论文部分内容阅读
随着互联网无孔不入地侵入我们的生活,在日常生活中经常使用的网站也越来越多,其中,有相当一部分的网络应用需要用户账号才可以正常使用,而相应的每个账号上都要设置密码. 如果将大量的账号都设置为同一个密码,这无疑是带来了很高的密码泄露风险;但如果将每个账号单独设置密码,又会觉得数量繁多难以记忆. 那么,怎样才能安全设置大量的常用密码呢?
初级篇
——我的密码你别猜
首先要确定的是,任何密码都不可以采用弱密码来设置. 在密码外泄事件中,有关机构统计了国内与国外网民常用的一些弱密码,在日常使用中,这类密码十分容易用枚举法猜出来,比如我们遇到加密的WIFI密码时总会试图用一些弱密码去试试看,因此使用弱密码的安全性非常低. 另外,也不要使用自己的生日、电话号码,或者自己的姓名缩写来作为常用密码,对于熟悉你或者获取了你的一些基本信息的人来说,这类密码同样容易被破解.
那么要怎么设置一个符合安全标准的密码呢?可以采用一些基础的算法来对这些我们容易想到的字符段进行处理,以“ketangneiwai”为例,如果仅仅采用简单的拼音,那么这个密码很容易被猜到, 但若做一些简单的变换, 例如每相邻的两个字母交换位置, 此时密码变成了“ekatgnenwiia”,是不是就比较难猜到了?用这类方法我们也可以对一些纯数字密码,比如银行卡的密码进行变换,以生日型密码“980314”为例,将数字首尾颠倒,得到“413089”,再将第一位到第六位的数字分别加上1到6,取末尾数,得到“536435”,这就更难猜到了. 更为复杂的密码也可以进一步设置,例如将字母和数字结合起来变成“ekatgn536enwiia435”等等,或者加上大小写的变化,密码就会变得更加复杂. 你也可以设置一些只有你自己知道的简单规则来设计一个基础的密码.
优点:容易记忆;计算与变化规则简单;难以被其他人猜到;适用于手机、电脑、ATM等密码.
缺点:如果要设置多个不同的密码,规则容易混淆.
弱密码
据有关机构统计,国内网民常用的25个弱密码包括:000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314. 而国外网民常用的25个弱密码则是:password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football.
进阶篇
——不同的世界,不同的密码
如果我们使用相似用户名或相同密码,这无疑也是很危险的事情,万一某个网站的用户密码库被泄露了,有心人就可以利用用户名和密码顺藤摸瓜破解你全部的账号密码. 因此,在不同的网站设置不同的密码才是明智之举,即使其中之一失窃,对方也不会知晓你的其他密码.
在数学中有一个简单而奇妙的数论事实,即将两个较大的素数相乘比较容易,可是如果想要将这个乘积分解成原始的两个大素数,则非常困难. 而我们就可以利用这个特性来对每个网站制定难以破解的密码.
首先选择一个较短的英文字符串, 我们以“ktnw”为例,然后找到不同字母在字母表中对应的序号,将字符串变为数字“11201423”,然后找到第11201423个素数(请自觉查询素数表),即202340767. 这样就得到了我们需要的第一个大素数,以网站www.google.com和www.baidu.com为例,取“goo”为第二个字符串,变为数字“71515”,找到第71515个素数903389,然后和我们之前得到的202340767相乘,得到182792423159363,这个密码就是对网站www.google.com的专用密码. 而对另一个网站,取“bai”为字符串,变成数字“219”,找到第219个素数1367,得到乘积276599828489,就可以得到网站www.baidu.com的专属密码了. 当然这个方法得到的密码长度较长,你可以适当减少所取字符串的长度来控制最后得到的密码长度,也可以选择乘积结果的一部分,比如前8位作为密码使用.
优点:只需要记忆原始字符串对应的素数;即使知道了某个网站的密码也不会影响到其他网站密码的使用;安全性极高;可以锻炼数学与编程能力(比如算素数什么的).
缺点:每个网站都需要算一次才能知道密码,速度太慢,不适用于手机或者需要快速输入密码的场合;在纸上的计算记录可能被偷窥.
密码外泄事件
2011年12月,著名程序员社区CSDN网站的安全系统遭到黑客攻击, 600万用户的登录名、密码及邮箱遭到泄露. 随后,天涯、多玩等大型网站相继被曝用户数据遭泄密. 由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁.
2012年7月,国外著名云存储服务商Dropbox也遭受了密码集体泄露事件,一部分用户的账户名和密码在第三方网站公布,而被盗的账户中还包括含有用户邮箱地址项目文件的员工账户.
