如何设计和管理密码

密码的问题,困扰我很久了!基本的生活学习服务,比如:微博,博客,论坛,SNS社交网络,网络书签,订阅工具,聊天工具以及视频、邮件、下载、听歌、网购等等哪一个都需要账号密码。始终用一个,好记不安全,用多个,老记不住!而且每一次需要创建密码的时候,都很头疼。目前有些网站已不需要用户去注册,比如OPENID的方式[1]。但不是很通用,何况已经注册过常用的至少也有十几二十个,大量的账号和密码,怎么管理呢?

有幸偶读前辈陈皓[1]的一篇老文,关于密码设计,真是花样百出,大开眼界。原文链接

你需要记住很多密码

在互联网上,需要我们输入用户名口令的地方实在是太多了,多得都让人记不过来了,N个电子邮件帐号,QQ, MSN,校内,开心,facebook,Blog,各种论坛,网银,淘宝,电子相册……,太多了,想想看,你要用多少用户名口令,相信很多人可能会这样做,用几乎一样的口令和用户名来申请所有的这些帐号,我估计这是大多数人的做法。当然,这样一来,你就需要保管好你的用户名和口令了,因为只要被破解了,就相当于你所有的帐号被破解了,这是多数恐怖的一件事情啊。你可能觉得别人破解你的口令很难,但我告诉你也许会非常容易,因为,如果你只使用一样的用户名和口令的话,也许某天,你注册了一个不知名的小网站,可能会意味着你所有的用户名和口令都被人获取了,要小心啊。

将密码分类管理

对我来说,我通常会有几组组帐号和密码,

  • 一个帐号/密码是用于一些大的可以依赖的站点,如:MSN,gmail,linkedin,facebook,hotmail等,因为我相信这些站点应该可以足够信任不会出卖用户信息,也有足够的能力不会让用户信息和口令外泄。
  • 一个帐号/密码用于一些国内的一些大的网站,如:QQ,开心,CSDN,Sina,网易,Blog,同学录等,因为这些站点必竟还受到国家的监管,以及其内部不良员工可能会倒卖我的信息,指不定什么时候我的用户信息就会外泄。
  • 一个帐号/密码用于我的一些经济活动,如网银,淘宝,支付宝什么的。
  • 最后一个帐号/密码用于登录那些必需要注册的破站点,一个最简单的用户名口令。

真烦啊。在这样的一个社会里,忘记密码绝对是一件最普通不过的事情了。就算是我这样的分组归类,同样需要超强的记忆力。不知道你会不会把你的密码写在某处呢?是啊,我也是想写啊,但那岂不是相当的危险,不丢则已,一丢就全丢了。

巧妙的密码设计方法

今天,在国外的某论坛里看到了这样的一个设计方法,好像很不错,分享给大家。

  1. 首先,先找一句你喜欢的话(你一辈子都记得的话),当然,只有你记得的,无论中英文,然后取各个单词或字的英文、拼音、五笔头一个字母。比如:I Like Long Complicated Passwords, They Confuse People,取头一个字母则成为了:illcptcp。中文的——“信春哥得永生”的五笔的第一个字母是:wdstyt。这个东西只有你自己知道,就算是别人看到明码,也很难马上记下来,是吧。
  2. 加上一些数字吧,比如你的生日,学号,电话,纪念日等。比如世界末日:2012年的12月21日(我们只取12月21日)。把这些数字加在断句的地方,于是得到这样的口令:illcp12tcp21 或是 wds12tyt21。
  3. 我们把第二步得到的口令叫基本口令。然后你可以在其前后(或是中间)加上站点的简称(用大写)。如:
  • gmail:GMillcp12tcp21
  • CSDN:CSwds12tyt21DN
  • MSN:illcp12tcp21MSN
  • QQ:Qwds12tyt21Q

改良。你可以在上述的第2)步,在输入数字时按着Shift键,于是,你可以得到更BT的口令:illcp!@tcp@! ,或是在第3)步聚的前缀和后缀间加上特殊字符,如:&, #,^等等。

相信这样的规则会让你的口令即不重复,又好记,而且又足够复杂。不然,你真的要去下载一个软件来记你的口令了。

大家不妨也说说你的口令的设计或管理方法。

群策群力

很多网友(名字不一一列举)都补充了自己的方法,用带有数字的唐诗宋词两句搭配shift的人还挺多!我花了一个上午的时间试用了下,整理了一遍所有账号和密码,顿觉安心不少,现在费事一些,以后少费神了,安全意识是必须要有的!摘记了几条,你也试试看?或者,在这里群策群力,如果你有更绝妙的办法。

  • 需要保密的密码,会采用“一句完整的英文句子,区分大小写,部分单词使用数字或缩写代替,允许的话,加上标点和空格”。例如:“ItIsAGoodDay2Die.”、“show.me.the.$$$!”等等。不需要保密的密码,比如论坛登录密码,一般就直接用“登录名@ 网站名”,比如“yea@coolshell.cn”,简单,好记。
  • 对于纯数字密码,比如银行卡密码,使用“电话号码助记法”。这是在欧美比较流行的记电话号码的方式,大家的电话数字按键上一般都会印有“2abc”、“3def”、“4ghi”等等,26个单词对应数字2~9,1和0保留。那么,一个N位数字密码,就可以找一个包含N个字母的单词、句子或缩写,对着键盘直接按,就得到了数字密码。比如,“iloveu”就是“456838”。这样一来,无意义的密码就是变成了有意义的语句,方便记忆。
  • 唐诗妙用。举个例子,如果你能背得出“两个黄鹂鸣翠柳,一行白鹭上青天”,那么你可以把每个字的第一个声母作为密码,即:lghlmcl.yhblsqt,进一步加强,如果某个字和数字的读音类似,可以改成数字,这个密码变化为:2ghlmcl.1hblsqt,再进一步,你可以按自己的习惯修改,如把每句的第二个字母大写,或者修改分隔符之类的,如:2Ghlmcl,1Hblsqt。如果有好事者搞了一个唐诗宋词密码本出来,穷举破解密码,那么简单的唐诗组合就不安全了,所以你可以在密码中加入干扰,如:将每句诗缩短到几个字,本例中,可以将诗缩短成“两个黄鹂,一行白鹭”,密码则为:2Ghl.1Hbl。设置密码的人常常在过后忘记自己当时的生成逻辑,很多人不得不为取回密码而折腾一番,为了避免这个问题,你可以在纸上写下提示性的文字,如“杜甫诗,每句取4个字…”或者“窗含西岭,门泊东吴”之类的,如果真的忘记了密码,这样的提示是很有用的。

注释:[1]就是用户只需要在一个网站注册,那么可以在所有提供这种方式的网站直接登录。