昨天对程序员最大的事情莫过于CSDN明文密码泄露了,600万的用户数据被泄露。使用明文密码,这实在有悖于程序员网站这个称号。
我的账号账号也中枪,今天下午豆瓣人人纷纷提示我的注册邮箱也在泄露名单内,只得不断的改密码。实在后悔自己早就看了密码分类那篇文章却懒得去弄。的确,SNS、博客、论坛、订阅工具、聊天工具各种都需要账号密码,在平常可能为了方便就用一个密码,到了出事了,才知道自己这样多么不安全。自己有幸读到陈浩前辈的文章,将不同安全需求度的密码分类,觉得挺好的。特此分享给网友。原文链接
生活中需要记住太多密码 在互联网上,需要我们输入用户名口令的地方实在是太多了,多得都让人记不过来了,N个电子邮件帐号,QQ, MSN,校内,开心,facebook,Blog,各种论坛,网银,淘宝,电子相册……,太多了,想想看,你要用多少用户名口令,相信很多人可能会这样做,用几乎一样的口令和用户名来申请所有的这些帐号,我估计这是大多数人的做法。当然,这样一来,你就需要保管好你的用户名和口令了,因为只要被破解了,就相当于你所有的帐号被破解了,这是多数恐怖的一件事情啊。你可能觉得别人破解你的口令很难,但我告诉你也许会非常容易,因为,如果你只使用一样的用户名和口令的话,也许某天,你注册了一个不知名的小网站,可能会意味着你所有的用户名和口令都被人获取了,要小心啊。
将密码分类管理 对我来说,我通常会有几组组帐号和密码,
一个帐号/密码是用于一些大的可以依赖的站点,如:MSN,gmail,linkedin,facebook,hotmail等,因为我相信这些站点应该可以足够信任不会出卖用户信息,也有足够的能力不会让用户信息和口令外泄。 一个帐号/密码用于一些国内的一些大的网站,如:QQ,开心,CSDN,Sina,网易,Blog,同学录等,因为这些站点必竟还受到国家的监管,以及其内部不良员工可能会倒卖我的信息,指不定什么时候我的用户信息就会外泄。 一个帐号/密码用于我的一些经济活动,如网银,淘宝,支付宝什么的。 最后一个帐号/密码用于登录那些必需要注册的破站点,一个最简单的用户名口令。 真烦啊。在这样的一个社会里,忘记密码绝对是一件最普通不过的事情了。就算是我这样的分组归类,同样需要超强的记忆力。不知道你会不会把你的密码写在某处呢?是啊,我也是想写啊,但那岂不是相当的危险,不丢则已,一丢就全丢了。
巧妙的设计方法 今天,在国外的某论坛里看到了这样的一个设计方法,好像很不错,分享给大家。
1)首先,先找一句你喜欢的话(你一辈子都记得的话),当然,只有你记得的,无论中英文,然后取各个单词或字的英文、拼音、五笔头一个字母。比如:ILike Long Complicated Passwords, They Confuse People,取头一个字母则成为了:illcptcp。中文的——“信春哥得永生”的五笔的第一个字母是:wdstyt。这个东西只有你自己知道,就算是别人看到明码,也很难马上记下来,是吧。
2)加上一些数字吧,比如你的生日,学号,电话,纪念日等。比如世界末日:2012年的12月21日(我们只取12月21日)。把这些数字加在断句的地方,于是得到这样的口令:illcp12tcp21 或是 wds12tyt21。
3)我们把第二步得到的口令叫基本口令。然后你可以在其前后(或是中间)加上站点的简称(用大写)。如:
gmail:GMillcp12tcp21 CSDN:CSwds12tyt21DN MSN:illcp12tcp21MSN QQ:Qwds12tyt21Q 4)改良。你可以在上述的第2)步,在输入数字时按着Shift键,于是,你可以得到更BT的口令:illcp!@tcp@! ,或是在第3)步聚的前缀和后缀间加上特殊字符,如:&, #,^等等。
相信这样的规则会让你的口令即不重复,又好记,而且又足够复杂。不然,你真的要去下载一个软件来记你的口令了。
在网络上看到群众的意见,觉得也不错
需要保密的密码,会采用“一句完整的英文句子,区分大小写,部分单词使用数字或缩写代替,允许的话,加上标点和空格”。例如:“ItIsAGoodDay2Die.”、“show.me.the.$$$!”等等。不需要保密的密码,比如论坛登录密码,一般就直接用“登录名@ 网站名”,比如“yea@coolshell.cn”,简单,好记。