V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chezs66
V2EX  ›  程序员

问大家 公司要求定期换密码 有什么好的新密码思路?

  •  
  •   chezs66 · 2016-09-18 09:34:34 +08:00 · 12359 次点击
    这是一个创建于 2973 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司要求密码强度较高,大小写、数字、字母、长度 8 以上,且不能与历史密码相似。

    用了几个密码后发现都与历史密码相似,不知道有啥好记又满足要求的密码,又不想用密码管理工具。

    谢谢大家了~

    第 1 条附言  ·  2016-09-18 10:21:23 +08:00
    问题补充:域账户密码
    第 2 条附言  ·  2016-09-18 12:34:47 +08:00
    大致总结一下我认为有用的方法:
    1. 固定字符串+计数 /月份 /etc.
    2. 键盘序列
    3. 诗句或者其他有意义的话的首字母

    特别感谢 @cchange 这个故事很有趣
    http://www.mifengtd.cn/articles/how-a-password-changed-my-life.html
    126 条回复    2016-09-19 13:57:40 +08:00
    1  2  
    wyntergreg
        1
    wyntergreg  
       2016-09-18 09:37:21 +08:00
    sxul07
        2
    sxul07  
       2016-09-18 09:38:30 +08:00   ❤️ 1
    能判断相似。。存了明码了么
    sun1991
        3
    sun1991  
       2016-09-18 09:38:40 +08:00
    正常密码后面加后缀 abcd1234 喽
    chezs66
        4
    chezs66  
    OP
       2016-09-18 09:41:58 +08:00
    @wyntergreg 这样生成的记不住啊。又不想用密码管理工具……
    chezs66
        5
    chezs66  
    OP
       2016-09-18 09:42:23 +08:00
    @sxul07 我不知道它怎么实现的。反正类似的不行……
    chezs66
        6
    chezs66  
    OP
       2016-09-18 09:42:47 +08:00
    @sun1991 这样下次 abcd1234 就成相似的部分了……
    muyunyan
        7
    muyunyan  
       2016-09-18 09:43:17 +08:00   ❤️ 3
    你原来的密码后面加个+1s 下次+2s 以此类推
    强度瞬间提升,还好记……
    raysonx
        8
    raysonx  
       2016-09-18 09:43:21 +08:00 via Android   ❤️ 3
    典型的非常愚蠢的密码策略,导致人人记不住自己的密码,只能把密码记在某处(最大的隐患)。
    wyntergreg
        9
    wyntergreg  
       2016-09-18 09:44:08 +08:00
    @chezs66 存手机备忘录里,备忘录用自己好记的密码加密,我就这么干的
    Kaiyuan
        10
    Kaiyuan  
       2016-09-18 09:44:11 +08:00 via Android   ❤️ 1
    输入常用数字密码时,间歇地按 Shift 键,当然不是按小键盘的数字。
    raysonx
        11
    raysonx  
       2016-09-18 09:45:00 +08:00 via Android
    @chezs66 如果有相似密码检查的话,说明服务器是明文保存密码的。大忌 。。。
    DXpro
        12
    DXpro  
       2016-09-18 09:46:18 +08:00
    固定前缀+该工具名字/域名+固定后缀(包含数字) 的组合。 每个都可以不一样
    wizardoz
        13
    wizardoz  
       2016-09-18 09:46:25 +08:00
    支付宝第三方登录
    zhaoxiting1997
        14
    zhaoxiting1997  
       2016-09-18 09:46:50 +08:00
    用原来的密码加日期 做一次 md5 ,取一定的位数
    ifoolish
        15
    ifoolish  
       2016-09-18 09:49:06 +08:00
    @raysonx 这么说 QQ 也...
    aluo1
        16
    aluo1  
       2016-09-18 09:49:56 +08:00
    1Password, 或者直接用 UUID
    catfish
        17
    catfish  
       2016-09-18 09:50:54 +08:00
    找一句话,然后用开头的第一字母,大小写按一定规律轮换。最后加个日期。

    今天天气真好
    jTtQzH18092016
    chezs66
        18
    chezs66  
    OP
       2016-09-18 09:52:22 +08:00
    @muyunyan +1s 有点膜(笑 cry )