文艺篇
——这世间只有我做得到
“天下武功,唯快不破”,上述的方法是只要了解规则,人人都可以做得到的. 可是如果阁下您擅长奇门遁甲……不,擅长键盘类乐器甚至熟悉使用键盘模拟琴键,那么这里提供一个只有你才能使用的密码设置思路,那就是弹曲子!
试着想想看,此时你身后正站着一群七大姑八大姨兴致勃勃看着你输密码,而你从容不迫输入用户名:XXX_mondschein,然后以飞快的手速弹出《月光曲》的某一段作为密码,这时想必后面的看客只能仰天长叹了吧. 此方法变种甚多,越快的曲子越适合做密码,例如《野蜂飞舞》. 而乐曲通常比较长,任意截取熟悉的段落也可以让你有多种选择.
优点:基本完全杜绝被人偷窥获取密码的可能性;输入密码时间短、速度快;看起来非常高端洋气上档次.
缺点:密码往往比较长,且自己都不知道密码具体是什么. 万一若干年后手残了,也没法再回忆起那一大串没规律的字符了;如果在手机上使用,可能会非常困难.
终极使用篇
——好记好算又很快
首先是安全, 我们仍然以初级篇中的“ekatgn536enwiia435”和进阶篇中的www.google.com和www.baidu.com两个网站为例. 对任何网站设置密码时,先将“ekatgn536enwiia435”输一遍,此时光标在密码末尾,然后内心默念网站的主要域名,例如“google”,念一个字母光标往前移动一格,遇到元音的字母时则删去该密码,重复念直到光标移动到最前面为止. 这样的话,在www.google.com网站中,使用的密“ekatgn536enwiia435”就变为了“kan36wia5”,而在www.baidu.com 网站中,使用的密码“ekatgn536enwiia435”就变为了“ag3eia5”. 同进阶篇一样,这样的密码安全性很高,即使知道了一个或者几个网站的密码,也难以推断出其他网站使用的密码. 同时如果有人站在背后偷窥,也无法知道你是采用什么方式删除密码的. 如果想要安全性更高,可以采用更长的初始密码,并且利用不同的规则删除初始密码60%以上的字符,这样即使两个网站同时泄露,也没法知道原始密码与删除规则了.
优点:安全性高,适用于手机、电脑等多种场合;不怕被人偷窥;不会留下纸张、网页等计算密码的痕迹.
缺点:不适于ATM……
初级篇
——我的密码你别猜
首先要确定的是,任何密码都不可以采用弱密码来设置. 在密码外泄事件中,有关机构统计了国内与国外网民常用的一些弱密码,在日常使用中,这类密码十分容易用枚举法猜出来,比如我们遇到加密的WIFI密码时总会试图用一些弱密码去试试看,因此使用弱密码的安全性非常低. 另外,也不要使用自己的生日、电话号码,或者自己的姓名缩写来作为常用密码,对于熟悉你或者获取了你的一些基本信息的人来说,这类密码同样容易被破解.
那么要怎么设置一个符合安全标准的密码呢?可以采用一些基础的算法来对这些我们容易想到的字符段进行处理,以“ketangneiwai”为例,如果仅仅采用简单的拼音,那么这个密码很容易被猜到, 但若做一些简单的变换, 例如每相邻的两个字母交换位置, 此时密码变成了“ekatgnenwiia”,是不是就比较难猜到了?用这类方法我们也可以对一些纯数字密码,比如银行卡的密码进行变换,以生日型密码“980314”为例,将数字首尾颠倒,得到“413089”,再将第一位到第六位的数字分别加上1到6,取末尾数,得到“536435”,这就更难猜到了. 更为复杂的密码也可以进一步设置,例如将字母和数字结合起来变成“ekatgn536enwiia435”等等,或者加上大小写的变化,密码就会变得更加复杂. 你也可以设置一些只有你自己知道的简单规则来设计一个基础的密码.
优点:容易记忆;计算与变化规则简单;难以被其他人猜到;适用于手机、电脑、ATM等密码.
缺点:如果要设置多个不同的密码,规则容易混淆.
弱密码
据有关机构统计,国内网民常用的25个弱密码包括:000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314. 而国外网民常用的25个弱密码则是:password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football.
进阶篇
——不同的世界,不同的密码
如果我们使用相似用户名或相同密码,这无疑也是很危险的事情,万一某个网站的用户密码库被泄露了,有心人就可以利用用户名和密码顺藤摸瓜破解你全部的账号密码. 因此,在不同的网站设置不同的密码才是明智之举,即使其中之一失窃,对方也不会知晓你的其他密码.
