V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qingfeng
V2EX  ›  程序员

密码设那么复杂真的管用吗?

  •  
  •   qingfeng · 2013-11-30 20:59:37 +08:00 · 4621 次点击
    这是一个创建于 3995 天前的主题,其中的信息可能已经有所发展或是发生改变。
    见过很多文章,还有网站提示用户设密码的时候尽可能复杂些。但是设复杂了真的就管用了吗。对于客户而言,木马、键盘记录器这些根本不需要暴力破解。对于服务器端而言,遇到CSDN、Adobe这样的被拖库的,密码设置的再复杂也没用啊。真正暴力尝试去登录服务器破解的行为其实很少,而且这种暴力破解对于服务器端来说很好防范。

    设置复杂的密码,主要是防范哪一类的破解行为?
    23 条回复    1970-01-01 08:00:00 +08:00
    the13matrix
        1
    the13matrix  
       2013-11-30 21:15:52 +08:00
    关键密码要复杂、唯一。比如:网银 / 服务器最高权限 等。
    别的密码,随意吧。复杂了反而容易忘掉。
    geeklian
        2
    geeklian  
       2013-11-30 21:24:44 +08:00
    因为有CSDN这样的站点
    >每个网站设置的密码不一样就很重要
    >>大脑能想出来的密码数量有限,记住也不现实。
    >>>结果就需要各种密码生成器
    >>>>密码生成器生成的密码自然会很复杂
    >>>>>反正也记不住,所以长度长点也无所谓...
    lvye
        3
    lvye  
       2013-11-30 21:26:51 +08:00
    除去CSDN这种奇葩用明文,设置复杂密码的意义在于:1.防止被登录爆破 2.在拖库的情况下,加大被暴力破解的难度。
    其实只要网站有心,为每个用户加不一样的salt,譬如用id,时间戳当salt,再做两次md5,难度就非常非常大了,如果用户密码狗复杂,拖库后被爆破出来的可能性很低了。
    不过国内这种不重视安全的环境,你只能尽量各个网站分一下级,用不同的密码。用lastpass或者1password这种随机密码会好很多。
    raincious
        4
    raincious  
       2013-11-30 21:29:10 +08:00 via Android
    @lvye 关于你提到的的md5 https://www.v2ex.com/t/90371
    chloerei
        5
    chloerei  
       2013-11-30 21:31:27 +08:00
    lvye
        6
    lvye  
       2013-11-30 22:04:00 +08:00
    @raincious 我只是打个比方,破解在于你的网站的账户值不值得,值不值得一个是本身账户的价值,还有就是破解的成本。
    绝大多数游戏厂商被拖库就是因为账号太值钱了,但是如果用户的密码足够复杂,厂商的密码系统设计得足够复杂,譬如还需要二步验证,u盾,那么获取的账号的成本就会无限放大。
    只是简单的md5加密几次,这个成本还是可以接受的,因为硬盘很便宜,制作彩虹表,买显卡破解,一百万左右就能破解非常复杂的密码了。
    但是每次游戏被刷库绝对不止这个价。
    geeklian
        7
    geeklian  
       2013-11-30 22:13:15 +08:00
    @lvye
    @raincious

    需要设置复杂密码的根本原因就是网站靠不住....

    你根本不知道对方是明文还是密文保存你的密码。
    bombless
        8
    bombless  
       2013-12-01 00:54:12 +08:00
    密码复杂应该是应对那些存储设备不给力的攻击者的……
    现在存储空间白菜价了,也不存在这个问题了……

    还有就是有一些密码可以通过收集你的个人信息得到,或者像123456那种可以碰运气猜出来。
    csslayer
        9
    csslayer  
       2013-12-01 01:20:12 +08:00
    garipan
        10
    garipan  
       2013-12-01 01:38:37 +08:00   ❤️ 1
    我觉得还是有必要的。因为提高任何一方面破解的难度,其实都是在增加你密码的安全性。