    @raysonx 可能是对称加密吧

    @Kaiyuan 然后又要记住按 shift 的规律了。。。

    @DXpro 就算这种排列组合方式不算相似密码,又该怎么记住当前是那种排列呢?
    SourceMan
        19
    SourceMan  
       2016-09-18 09:52:52 +08:00
    1pass 随机
    正在逐步全部换成随机密码
    matrix67
        20
    matrix67  
       2016-09-18 09:53:41 +08:00 via Android
    专家呼吁,定期修改密码并不能提高安全性,逃
    kysida
        21
    kysida  
       2016-09-18 09:53:54 +08:00
    我一般写个生成随机数的小脚本,跑一下一个密码
    daocao
        22
    daocao  
       2016-09-18 09:54:42 +08:00
    固定前缀+该工具名字/域名+固定后缀(包含数字) 的组合。 每个都可以不一样

    找一句话,然后用开头的第一字母,大小写按一定规律轮换。最后加个日期。


    whxh912v2ex 我很喜欢 912V2ex

    whxh918dljyj 我很喜欢 918 东离剑游记
    abelyao
        23
    abelyao  
       2016-09-18 09:54:45 +08:00
    @sxul07 Google 也会判断,可以判断不代表是存明文,对比 hash 后的结果也可以判断出来
    gotounix
        24
    gotounix  
       2016-09-18 09:54:53 +08:00
    原来我公司也是,最近三次密码不能相同,然后每次改密码改三次……
    chezs66
        25
    chezs66  
    OP
       2016-09-18 09:54:54 +08:00
    @zhaoxiting1997 @aluo1
    这方法还得用密码管理工具啊


    @catfish
    这个方法似乎也不错
    kncx
        26
    kncx  
       2016-09-18 09:57:58 +08:00 via Android
    @muyunyan 这样会被查水表吗(手动斜眼)
    v9ox
        27
    v9ox  
       2016-09-18 09:58:41 +08:00
    @abelyao Google 判断的是相等,判断不了相似吧。
    sunhr
        28
    sunhr  
       2016-09-18 10:01:00 +08:00
    大小写+数字,最近三次不能相同,三个月必须更新一次

    于是,第一季度, TencentSB001

    第二季度, TencentSB002

    以此类推。。。
    wangchong
        29
    wangchong  
       2016-09-18 10:01:27 +08:00
    用密码生成器的话,估计开机得半天时间吧
    AvenirX
        30
    AvenirX  
       2016-09-18 10:07:53 +08:00 via iPhone
    你把你的密码 password01 md5 算一下当作密码 下次改成 password02 再 md5 算一下 以此类推?
    islandev
        31
    islandev  
       2016-09-18 10:08:54 +08:00
    商标加日期
    learnshare
        32
    learnshare  
       2016-09-18 10:09:50 +08:00
    LastPass 这种生成的密码完全没法记忆,用网页插件自动填写还好,要是用作开机密码,那要抓瞎了
    NacoJing
        33
    NacoJing  
       2016-09-18 10:11:31 +08:00 via iPhone   ❤️ 1
    第一组 1qaz@WSX
    第二组 3edc$RFV
    输入一次你就明白了
    tension
        34
    tension  
       2016-09-18 10:11:35 +08:00
    什么地方的密码呢?

    如果是开机密码,使用指纹是不是更好,如果是 Web 为什么企业不搞 Token 的那种随机?
    sniperhgy
        36
    sniperhgy  
       2016-09-18 10:14:00 +08:00
    用当前年份和月份生成密码,比如现在是 9 月,那么密码就是 2016SeP9 ,如果是十月,就 2016oCt0 ,这样,估计就不相似了,而且可以通过其他限制。
    yidinghe
        37
    yidinghe  
       2016-09-18 10:14:31 +08:00 via Android
    每个季度换密码,以年份季度作为前缀或后缀,例如 3.16 表示 2016 年 7 到 9 月使用的密码。
    mringg
        38
    mringg  
       2016-09-18 10:16:27 +08:00 via iPhone
    随便设置一个,之后用 pin 登陆
    vincentxue
        39
    vincentxue  
       2016-09-18 10:16:31 +08:00   ❤️ 1
    用 API 啊.

