Archive for January, 2012
新年新密码
新年到了,又到了我改密码的时间。前两周各大网站闹的沸沸扬扬的密码泄露事件,算是给每个人提了个醒。从泄露出来的密码看,很多人的密码不只是不够复杂,而是十分的简单,很容易引起安全问题。这里顺便分享一下我的一套密码规则,我已经使用了很多年,自我感觉还是相当的安全。
简单的说,我用的密码不是一个或者几个密码,而是一套算法。主要分成两大类:
- 一个普通密码。密码比较简单、容易记、容易输入,比如:herecomesanewch,它是Here Comes A New Character的缩写。对于这个密码,我一般很少去修改(当然现在修改了:),通常用于注册一些无关紧要的网站或者服务,账号里面没有个人信息,也不重要。比如有些论坛要求你注册了账号才可以下载文件,这个密码就可以派上用场了。
- 一组动态密码。它其实就是一个普通密码+一个算法。假设这个普通密码为P298*%c,算法为:
- 非SSO网站
- 如果这个网站是SNS类的,比如www.facebook.com,那么密码前面补z,z就是SNS分类的代码,这时候密码为:zP298*%c
- 把网站域名的第一位大写放在密码后面,这时候密码为:zP298*%cF
- 把网站域名的倒数第二位放在密码后面,这时候密码为:zP298*%cFo
- 对于条件一提到的分类,你可以自己找一个合适自己的,原则是:不要太复杂,容易分类,否则自己的都搞不清楚你要访问的网站是属于哪个分类
- 支持SSO的网站
- 如果这个网站是个支持SSO的网站,比如Google, Microsoft,它们通常有很多域名,比如(www.live.com,www.hotmail.com)都是微软的网站,密码都是共享的,这样就不方便把域名放到密码里面了,它的规则有所不同
- 第一位加*,表示这是个支持SSO的网站,这时候密码为:*P298*%c
- 最后一位加5,这个5没有任何意义,这时候密码为:*P298*%c5
- 最后一位放这个公司的名称的首字母大写,这里以微软为例,所以最后的密码就为:*P298*%c5M
上面的规则看起来比较复杂,弄明白了其中的道理其实很简单,也容易记忆,这样,每个网站的密码几乎都是不相同的,一个网站密码泄露了,不会殃及其他网站,除非你的密码和规则全部都被别人知道了。
除此以外还有一些辅助措施:
- 对于国内的网站和国外的网站,上面的算法是不同的,之所以这么做,是考虑到很多国内的网站安全意识不高,不少是保存明文密码,为了减少泄露的可能性,分开为妙。
- 每年更改密码,我通常在每年的前两周内使用新的算法,把所有的密码都更改一遍