怎样设计靠谱的口令

注:本文转载自图灵社区-veldts

我们的数字化私生活暗藏一处软肋,有可能会泄漏你的所有秘密,那就是口令。不论采用OpenID这类单点登录方案,抑或各个账户设置不同的口令,你的账户安全都取决于口令的强度。

根据披露的部分数据来看,我们大部分人使用的口令脆弱不堪。某次MySpace钓鱼攻击套取了大约34,000个真实的用户名和口令,分析表明出现频率最高的口令是password1

(While we admire the stab at security — throwing a number in the mix — )如今,这套东西已经不管用了。下面就如何设计靠谱的口令给出了一些窍门。

口令宜长不宜短

有些网站会限制口令的最大长度,但是只要可能,尽量挑选你能记下来的最长口令。

别抱着字典不放

单词用作口令也许容易记,但是同样也容易遭受字典攻击。在字典攻击中,骇客会穷举字典里的每个单词作为口令登录你的账户,企图破解你的口令。你自己杜撰一个单词或随机组合字母和数字,可大幅降低口令遭破解的几率。

使用数字、大写字母和特殊字符

再强调一遍,口令的可读性越差,被人猜到的可能性就越小。口令里掺入一些卡通字符如@#$@$%#,就更难被猜到。

使用密码管理器管理网站口令

Mac上的1Password、Windows上的KeePass或Roboform等应用程序可以代为创建和管理口令。两者的主要特性在于它们能够针对网站生成随机口令。这意味着你可以使用非常长、完全随机的口令,而且不用劳神自己去记。惟一的缺点在于,使用多台电脑的话,你需要自行同步密码管理器。

利用键盘布局生成口令

想要一个最为安全的随机口令,但又记不住,怎么办?观察键盘,找一种模式。比如,从下往上键入b键那一列:bgt5,然后从上往下键入6键那一列:6yhn。中间再放一个自己造的单词,包括大写字母和若干符号,这下你的口令基本上没人猜得到(除非他们也读过这篇文章)。

使用句子

要是键盘布局也用不了,可以试试用一个短句。单词之间的空格用符号和数字替代。这种口令不太安全,但总好过“password1”。倒着键入句子的话,安全性会更胜一筹。

使用句子单词首字母

首先挑选一个句子,以“I don’t want to wait for access.”为例。然后设法缩短这个句子,比如只取用每个单词的首字母,并按读音将“to”变成2,按形状将“s”变成5,等等。结果上面的句子就会变成下面这个无章可循的口令:1dw2wfa,而且对你而言,也很容易记住。

另外,你也可以挑一句歌词,最好是那首歌不是你的菜或者是你唱不好的。当你看到网站登录或首页时,要过一阵才会想起那首歌。例如:1c1nm0ydAmp5tf2B&W,I can’t light no more of your darkness…!只是登录时可别哼唱那句歌词,要是让他们听到就麻烦了。

未雨绸缪

将来,不管在线还是离线,安全问题将越来越受关注。攻击者越来越老练,用户也不得不更加谨慎行事。电脑内置指纹读取器和视网膜扫描器会变得司空见惯。用浏览器登录网站时,网站会在继续处理之前要求操作系统扫描你的视网膜或读取指纹。

把水搅混

我喜欢在单词各个字母之间穿插数字,例如,相比bicycle123456,b1i2c3y4c5l6e更靠谱。

因地制宜

如果你不使用密码管理器但又想为多个账户设计安全且不一样的口令,不妨考虑掺入几个变量。首先,用上面的方法设计一个口令。然后设法用上账户相关服务的名称。在原始口令里挑选几个字符(比如第一、第六和第八个),并用服务名称里的字符(比如第一个元音字符,第三和最后一个字符)替换这些字符。
综上,假定你有一个基础口令“b@|1oonFe5tiva|”,并打算注册WIRED账户,最终设计出的口令是“i@|1ornde5tiva|”。采用这种方法,你只需要一个牢靠的基础单词,剩下的用一种算法就能全部搞定。即使其中一个口令遭破解,其他口令也仍旧相对安全,至少在你着手修改这些口令之前是这样的。

时刻警惕

要是将口令记在即时贴上或不幸落入钓鱼站点,即便用最好的藏密筒加密信息,也保证不了安全。而旨在操控人们套取其信息、口令等的所谓社会工程学无所不在。

 

收藏 评论

相关文章

可能感兴趣的话题



直接登录
跳到底部
返回顶部