    strcpy(He11o, Wor1d);
    hyclew
        40
    hyclew  
       2016-09-18 10:16:56 +08:00
    看你们公司的密码规则允许么?
    我是用 3 段式密码,按 123,132,213,231,312,321 的顺序轮换。
    sryanyuan
        41
    sryanyuan  
       2016-09-18 10:17:24 +08:00
    1->2->3->...->0
    lxy
        42
    lxy  
       2016-09-18 10:19:52 +08:00
    明文序列递增,对应的 base64 做密码。满足大小写、数字、字母、长度要求。
    lwbjing
        43
    lwbjing  
       2016-09-18 10:21:39 +08:00
    @h3nng 学到了。。 first@aHundredMillion
    xhat
        44
    xhat  
       2016-09-18 10:21:47 +08:00
    @sxul07 @raysonx
    @v9ox hash 后也可以判断相似,算法不同而已。例如按位 hash 然后对比
    yanze0613
        45
    yanze0613  
       2016-09-18 10:22:24 +08:00
    之前解决这玩意的策略是,改密码月份的英文前 3 个字母+自定义
    yonka
        46
    yonka  
       2016-09-18 10:24:11 +08:00
    @sxul07 哈哈,暴露了公司的...行径
    Lucups
        47
    Lucups  
       2016-09-18 10:28:41 +08:00
    域账户密码也是开机密码,楼上那些 base64 加密的自己手动输入吗?

    楼主公司才要求 8 位,我们公司要求十位...😂
    我的策略是:

    abc123#AA!03
    abc123#BB!06
    abc123#CC!09
    ...

