这是一个创建于 4009 天前的主题,其中的信息可能已经有所发展或是发生改变。
见过很多文章,还有网站提示用户设密码的时候尽可能复杂些。但是设复杂了真的就管用了吗。对于客户而言,木马、键盘记录器这些根本不需要暴力破解。对于服务器端而言,遇到CSDN、Adobe这样的被拖库的,密码设置的再复杂也没用啊。真正暴力尝试去登录服务器破解的行为其实很少,而且这种暴力破解对于服务器端来说很好防范。
设置复杂的密码,主要是防范哪一类的破解行为?
设置复杂的密码,主要是防范哪一类的破解行为?
 |
1
the13matrix 2013-11-30 21:15:52 +08:00
关键密码要复杂、唯一。比如:网银 / 服务器最高权限 等。
别的密码,随意吧。复杂了反而容易忘掉。 |
 |
2
geeklian 2013-11-30 21:24:44 +08:00
因为有CSDN这样的站点
>每个网站设置的密码不一样就很重要 >>大脑能想出来的密码数量有限,记住也不现实。 >>>结果就需要各种密码生成器 >>>>密码生成器生成的密码自然会很复杂 >>>>>反正也记不住,所以长度长点也无所谓... |
 |
3
lvye 2013-11-30 21:26:51 +08:00
除去CSDN这种奇葩用明文,设置复杂密码的意义在于:1.防止被登录爆破 2.在拖库的情况下,加大被暴力破解的难度。
其实只要网站有心,为每个用户加不一样的salt,譬如用id,时间戳当salt,再做两次md5,难度就非常非常大了,如果用户密码狗复杂,拖库后被爆破出来的可能性很低了。 不过国内这种不重视安全的环境,你只能尽量各个网站分一下级,用不同的密码。用lastpass或者1password这种随机密码会好很多。 |
 |
4
raincious 2013-11-30 21:29:10 +08:00 via Android
@lvye 关于你提到的的md5 https://www.v2ex.com/t/90371
|
 |
5
chloerei 2013-11-30 21:31:27 +08:00
|
|
6
lvye 2013-11-30 22:04:00 +08:00
@raincious 我只是打个比方,破解在于你的网站的账户值不值得,值不值得一个是本身账户的价值,还有就是破解的成本。
绝大多数游戏厂商被拖库就是因为账号太值钱了,但是如果用户的密码足够复杂,厂商的密码系统设计得足够复杂,譬如还需要二步验证,u盾,那么获取的账号的成本就会无限放大。 只是简单的md5加密几次,这个成本还是可以接受的,因为硬盘很便宜,制作彩虹表,买显卡破解,一百万左右就能破解非常复杂的密码了。 但是每次游戏被刷库绝对不止这个价。 |
|
7
geeklian 2013-11-30 22:13:15 +08:00
|
 |
8
bombless 2013-12-01 00:54:12 +08:00
密码复杂应该是应对那些存储设备不给力的攻击者的……
现在存储空间白菜价了,也不存在这个问题了…… 还有就是有一些密码可以通过收集你的个人信息得到,或者像123456那种可以碰运气猜出来。 |
 |
9
csslayer 2013-12-01 01:20:12 +08:00
|
 |
10
garipan 2013-12-01 01:38:37 +08:00  1
我觉得还是有必要的。因为提高任何一方面破解的难度,其实都是在增加你密码的安全性。
我推荐试试flowerpassword这个小软件,结合网站名生成特殊长密码。 |
 |
11
pagecho 2013-12-01 11:04:03 +08:00 via iPhone
弱密码通常是网站的名字加两个伪随机数字,比如,让两个为随机数字是网站最后两个英文在二十六个字母中的排序或者中文笔画数量。这样很好记密码,永远不忘。
|
|
12
garipan 2013-12-01 12:18:59 +08:00 1
|
 |
14
LazyZhu 2013-12-01 14:48:33 +08:00
1. 不同地方使用不同的密码。优点是即使某处泄漏了,也不影响其他的;缺点是密码多了不容易记住,但可以借助密码管理软件,推荐免费开源的KeePass,一点也不比收费的差。
2. 目前越来越多网站支持了两步验证,优点是更安全了;缺点是复杂化了,试想登录一个网站还得查看手机短信或查看邮件,而且各种网站的两步验证还有差别。 3. 其他特殊的方式,比如支持密匙对验证的,像登录服务器这种尽量使用这种且关闭密码登录。 我目前采用的是1+3 |
 |
15
zakokun 2013-12-01 15:33:48 +08:00
个人感觉复杂密码主要是防止熟人猜出啦或者被人用“眼睛”破解。还有就是多次尝试的方式破解
|
 |
16
princeofwales 2013-12-01 16:52:03 +08:00
看来CSDN密码事件是IT人心中永远的痛
|
 |
17
bingowrt 2013-12-02 02:22:50 +08:00
在脑中生成一个简单的函数
输入比如注册站点的名字之类的东西 用这个函数进行转化 作为密码的一部分 剩下的部分由公共部分(记在脑中的密码)组成 进行组合。。。 这是我的方法 |
|
18
bingowrt 2013-12-02 02:23:39 +08:00
缺点是每次输密码 得计算一下。。。
|
 |
19
lfzyx 2013-12-02 11:26:15 +08:00
我是根据每个网站的域名脑补随机函数的,打个比方,v2ex的网站,我就在基础密码上添加f@3s,这样每个网站的密码都不一样了
|
 |
20
Vonex 2013-12-02 17:42:45 +08:00
大家上班都关门 就你不关,你说谁丢东西的几率大?
大家都设置复杂的密码,就你是容易猜到的 你说谁帐号风险高? |
 |
21
sanddudu 2013-12-02 18:18:02 +08:00
@Vonex 这些都说的太绝对了
密码相对于关门来说,关个门显然比记下来一个复杂的密码要简单的多。 但是,密码是否难破解和是否好记这个天平永远不可能平衡,我们只能在网站或者应用本身加密靠谱的情况下讨论这个问题,要不然什么都白搭。 每个人都有自己的需求,权衡一下利弊,运用适当的工具,形成适合自己的密码方案才是对的,这个问题本身没有绝对的回答,比如你手上有重要的资料,那就可以设置的复杂一点;如果你经常用,但是信息并不是十分重要的,可以设的好记一点。只要不是弱密码,都可以在考虑范围之内。 |
 |
22
jeb3b19 2013-12-03 10:23:20 +08:00
比e10adc3949ba59abbe56e057f20f883e管用
|
 |
23
hopestar86 2013-12-03 15:18:34 +08:00
最重要的网银 支付登陆密码,唯一有点复杂自己记忆的
重要但不涉及钱的,keepass随机密码 一般的,从来都是123456 |
Select Language