所有网站的密码都一样,这样安全吗
这样显然不安全啦!分享一些我平时对密码强度选择、构造密码的方法以及有用的管理工具:密码强度的选择个人密码管理是一个强度分级处理的过程。借用密码学的知识来说,我们无法得到一个绝对安全的密码,但是对于相对的安全大致可以这样子表述:破解一则消息所需要的成本(计算机、人力、电能等等)远远超过这则信息本身的价值,那么我们认为这是相对安全的;或者破解一则消息(比如情报)所需要的时间,远远大于这则消息所需要保密的期限,我们也认为这是相对安全的。按照以上的思路,我们在选择密码的时候首先要考虑这个密码所保护的信息本身的价值。如果是与资本相关的,自然我得选一个强度高而且经常更换的密码;如果只是一个定外卖的网站,密码的强度其实也就无所谓啦。构造强密码的方法通常我会选择这种方法来构造密码,即首先选择一个英文单词作为密码,然后将英文单词中的部分字母替换,例如a用@替换,b用8替换等。当然,如果对于强度要求更高的密码,我们可以选择一些除了形似以外更复杂的替换方式,如对称的方式e用3替换,i用!替换,m用w替换。更多的替换方式自行脑补。使用一段时间后,这种属于你自己的替换方式就烂熟于心了。然后选取密码的时候便只需要记住对应的单词即可。安全有效的密码管理工具后来我发现了一个不错的密码管理工具(Best Password Manager, Free Form Filler, Secure eWallet),是国外的一个创业公司做的。所有保存的密码都是以对称加密的形式保存在云端,每次开机的时候需要输入一个管理密码(管理密码不会存在云端,所有理论上讲这个公司的员工也是无法获得你的任何密码),然后这个程序会从云端下载所有经过加密的密码并且用管理密码解密。除此之外,这个工具还提供了以下几个实用的功能:自动检测网页中的表单,自动填写自动生成强密码自动检测表单,提示保存当然,有人会问,如果这个管理密码泄露岂不是所有网站的密码都泄露了吗?其实不然,这个网站还是用多重的保护措施。如果是一台陌生的电脑尝试提取密码,这个工具会向注册的邮箱发一封信提供一个临时密码,只有同时利用管理密码和临时密码才能提取密码;当然,你也可以设置私人电脑为可信任的电脑,这样每次只需要管理密码就可以提取密码了。综上所述,要破解这个密码的要求是:1)同时破解这个网站的管理密码与注册邮箱的密码;2)拥有你私人电脑的同时破解管理密码。经过使用了这个密码管理工具后,我注册任意网站的时候只有让它自动生成一个强密码,包括我自己都不知道密码的具体内容;下一次登陆的时候它便会自动帮助我登陆。当然,银行卡、支付宝等与资金相关的密码我还是自己记在脑中,这个不管保存在哪都不是一件靠谱的事!
■网友
不安全。密码只有强度,是不够的。只用一种密码,更是不可取的。试想只要你的密码在一个你注册的网站泄露,密码就很可能被人用来登录你的邮箱,再从你的邮箱找到其他网站的激活邮件,又登录你的别的账号。这样的连锁反应,后果是很严重的。如果需要方便记忆又安全的密码,可以参考我的方法:先记住一串强密码,比如4pRte!ai@3 (不是字典的单词,除大小写字母、数字外还有标点)在不同站点,以类似基密码+标识符的形式创建密码,比如我以域名作为标识符,在注册时,我的密码就是4pRte!ai@3zhihu(你可不要真的去试啊~)。这样极大地提升了安全性。你也可以用别的方法生成标识符,这只是最简单的算法。
■网友
谢谢邀请。你的密码这样弄,我也不知道是否安全。呵呵。我只能分享下我自己对于密码是否安全的的看法:是否安全,是在于这套密码存放和输入的“环境”是否是安全的。我一般都是这样做的:比PC上,“不经常” 乱点、乱上一些网站(你懂的),电脑定期的杀毒,清理浏览记录;不要将密码和你的身份资料什么的放在一起,或者弄的相似,让人很容易获得;不在非个人电脑上进行与重要信息相关的密码的操作,如交易等;定期更换密码;没有绝对的安全,关键的是自己要养成一个好的浏览和登录习惯。
推荐阅读
- 北京至宁波新冠病毒感染者所有密接者首次检测均为阴性
- 宝马7系|可以说,这款数字化高尔夫,让人看到了未来大众所有车型的样子
- 假如把中国电信监测到的3亿人一个月每天上网的所有行为打个包,哪些数据应该被提出从这些数据能得到啥
- 如果把DNS从godaddy转到DNSPOD是不是所有的二级域名都要重新设置,然后等这个各个ISP的缓存重新解析啊
- 基因是主动表达还是受某种场的影响被动表达,又或两者都有有没有隔绝所有电磁场来研究基因表达的实验
- 为啥dropbox 分享占据所有分享人员的空间并让所有人拥有修改权限
- 是否该停止密码掩饰了
- 邻接表的占用空间为啥是m+n? 为啥鉴别所有edge是Θ(m+n)? 求大神指教
- 目前哪些门户网站的新闻质量相对较高
- 为啥iphone这样的手机不设置关机需要密码