在数学中有一个简单而奇妙的数论事实,即将两个较大的素数相乘比较容易,可是如果想要将这个乘积分解成原始的两个大素数,则非常困难. 而我们就可以利用这个特性来对每个网站制定难以破解的密码.
首先选择一个较短的英文字符串, 我们以“ktnw”为例,然后找到不同字母在字母表中对应的序号,将字符串变为数字“11201423”,然后找到第11201423个素数(请自觉查询素数表),即202340767. 这样就得到了我们需要的第一个大素数,以网站www.google.com和www.baidu.com为例,取“goo”为第二个字符串,变为数字“71515”,找到第71515个素数903389,然后和我们之前得到的202340767相乘,得到182792423159363,这个密码就是对网站www.google.com的专用密码. 而对另一个网站,取“bai”为字符串,变成数字“219”,找到第219个素数1367,得到乘积276599828489,就可以得到网站www.baidu.com的专属密码了. 当然这个方法得到的密码长度较长,你可以适当减少所取字符串的长度来控制最后得到的密码长度,也可以选择乘积结果的一部分,比如前8位作为密码使用.
优点:只需要记忆原始字符串对应的素数;即使知道了某个网站的密码也不会影响到其他网站密码的使用;安全性极高;可以锻炼数学与编程能力(比如算素数什么的).
缺点:每个网站都需要算一次才能知道密码,速度太慢,不适用于手机或者需要快速输入密码的场合;在纸上的计算记录可能被偷窥.
密码外泄事件
2011年12月,著名程序员社区CSDN网站的安全系统遭到黑客攻击, 600万用户的登录名、密码及邮箱遭到泄露. 随后,天涯、多玩等大型网站相继被曝用户数据遭泄密. 由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁.
2012年7月,国外著名云存储服务商Dropbox也遭受了密码集体泄露事件,一部分用户的账户名和密码在第三方网站公布,而被盗的账户中还包括含有用户邮箱地址项目文件的员工账户.
文艺篇
——这世间只有我做得到
“天下武功,唯快不破”,上述的方法是只要了解规则,人人都可以做得到的. 可是如果阁下您擅长奇门遁甲……不,擅长键盘类乐器甚至熟悉使用键盘模拟琴键,那么这里提供一个只有你才能使用的密码设置思路,那就是弹曲子!
试着想想看,此时你身后正站着一群七大姑八大姨兴致勃勃看着你输密码,而你从容不迫输入用户名:XXX_mondschein,然后以飞快的手速弹出《月光曲》的某一段作为密码,这时想必后面的看客只能仰天长叹了吧. 此方法变种甚多,越快的曲子越适合做密码,例如《野蜂飞舞》. 而乐曲通常比较长,任意截取熟悉的段落也可以让你有多种选择.
优点:基本完全杜绝被人偷窥获取密码的可能性;输入密码时间短、速度快;看起来非常高端洋气上档次.
缺点:密码往往比较长,且自己都不知道密码具体是什么. 万一若干年后手残了,也没法再回忆起那一大串没规律的字符了;如果在手机上使用,可能会非常困难.
终极使用篇
——好记好算又很快
首先是安全, 我们仍然以初级篇中的“ekatgn536enwiia435”和进阶篇中的www.google.com和www.baidu.com两个网站为例. 对任何网站设置密码时,先将“ekatgn536enwiia435”输一遍,此时光标在密码末尾,然后内心默念网站的主要域名,例如“google”,念一个字母光标往前移动一格,遇到元音的字母时则删去该密码,重复念直到光标移动到最前面为止. 这样的话,在www.google.com网站中,使用的密“ekatgn536enwiia435”就变为了“kan36wia5”,而在www.baidu.com 网站中,使用的密码“ekatgn536enwiia435”就变为了“ag3eia5”. 同进阶篇一样,这样的密码安全性很高,即使知道了一个或者几个网站的密码,也难以推断出其他网站使用的密码. 同时如果有人站在背后偷窥,也无法知道你是采用什么方式删除密码的. 如果想要安全性更高,可以采用更长的初始密码,并且利用不同的规则删除初始密码60%以上的字符,这样即使两个网站同时泄露,也没法知道原始密码与删除规则了.
优点:安全性高,适用于手机、电脑等多种场合;不怕被人偷窥;不会留下纸张、网页等计算密码的痕迹.
缺点:不适于ATM……