    要求每三个月更新一次,最后一个数字是修改的月份。
    dofine
        48
    dofine  
       2016-09-18 10:29:44 +08:00
    +1
    3 个月的别走,每次都是+1s
    megatron
        49
    megatron  
       2016-09-18 10:29:55 +08:00
    可以用古典密码方法(比如比较简单的替换;或者用机械密码方法),这样可以让简单容易记的语句,变得莫名其妙。也可以编自己熟悉的,例如我曾经的精神分裂的方法, wC09nYa3tqrzawsjotL55 ,我有一言请诸位静听 wyyyqzwjt ,之后插入反写氯沙坦,该药品不良反应高血钾症血清钾大于 5.5 。每次输入密码要想半天。
    Nitroethane
        50
    Nitroethane  
       2016-09-18 10:32:16 +08:00
    用 gpg 生成随机密码,然后再根据自己的喜好加以改造
    Rosicky
        51
    Rosicky  
       2016-09-18 10:32:38 +08:00
    md5/sha1(固定前缀+域名),浏览器安装个插件 https://addons.mozilla.org/zh-CN/firefox/addon/hashr/?src=search
    raysonx
        52
    raysonx  
       2016-09-18 10:36:18 +08:00
    @xhat 先不讨论你说的方式用来存储密码是否合适,我不认为楼主的公司会采用这么“高大上”的方式来验证密码相似性。
    scnace
        53
    scnace  
       2016-09-18 10:40:04 +08:00
    @muyunyan 花式膜(+1s
    hengxin196
        54
    hengxin196  
       2016-09-18 10:44:10 +08:00
    1password
    cchange
        55
    cchange  
       2016-09-18 10:44:41 +08:00   ❤️ 2
    eric227
        56
    eric227  
       2016-09-18 10:47:02 +08:00
    我都是拿一个小目标作为下个月的密码,每天登陆就会提醒...比如.......“挣他一个亿”
    jiang42
        57
    jiang42  
       2016-09-18 10:49:46 +08:00 via iPhone
    @eric227 66666666
    msputup
        58
    msputup  
       2016-09-18 10:51:35 +08:00
    按下 shift ,所有密码又可以用一遍。
    lgpqdwjh
        59
    lgpqdwjh  
       2016-09-18 10:56:42 +08:00
    abc@312
    abc@321
    abc@132
    nocoo
        60
    nocoo  
       2016-09-18 10:57:15 +08:00
    每次找一个认识但不会拼的单词作为新密码的一部分。这样 90 天就能强迫学会一个单词。
    killerv
        61
    killerv  
       2016-09-18 10:58:52 +08:00
    根据日期生成随机密码,比如日期+你的姓名的 md5 值,第一次出现的字母大写
    shenfu1991
        62
    shenfu1991  
       2016-09-18 10:59:37 +08:00
    看了楼上这么多,居然没有直接键盘位置连续字母,比如 qwerTYUI1234 , zxcvBNM1234 ,这样还不好记嘛???
    Jenna
        63
    Jenna  
       2016-09-18 11:00:36 +08:00 via iPhone
    真怀疑你跟我一个公司
    sansam
        64
    sansam  
       2016-09-18 11:08:41 +08:00
    +1*n
    fengxueshangu
        65
    fengxueshangu  
       2016-09-18 11:11:08 +08:00
    前缀+7410
    前缀+/8520
    前缀+*963.
    不要问我为什么这样,看小键盘
    PickUpBoy
        66
    PickUpBoy  
       2016-09-18 11:12:13 +08:00
    化学方程式 OK 不
    iamsdx
        67
    iamsdx  
       2016-09-18 11:13:42 +08:00
    备着 3 套来回换,一般来说公司不会做所有历史密码对比的,只会做近期的。
    sxul07
        68
    sxul07  
       2016-09-18 11:14:57 +08:00
    @xhat 按位 hash 跟明码有什么差。。。
    Sanpson
        69
    Sanpson  
       2016-09-18 11:19:20 +08:00
    真怀疑你跟我一个公司
    fengxueshangu
        70
    fengxueshangu  
       2016-09-18 11:20:00 +08:00   ❤️ 1
    @shenfu1991 还滑动解锁,紧跟潮流
    ThomasZ
        71
    ThomasZ  
       2016-09-18 11:21:21 +08:00
    英文词典啊,从 A 开始一个月用一个,一年下来你能记住 12 个长度超过八位的单词
    tankb52
        72
    tankb52  
       2016-09-18 11:23:54 +08:00
    多背几首诗歌吧
    滚滚长江东逝水,浪花淘尽英雄
    ggcjdss,lhtjys
    2GcjD2sLhtjys
    2GcjD@sLhtjy$