    我推荐试试flowerpassword这个小软件,结合网站名生成特殊长密码。
    pagecho
        11
    pagecho  
       2013-12-01 11:04:03 +08:00 via iPhone
    弱密码通常是网站的名字加两个伪随机数字,比如,让两个为随机数字是网站最后两个英文在二十六个字母中的排序或者中文笔画数量。这样很好记密码,永远不忘。
    garipan
        12
    garipan  
       2013-12-01 12:18:59 +08:00   ❤️ 1
    qingfeng
        13
    qingfeng  
    OP
       2013-12-01 13:45:54 +08:00
    @garipan 谢谢分享好文章
    LazyZhu
        14
    LazyZhu  
       2013-12-01 14:48:33 +08:00
    1. 不同地方使用不同的密码。优点是即使某处泄漏了,也不影响其他的;缺点是密码多了不容易记住,但可以借助密码管理软件,推荐免费开源的KeePass,一点也不比收费的差。
    2. 目前越来越多网站支持了两步验证,优点是更安全了;缺点是复杂化了,试想登录一个网站还得查看手机短信或查看邮件,而且各种网站的两步验证还有差别。
    3. 其他特殊的方式,比如支持密匙对验证的,像登录服务器这种尽量使用这种且关闭密码登录。

    我目前采用的是1+3
    zakokun
        15
    zakokun  
       2013-12-01 15:33:48 +08:00
    个人感觉复杂密码主要是防止熟人猜出啦或者被人用“眼睛”破解。还有就是多次尝试的方式破解
    princeofwales
        16
    princeofwales  
       2013-12-01 16:52:03 +08:00
    看来CSDN密码事件是IT人心中永远的痛
    bingowrt
        17
    bingowrt  
       2013-12-02 02:22:50 +08:00
    在脑中生成一个简单的函数
    输入比如注册站点的名字之类的东西
    用这个函数进行转化
    作为密码的一部分
    剩下的部分由公共部分(记在脑中的密码)组成
    进行组合。。。
    这是我的方法
    bingowrt
        18
    bingowrt  
       2013-12-02 02:23:39 +08:00
    缺点是每次输密码 得计算一下。。。
    lfzyx
        19
    lfzyx  
       2013-12-02 11:26:15 +08:00
    我是根据每个网站的域名脑补随机函数的,打个比方,v2ex的网站,我就在基础密码上添加f@3s,这样每个网站的密码都不一样了
    Vonex
        20
    Vonex  
       2013-12-02 17:42:45 +08:00
    大家上班都关门 就你不关,你说谁丢东西的几率大?
    大家都设置复杂的密码,就你是容易猜到的 你说谁帐号风险高?
    sanddudu
        21
    sanddudu  
       2013-12-02 18:18:02 +08:00
    @Vonex 这些都说的太绝对了
    密码相对于关门来说,关个门显然比记下来一个复杂的密码要简单的多。
    但是,密码是否难破解和是否好记这个天平永远不可能平衡,我们只能在网站或者应用本身加密靠谱的情况下讨论这个问题,要不然什么都白搭。
    每个人都有自己的需求,权衡一下利弊,运用适当的工具,形成适合自己的密码方案才是对的,这个问题本身没有绝对的回答,比如你手上有重要的资料,那就可以设置的复杂一点;如果你经常用,但是信息并不是十分重要的,可以设的好记一点。只要不是弱密码,都可以在考虑范围之内。
    jeb3b19
        22
    jeb3b19  
       2013-12-03 10:23:20 +08:00
    比e10adc3949ba59abbe56e057f20f883e管用
    hopestar86
        23
    hopestar86  
       2013-12-03 15:18:34 +08:00
    最重要的网银 支付登陆密码,唯一有点复杂自己记忆的
    重要但不涉及钱的,keepass随机密码
    一般的,从来都是123456
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5516 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:39 · PVG 09:39 · LAX 17:39 · JFK 20:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.