作者CMJ0121 (不要偷 Q)
看板NetSecurity
标题[闲聊] 密码管理原则
时间Sun Mar 1 16:30:51 2020
这是某 Youtube 频道[0]讲到关於资安 (密码) 部分的常识
频道不是我创的 广告不是我赚的 所以不想看的人可以直接看文字结论 :)
常见的密码错误
- 不同网站使用相同的帐号密码
- 密码实体储存 (e.g. 便利贴) 这可以参考一级玩家[1] 的剧情
- 太短、太简单的密码
- 个人化的密码 (e.g. 宠物名称、生日、...etc)
- 分享密码
<--- 这真的会发生吗?
- 没有特别字符
- 不可能记得住的密码
- 让浏览器记住密码
- 使用不可靠的密码产生器
- 从不更改密码
<--- 现在主流建议不用常常改
- 不使用双重认证
- 使用预设密码
---
我後来设定的密码会使用超过 10 的字 大概是 2~3 的单词
可能的话 会替换掉中间的字词 像是 0 -> O 或者其他字词
另外 有的选择的话不要使用线上密码产生器、码强度验证之类的服务
对於相对坏心眼的人来说 使用密码产生器等於道这个 IP/浏览器的密码
同理 使用密码强度验证... (以下略)
[0]:
https://www.youtube.com/watch?v=EaRCfmEV0DE
[1]:
https://en.wikipedia.org/wiki/Ready_Player_One_(film)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.1.229.215 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1583051453.A.145.html
1F:推 asdfghjklasd: 我都用前女朋友生日~~~ 03/01 16:42
2F:→ likeus: 我倒是建议注音使用者可以把中文转英文+单字,这对资料库 03/02 13:37
3F:→ likeus: 更难涵盖到,不然先前FBI建议用多组单字当密码,根本就是 03/02 13:37
4F:→ likeus: 落入暴力破解的陷阱中... 现在量子技术越来越成熟了欸 03/02 13:37
5F:→ CMJ0121: 其实中文打字只是一种变形。常见密码有左1左2 03/02 16:13
6F:推 kdjf: 复杂密码的目的是防暴力破解,但是网站登入只要限制尝试频率 03/05 09:23
7F:→ kdjf: 就足以解决这问题 03/05 09:23
8F:推 SlimeEditor: 限制尝试频率还是可以破 只是拉长时间 03/05 10:27
9F:→ SlimeEditor: 加上告警资讯 和 双因子验证 会让限制更有效 03/05 10:28
10F:推 ton200168: 我都用单字base64加密 03/10 06:02
11F:推 justin981287: 我是背一组random base64出来的string 当作密码管理 03/31 20:21
12F:→ justin981287: 器的密码 pass还蛮好用的 还可以用gpg加密後 push 03/31 20:21
13F:→ justin981287: 到github 03/31 20:21
14F:推 Dorota: 不自动记密码,密码换到自己都会忘,忘了就改密码 05/04 21:05