技巧009:强壮且容易记住的密码

#Tip #Safe #Office #Password

大数据面前人人都在裸奔，弱密码却是你的皇帝的新装。若你的密码是常规组合（123456，abc123，qwerty，几个6，几个8）或个人信息强关联（名字拼音，生日，电话），那根本不需要高深的技术，一般的黑客字典，彩虹表分钟破解，再通过社会工程学，你的所有网络账户也连带沦陷。

🦁1.数据泄露和信息安全！

我看过好些排名靠前的产品，安全性十分弱智，限制密码长度说提高用户体验，但却没有防爆保护。不在安全圈不了解灰产的人一定不知道，每年的数据泄露有多严重，你可以自己搜索一下【常见的弱密码】【数据泄露大事件】。

过去3年国内泄露过亿或比较瞩目的事件，每年摘取的2条。注意，商业系统的安全强度要远远高于体制内的系统，如智慧城市，行政网，医院，院校等系统。

• 2017年3月，京东内鬼泄露 50 亿条公民信息。
• 2017年3月，58 同城曝重大个人信息泄密：700 元可看所有人简历。
• 2018年8月，5 亿条华住旗下酒店开房数据泄露，37 万元在暗网售卖。
• 2018年6月，圆通10亿条用户信息数据泄露后被黑产出售
• 2019年4月，多家企业的MongoDB和ElasticSearch弱密码泄露5.9亿份简历

🦁2.强壮且容易记住的密码

首先，人脑记不住复杂密码是正常的，所以需要使用工具，比如Keepass或LastPass。以九叔为例，我会强制自己，

• 每个重要的账号独立一套密码
• 密码必须16-32位
• 密码混合了数字字母大小写和特殊字符
• 如果账号被限制密码上限，就按规则截断

我经常忘记密码，最麻烦的一次是忘记了Keepass的56位主密码，后来经过推算又想起来了。所以，只有通过规则才能做到容易记且强壮的密码。

• 唐诗、宋词、名言 - 窗前明月光
• 拼音替换，全拼双拼 - chuangqianmingyueguang
• 增加音调，01234 - chuang2qian2ming2yue4guang1
• 移除字母，移除n - chuag2qia2mig2yue4guag1
• 凯撒替换，a变4 - chu4g2qi42mig2yue4gu4g1
• 符号分隔，_分隔 - chu4g2_qi42_mig2_yue4_gu4g1
• 账号关联，淘宝为TB@ - TB@chu4g2_qi42_mig2_yue4_gu4g1
• 声母大写，也可首字 - TB@CHu4g2_Qi42_Mig2_Yue4_Gu4g1
• 奇偶变换，偶音调按shift键 - TB@CHu4g@_Qi4@_Mig@_Yue$_Gu4g1
• 截断规则，限制8位 - TB@CHu4g
• 中文密码，自家系统支持中文，曾用过 - 地振高岗一派溪山千古秀
• 英文密码，除音调外都适用
• 规则的规则，为规则编码 - 序号或形象记忆
• 密码提示，为规则编号 - 窗前=8，8位长 窗前-2=30 ，无音调30位长。
• 安全问题，用规则设置问题或编码答案

规则之外，需要辅助一些记忆术，记忆桩，进行归类和替换，还有密码源和素材。

• @#$&分隔符，分别标识，一般、政府，银行，科技类地址
• 尽量使用中文，全角字母符号（好像大部分不支持）
• 不要使用自己的身份特征，社会工程学属性
• 多看谍战剧，地工剧，《悬崖》《潜伏》
• 多读文史地理，破解者多为理科思维。

–

※ 我们的征途是星辰大海 ※

题图：The Magnificent Horsehead Nebula, it is some 1,500 light-years distant, embedded in the vast Orion cloud complex