常用的,被黑就被黑也无所谓的那种,那么密码随意,就不用去占用你的这个记忆模型的信息量了。这里介绍俩个工具:

添加新评论