如何設置密碼更安全

2020-04-09 19:44:25

字體：大中小

來源：轉載

供稿：網友

　　我們在網站上注冊用戶一般有兩種原因，一種是臨時性的，主要是為了下載或查看一些必須登錄才有相應權限的資源資訊。在這種注冊時，密碼可以是很簡單甚至固定的，同時用戶名有一個特定的標識前綴或后綴，以便很容易區分，所有該類用戶都可以用同一個密碼。同時，這類用戶名絕不發布包含個人重要信息或觀點或有意義內容的帖子(以避免你一個很久以前不經意的帖子被判“違法”——央視社會與法頻道前幾天報道一個新郎，兩年前為瀏覽一個成人頁面而發了一些成人圖片被判刑，婚禮泡湯。成人圖片的意思大家懂的，我就不解釋了)。當然，如果你擔心有人登錄你這樣的賬戶并發表一些不合適的內容(似乎想陷害你)，那你除了注意個人的身份信息外，可能還需要簡單改進一下密碼規則(見下面的技術)。

　　另一種注冊用戶的原因就是你真正想在上面呆，這樣的地方你肯定會發表有意義的內容和表達個人觀點(請遵守網站自身的相關規定)，并且一般情況下你的個人真實身份也可能會正常泄漏，所以密碼的安全性很重要。那么應該如何構造一個既安全，又容易記憶的密碼呢?

　　我是這樣做的：　　在我的人生中，有一些重要的人、事件、時間、地點……它們都各自可以用一個字符串表示，如日期“2013.11.11”、地點的拼音串 “zhonguoshenzhen”、生日“1989.09.01”(是的，用生日沒關系……)，它們都在我的心中，不會忘記也無需記憶。毫無疑問，這些字符串不能直接拿來做密碼，因為網站很可能明文記錄它們，這樣你心中的這些標識就泄漏得一干二凈了(很危險的事)。同時你還需要記住那個用戶名對應心中的哪個標識，如果你記性不好，可能把它記在紙上，而這也不安全!

　　那該如何做呢？　　其實無需記住哪個用戶名對應哪個密碼，也不用明明白白記在紙上。你需要做的是建立一個心中的映射：把心中的那些重要標識用一個易于聯想的單詞(甚至只是一個字母)對應起來，然后在紙上記錄這個聯想詞及其所屬帳號。所用聯想詞一般組合使用更好，如 A 代表你喜歡的一位 AV 明星的名字，B 代表你第一位暗戀者的生日(Best)，記在紙上的“BA”標識就代表那個生日加上另一個名字(～哈哈，莫要鄙視俺啊)。這樣，密碼被記在了紙上但依然安全。在你未來的一生中，你會注冊的網站會很多很多，遠遠超出你的想象～，so……隱私很重要!

　　記在紙上的密碼安全了，但網站那一端呢?如果登錄的網站被第三方不可抗拒的植入了 JS 鍵盤記錄代碼，或者網站本身就無法保護你留下的密碼呢?我們該如何面對?

　　答案是：　　在瀏覽器上裝一個 Hash 插件(MD5、SHA 等皆可)，在插件中輸入從聯想詞翻譯過來的密碼，Hash 出一個字符串(當然也可以多次執行，如先 MD5，然后再 Base64)作為最終在網站端使用的密碼。這樣做的安全性如下：

　　1. 在插件中輸入密碼，使得瀏覽器中目標網站的頁面即便被注入了 JS 代碼，但頁面中的 JS 代碼沒有能力獲得插件中的輸入;

　　2. 最終提交給網站的密碼串經過了 Hash 計算，這是一個不可逆的類隨機字符串，無論誰都無法知曉“你心中的那些永久標識”(PS：那些標識的數量是有限的，所以也是珍貴的);

　　3. 當然，瀏覽器和操作系統干凈是總前提，否則一切安全性面談;

　　總結一下：

　　1. 臨時賬戶用簡單密碼甚至固定，賬戶名具有一定特征，不發表有意義內容。如果擔心身份被盜用，密碼可以加一個 Hash 保護;

　　2. 建立一個“心中重要事物的標識”清單，用易于聯想的字詞對應。聯想詞作為準密碼記錄在紙上;

　　3. 在安全的瀏覽器上(如 chrome)安裝一個 Hash 類插件;

　　4. 真正注冊時使用的密碼是由聯想詞翻譯出來的標識串 + Hash 計算后的類隨機字符串;

　　安全性與適用性　　1. 不論網站頁面是否被強制注入 JS 盜取密碼(附帶說一句，這樣的盜取代碼很簡單)，也不論是否網站本身安全性就有問題，這樣做都可以保護你。

　　2. 因為最終用到網站上的密碼是使用 Hash 計算而來，不存在破解可能，你心中的那些重要標識不會被知曉，那么它們就可以永遠使用。如果需要修改密碼，調整一下聯想詞組合即可;