创建无法破解的密码 - 密码的艺术是找到安全性和可用性
不可破解的密码
密码越长,破解越难。你应该考虑一个至少 12 位的密码;需要排除的字段:名字、地点,一切有可能出现在词典中的单词;混合起来:随机地改变大小写,打乱数字和拼写,改变单词的拼音。遵守这三条原则,能够让你的密码在面对即便是最优秀的黑客时都能显著地提升破解的难度,即便他们的破解策略已经强大到你无法理解。计算机安全专家 Bruce Schneier 给我们展示了目前的密码破解技术的发展程度:破解者可以使用不同的词典,比如英语单词、名字、外文单词、拼音模式等等作为密码根;两位数、日期、符号等等作为附属。破解过程还可以加入各种常见的字母符号替换,比如$换 s、@ 换 a、1 换 l,等等。这种破解策略能够很快破解全世界大约 2/3 的密码。如果你对于自己的密码的安全程度感兴趣,网上有不少在线的密码检测工具来检测安全性,比如 OnlineDomainTools 这个网站。这个网站能够为大家展示密码的安全性,通过各种破解方式大约需要的时间。四种方法助你创建一个无法破解的密码举出的随机密码尽管安全性极高,但使用中最大的问题在于——太难记了。如果你坐在电脑前,完全胡乱打出一排字符,的确破解者很难破解,但你也同样无法记住。那么,相对可行一点的解决方案就是用一个看起来稍微有一点随机性的密码,或者使用一段对于你自己有特定意义的字符,但破解软件在词典中从未见过的。Bruce Schineier 方法Bruce Schneier 早在 2008 年就提出了一种密码思路,直到今天他仍然推荐这个思路:找一个句子,然后将它转变为一个密码。这句话可以是任何一句话,可以对你个人来说好记,或者有特别的意义。从句子中把每一个单词找出来,然后将这些单词缩略为一个字母,然后通过独特的方式组合成为一段密码。我举个例子:WOO!TPwontSB——Woohoo! The Packers won the Super Bowl!PPupmoarT@O@tgs——Please pick up more Toasty O’s at the grocery store.1tubuupshhh…imj——I tuck button-up shirts into my jeansW?ow?imp::ohth3r——Where oh where is my pear? Oh, thereElectrum 钱包法如果你知道比特币,玩过比特币,或许你知道钱包的「密码」——地址,是怎样形成的。Electrum 是一个比特币钱包服务,能够为用户的比特币钱包地址,通过哈希机制转换为一个 12 个单词组成的助记码。比如下图这样的:这种助记码也叫做 Pass Phrase(密码短语),它为用户提供了一种在创建密码时的新思路:与其使用难记的随机字符串,不如用一堆没有组合意义的词拼出一个长句。首先,先写出 12 个随机的单词,或者哪怕写出一个稍微有意义的句子,只要这句话用搜索引擎搜不到即可,比如:Pantry duck cotton ballcap tissue airplane snore oar Christmas puddle log charisma。所以如果你把这 12 个词扔到测试机里,即便使用僵尸网络,也要花费大约 238378158171207 * 10 的 123 次方年才能够破解。PAO 法卡耐基梅隆大学的计算机科学家建议使用一种名为「人-动作-物品」(Person-Action-Object,PAO)的密码助记方法来创建和记忆高强度的密码。这个方法因为在 Joshua Foer 的著作《与爱因斯坦月球漫步》中被提到而获得了关注。PAO 法大概是这样的,我举个例子:找一个有趣的地方的一张照片(中关村)找一个你熟悉的人或名人的照片(刘强东)想象这个人在这个地方做的一件事。(刘强东在中关村卖电脑。Liu Qiangdong sells computers in ZhongGuanCun)卖电脑——sells computer——selcom完成了,现在你已经有了一个随机的 6 位密码,视你的密码要求决定,你可以再多设计 2-3 个场景,创建不同长度的密码。PAO 法的意义同样是创建随机密码,但方式新颖且好用的一点在于:人们对于图像的记忆比文字的记忆要深刻。发音和肌肉记忆法我已经自己研究出了一套生成随机密码的方法,个人也是非常喜欢这个方法。这个方法和发音以及肌肉记忆有关:随便找一个密码生成器生成至少 20 个至少 10 位长的密码,要至少包括数字和字母反复浏览这些生成的密码,找到一些和单词类似的发音结构,找到那些勉强能够发音出来的密码,而且能够大概写成短句的,比如drEnaba5Et(doctor enaba 5 E.T.)BragUtheB5(brag you the V5)将当中你认为你能够法印出来的密码敲到一个文本文档里。反复地敲,大概记下每个密码用键盘打出来的速度和容易程度。你需要找到最容易打出来的那个,因为这个最容易被你的手部肌肉熟悉,这个就是你的发音&肌肉记忆密码。最终,不论你使用哪种方法,你都要一个又一个地把你所有注册了的网站和服务的密码都换成这个。这是你逃避不掉的过程,但在这个过程中,你会逐渐熟悉这个密码,它既随机,又能够被你通过反复敲打键盘而记住。
注册一个密码管理工具最简单的方法就是找一个密码管理工具来管理密码,比如 LastPass 或者 1Password。密码管理工具的功能无非储存密码,不过也有一些能够帮你产生随机密码。也就是说你唯一需要记住的密码。其实就是这个密码管理工具的密码……而且很多优秀的密码管理工具能够和浏览器甚至是移动设备进行很好地融合,同时工具中存储的数据也是经过最高级的加密处理的。因此,在任何情况下我都会推荐你使用密码管理工具,无论你按照我刚才所说的密码产生方法做了,还是依然按照你自己的习惯使用密码,密码管理工具都是最方便的小伙伴——除了当你用了一台陌生的设备试图登陆的时候。专密专用,不要太过浪费记忆你可以在重要的网站服务上使用随机密码,比如微博、微信、Facebook、Twitter、Gmail、支付工具;其他一些不太重要的,比如不常登陆的网购服务、订餐软件什么的,用你常用的简单密码就好。
因地制宜所以,你可以仍然对于每个注册的网站服务都使用高随机性的独特密码,然后记住那些常用的网站的密码,把其他的密码留给密码管理工具。
页:
[1]