    学一首能用好久呢。
    fish
        73
    fish  
       2016-09-18 11:24:35 +08:00
    @NacoJing 这个可以有!!!赞
    watara
        74
    watara  
       2016-09-18 11:35:42 +08:00
    1password 大法好
    HPlus
        75
    HPlus  
       2016-09-18 11:41:25 +08:00 via iPhone
    自己想不出就靠别人 阔以试试这样
    找个每天都会更新每日一句的网站,把每日一句爬下来,加上自己的标识码等等,最后生成 md5 ,取 md5 其中第爬取每日一句所消耗秒数位到当前时间秒数的位数。得到了最后的一串字符串。然后异常处理是针对前面的值都设定一个默认值…
    tinyproxy
        76
    tinyproxy  
       2016-09-18 11:45:10 +08:00
    @楼上,相似度比较不一定要存明文,有个东西叫同态加密,文本相似度比较就用经典的编辑距离算法吧。
    google Homomorphic encryption edit distance 能得到一堆结果
    sutra
        77
    sutra  
       2016-09-18 11:51:23 +08:00
    一个固定的字符串+一个连续的数字。
    比如 Happy01, Happy02, Happy03...
    avichen
        78
    avichen  
       2016-09-18 11:52:51 +08:00
    按月份,键盘歇着按: 1 月份 1 一排+shift1 一排, 2 月份 2 一排+shift2 一排,依此类推
    cfans1993
        79
    cfans1993  
       2016-09-18 11:57:03 +08:00
    姓名首字线+,+日期+.+[如果需要,数字 0 补齐]
    例小明, 今天是 9 月 18 号
    生成 8 位密码: Xm,918.0
    生成 9 位密码: Xm,918.00
    chezs66
        80
    chezs66  
    OP
       2016-09-18 12:19:40 +08:00 via iPhone
    谢谢大家的回复!
    rosu
        81
    rosu  
       2016-09-18 12:22:20 +08:00
    曾经看过那物理方程、化学方程是当密码的...
    作为程序员...
    > PHP_shizuihaodeyuyan
    mrwangrj
        82
    mrwangrj  
       2016-09-18 12:28:19 +08:00   ❤️ 1
    每次让改的时候,我就改两次,原密码改成新密码,再改回去。。
    lijintaotzx
        83
    lijintaotzx  
       2016-09-18 12:31:46 +08:00
    正常密码+修改日期
    miao1007
        84
    miao1007  
       2016-09-18 12:38:14 +08:00 via Android
    原密码算出 base64
    hahiru
        85
    hahiru  
       2016-09-18 12:40:55 +08:00 via Android
    锄禾日当午 chrdW@20160919
    汗滴禾下土 hdhxT@20161019
    当然你也可以换成其他文章。。。
    Tony2ee
        86
    Tony2ee  
       2016-09-18 13:44:30 +08:00
    密码+日期吧 或者是密码+年龄(以月份计?)
    其实每次+1s 也不错
    21grams
        87
    21grams  
       2016-09-18 13:48:13 +08:00
    一本唐诗三百首可以用很久
    Baymaxbowen
        88
    Baymaxbowen  
       2016-09-18 13:53:21 +08:00 via Android
    3 , 5 , 7 , 11 , 13 类似的数字开方得出来的值选择前几位,再加上月份的英文简写,或者找数字换算成十六进制
    happywowwow
        89
    happywowwow  
       2016-09-18 13:58:14 +08:00
    找篇古文吧
    想了想 滕王阁序 就不错 是篇 骈文
    比如第一句 Yzgj,Hdxf.
    Ixizi
        90
    Ixizi  
       2016-09-18 14:28:59 +08:00
    v9ox
        91
    v9ox  
       2016-09-18 14:29:39 +08:00 via iPhone
    @xhat 如果是按位哈戏 那感觉和明文就一样了啊 如果有错误请指正

    不过上面有人回复的同态加密应该可以 但这样复杂度就太高了吧 哈系是映射到定长 同态的话 如果用户密码很长 岂不是效率也不好

    @tinyproxy
    Ixizi
        92
    Ixizi  
       2016-09-18 14:29:57 +08:00
    WodemimaNo.1
    WodemimaNo.2
    WodemimaNo.3
    WodemimaNo.....
    wxhm1120
        93
    wxhm1120  
       2016-09-18 14:38:12 +08:00
    我所有的密码都是一样的 只有 2 种密码 6 位的一种 以上的一种
    ragnaroks
        94
    ragnaroks  
       2016-09-18 14:50:26 +08:00
    到外面找个人让他退出 vi
    avrillavigne
        95
    avrillavigne  
       2016-09-18 14:51:22 +08:00
    我们还要求不能有公司相关商标信息~
    shoaly
        96
    shoaly  
       2016-09-18 15:13:33 +08:00
    @ragnaroks
    vi 这个例子很经典, 第一次碰到时直接打脸=> 心平气和之后, 静心去接触 => 发现我操 原来还可以这样 => 也是合理的
    wq2016
        97
    wq2016  
       2016-09-18 15:14:11 +08:00
    1password
    TomDu
        98
    TomDu  
       2016-09-18 15:59:48 +08:00
    一本书名加一串数字
    lifanxi
        99
    lifanxi  
       2016-09-18 16:09:46 +08:00
    Windows 域账户密码一般都可以连续改几次不同的密码,超出历史密录记录的限制后,再改回原来的密码吧?

    以前有同事写了个简单的脚本做这个事,密码到期了就自动改成随机密码,改三次后再改回原来的密码。有一次,他的脚本在改到第二个随机密码时 Crash 了……
    jason19659
        100
    jason19659  
       2016-09-18 16:22:29 +08:00
    2 个密码每次修改换另一个
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3431 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 04:42 · PVG 12:42 · LAX 20:42 · JFK 23:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.