这个密码的想法会安全吗?

信息安全 密码
2021-08-23 14:31:55

今天早上我在考虑密码安全问题。主要是关于最近的 adobe hack 发布了数千个密码。

现有密码的当前问题是您有三个选项:

  • 在每个站点上使用相同的密码
  • 为不同的网站使用几个密码(银行账户、游戏网站/账户、电子邮件等都得到一个
  • 获取诸如lastpass 之类的程序,该程序必须安装到您要用于登录网站的每台计算机上。

前两者非常不安全,但很容易记住。后者非常安全,但不方便,因为您不能在例如公共计算机上使用它。这基本上会将您锁定在您没有安装权限的任何计算机上。

于是我想到了这个主意:

  • 从一个安全的基础开始,fWi3$aLj每个网站都会使用这样的基础
  • 将 URL 的前三个字母添加到末尾,以便每个网站都有自己的密码
  • 为 .com 添加 1,为 .net 添加 2,为 .org 添加 3,为其他任何内容添加 4,直到最后
  • 例如,本网站的密码(具有上述安全基础)将是fWi3$aLjsec1.

优点:

  • 每个网站都有自己的密码(在极少数情况下除外,但密码将适用于极少数其他网站)
  • 这是非常安全的密码,因为您只需要担心记住一个密码,因此您可以让它变得非常复杂(因为您不必为每个网站记住一个新密码)
  • 如果数据库泄露或以任何其他方式找到您的密码,您只需担心更改该网站的密码
  • 您不必记住多个密码
  • 除非你告诉别人,否则任何人都无法知道你在做什么
  • 你不需要任何特殊的软件或任何东西

所以我想知道这样做是否有任何缺点。我今天才想出它,但是如果现在有缺点,我想我可能会去更改我的密码。

4个回答

一个密码是强密码。但是,如果黑客在两个不同的被黑站点之间交叉引用您的用户 ID,那么它会失败的地方。

Site           UserID               Password
-------------  -------------------  ------------
Adobe          user34311@gmail.com  fWi3$aLjado1
Sony           user34311@gmail.com  fWi3$aLjson1

相似之处表明一个简单的测试。使用 google 在网络上的某处查找 user34311:

stackexchange  user34311@gmail.com  fWi3$aLjsta1

成功导致瞄准支付:

Citibank       user34311@gmail.com  fWi3$aLjcit1
Chase          user34311@gmail.com  fWi3$aLjcha1
Wells Fargo    user34311@gmail.com  fWi3$aLjwel1

没有这并不比在任何地方使用相同的密码安全得多。

在不同网站上使用不同密码的意义在于,如果一个密码被泄露,他们就无法进入您的其他网站。使用您的方法,虽然它们确实是不同的密码,但如果攻击者知道一个密码,他们很可能会找出其他密码。

我认为您的想法很好(我有自己的算法),但我发现了一个缺点:

  • 更改密码可能很难。我的意思是,定期更改密码是一个很好的做法,但它也指定我们更改创建密码的算法。

问题从这里开始:你如何告诉自己如果是第二次、第三次、……生成密码,必须使用哪种算法?

这种密码管理方式并不比其他方式更安全,但它可以帮助您记住您的密码,而无需将它们存储在任何地方——我们可以说——不安全。

我考虑过类似的密码系统有一段时间了。我只是选择了一些更复杂的变量,比如邮政编码的数字总和等,但这不是重点。

正如其他人指出的那样,仍然有可能发现您的模式。我认为如果有人至少有你的两个密码,这应该不是很难。但我认为这个问题有一个简单的解决方案:只需对您的个人站点密码进行哈希处理,并可能将哈希与一些特殊字符混合以使其更强大。

您还可以为每个单独的密码添加一个计数器(或例如密码生成年份)。通过这种方式,可以轻松更改密码。也许您将年份或计数器保存在文件或数据库中,但对于您访问次数最多的站点,记住计数器应该不难。

我在这个系统中看到的唯一问题是计算哈希而不留下痕迹(尤其是在公共计算机上)。这可以通过在您自己的网络空间或服务器上通过安全连接运行的小型 Web 应用程序来实现。

其它你可能感兴趣的问题
上一篇为什么 DNSSEC 有一个荒谬的密钥签名仪式? 下一篇phpseclib 是 OpenSSL 的安全可靠替代方案吗?