如何用生日做高强度密码&密码保护

之前在已经写过一篇:用生日做高强度密码 现做补充。

一、控制密码的长度

直接使用整体生日作为用户密码之一,假设生日为19880102这样密码已经至少8位数了。另外再补上你的姓名拼音大小写间隔,假设是张三ZhAnGsAn,如果你觉得太长可以取首字母大小写间隔Zs。这样你的所有网站的密码就有了固定的一部分19880102Zs

另外我们都知道微博上@一个人用的是符号“@”,这里同理也为你的密码加入一个特殊字符防止暴力破解(事实证明暴力破解纯数字密码是最快的,其次是数字字母组合,所以有必要加入一个特殊符号!),到这一步你的所有账户密码固定部分为@19880102Zs

二、控制各网站密码的不一致性

上面只是增加了密码的长度,但是你不能每个网站都使用同样的登录密码吧?关注过新闻的朋友应该知道早几年有很多大公司被脱库,而且最要命的是这些公司都是明文存储的密码,直接导致黑产利用这些账号(主要是登录名为邮箱/QQ号的)去用户邮箱及第三方网站尝试登录,如果所有密码一样这不就一锅端了么。那么如何让每个网站的密码都不一样呢。有个小方法,你看下登录网址的域名是什么假设是www.ranjuan.cn,那么你就取ranjuan的首字母及末尾字母拼接大小写“Rj”,假设网址是 www.baidu. ranjuan. com,那么你还是取出现在最后一个点“.”前面连续字符的第一个及最后一个字母拼接大小写“Bu”。永远只取顶级域名的首末位进行大小写拼接!这样你在www.ranjuan.cn的密码就是@19880102ZsRn;同理你在www.sina.com.cn的密码就是@19880102ZsSa

三、防止社交工程攻击

其实前面两步基本以及防止了 一定程度的社交工程攻击,防止社交工程攻击的主要方式还是自己控制好自己的嘴和手,不要透露生日、纪念日、偶像/对象信息。更不要把重要的密码账号直接记在记事本上。建议使用一个字符代号替换你的生日或有特殊意义的日期,比如固定为一个外国人的名字oubasang(欧巴桑),这样你在www.ranjuan.cn上的登录密码就变成了@oubasangZsSa 或者你拼接为@19880102ZsSaoubasang

四、密码的二次加密—-密码算法

不必使用很复杂的密码算法,使用凯撒密码算法即可(也叫变换加密),就是把密码的每一位字符往后偏移N位,假设偏移一位那么密码@oubasangZsSa就会变为@pvcbtbofAtTb。也就是Z变成A, a变成b, b变成c。这是最简单的,另外为了增加更多的破解难度,可以尝试使用别的偏移方式来,比如每3位按一个偏移周期变换,比如”123“表示第一个原始密码字符偏移1位,第二个原始密码字符偏移2位 ,第三个原始密码字符偏移3位 , 然后再一次循环,第4个原始密码字符偏移1位 …………一次类推。替换的偏移值千万不能忘记,如果实在怕忘记就统一设置为一个偏移位。

五、控制密码的强度(重要)

一旦你决定使用这种方式来作为密码生成方式,在规则设置好后一定要检查是否满足”大写 + 小写 + 数字 +特殊符号“,就我个人实际使用情况来讲,有些网站对你设置的密码强度不是强制性要求,但是有些网站要求必须要有“大写+小写+数字”如果你之前的生成规则里漏了大写,那么这些特殊网站你忘记密码后再按老办法去回想密码就不大可能了。为了规范统一,建立规则的时候就把所有组成项的考虑进去!

六、忘记复杂密码怎么办?

忘记密码当然就没办法了!现在不是都支持手机号登录么,那就用手机号找回密码呗。现在,你就打开微信–我–收藏 ,右上角的”+“号,记下一个笔记,把你的密码生成规则记录下来,选择一个适合你只有你懂的描述。

网站密码组成: 
(拼接)我最喜欢的特殊符号+我的外国友人+我的生日+网站登录域名+我的姓名大小写
(二次加密)将纯字母进行二次加密,加密密码(偏移N位)是我爸身份证倒数第二位

另外把这个描述再抄一份写在记事本上就好了。只要保证你的外国友人和密码偏移位不泄露,就算别人看到你的记事本也破解不了你的密码。

七、密码泄露与保护

很多时候往往不等别人破解我们的密码,我们就因为长时间没有登录某网站就忘记了密码!虽然上面的步骤可以提高密码强度,但是你永远不知道网络的攻击与陷阱有多少,强度再高的密码如果不注意泄露出去,别人都不需要花心思去破解密码直接用你泄露的密码就可以登录网站了。那么怎么保护密码呢?

1、尽量避免在公共电脑(含网吧)上直接输入账户密码进行登录,可以使用手机扫码登录。实在没办法需要登录的,建议使用软件盘+密码中间插值法。所谓密码中间插值法就是,假设你的密码是 mima123,使用软件盘输入的时候先输入mi123,然后把鼠标光标定位到mi后面,在输入ma。这种方式主要防键盘钩子类木马。也不要使用复制黏贴,粘贴板的内容页能被窃取。

2、如果你是自带笔记本,在公共场所比如星巴克链接了wifi,请禁止进行账号登录操作,更不建议手机连上后进行转账、付款等操作。如果有必要进行网页登录一定要看清是不是https开头的加密网站,启用https加密的网站你会在网站栏看到绿色的小锁,如果没有或者这个网站本身就没有使用ssl,那么你还是回家再操作吧。为什么一定要有https?主要是防止arp类欺骗攻击以及抓包攻击。http传输的密码会被直接明文窃取,哪怕有人http网站自作聪明进行了base64编码。

3、注意辨别伪装的假网址。www.apple.com与www。app1.com与www.support.apple.ops.com都是苹果的吗?不管是谁发的邮件记得去官网登录,尤其是苹果手机被盗的同志要注意,给你发你的苹果手机正在解锁,如非本人操作请立即锁定,然后给了个网址的这种千万别登录!别登录!另外如果是网站被挂马了,可能会出现高仿真登录页面,如果你使用正确密码登录会提示系统繁忙或请重试之类的信息,但是第二次登录又可以了,这时候你要注意了。

别忘了收藏或截图保存本文哦~

基于互联网精神,在注明出处的前提下本站文章可自由转载!

本文链接:https://ranjuan.cn/complex-birthday-password/

赞赏

微信赞赏支付宝赞赏

在php中redis的用途
虚拟机中centos局域网nat组网
pdo-namespace-error