作者CMJ0121 (不要偷 Q)
看板NetSecurity
標題[閒聊] 密碼管理原則
時間Sun Mar 1 16:30:51 2020
這是某 Youtube 頻道[0]講到關於資安 (密碼) 部分的常識
頻道不是我創的 廣告不是我賺的 所以不想看的人可以直接看文字結論 :)
常見的密碼錯誤
- 不同網站使用相同的帳號密碼
- 密碼實體儲存 (e.g. 便利貼) 這可以參考一級玩家[1] 的劇情
- 太短、太簡單的密碼
- 個人化的密碼 (e.g. 寵物名稱、生日、...etc)
- 分享密碼
<--- 這真的會發生嗎?
- 沒有特別字符
- 不可能記得住的密碼
- 讓瀏覽器記住密碼
- 使用不可靠的密碼產生器
- 從不更改密碼
<--- 現在主流建議不用常常改
- 不使用雙重認證
- 使用預設密碼
---
我後來設定的密碼會使用超過 10 的字 大概是 2~3 的單詞
可能的話 會替換掉中間的字詞 像是 0 -> O 或者其他字詞
另外 有的選擇的話不要使用線上密碼產生器、碼強度驗證之類的服務
對於相對壞心眼的人來說 使用密碼產生器等於道這個 IP/瀏覽器的密碼
同理 使用密碼強度驗證... (以下略)
[0]:
https://www.youtube.com/watch?v=EaRCfmEV0DE
[1]:
https://en.wikipedia.org/wiki/Ready_Player_One_(film)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.229.215 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1583051453.A.145.html
1F:推 asdfghjklasd: 我都用前女朋友生日~~~ 03/01 16:42
2F:→ likeus: 我倒是建議注音使用者可以把中文轉英文+單字,這對資料庫 03/02 13:37
3F:→ likeus: 更難涵蓋到,不然先前FBI建議用多組單字當密碼,根本就是 03/02 13:37
4F:→ likeus: 落入暴力破解的陷阱中... 現在量子技術越來越成熟了欸 03/02 13:37
5F:→ CMJ0121: 其實中文打字只是一種變形。常見密碼有左1左2 03/02 16:13
6F:推 kdjf: 複雜密碼的目的是防暴力破解,但是網站登入只要限制嘗試頻率 03/05 09:23
7F:→ kdjf: 就足以解決這問題 03/05 09:23
8F:推 SlimeEditor: 限制嘗試頻率還是可以破 只是拉長時間 03/05 10:27
9F:→ SlimeEditor: 加上告警資訊 和 雙因子驗證 會讓限制更有效 03/05 10:28
10F:推 ton200168: 我都用單字base64加密 03/10 06:02
11F:推 justin981287: 我是背一組random base64出來的string 當作密碼管理 03/31 20:21
12F:→ justin981287: 器的密碼 pass還蠻好用的 還可以用gpg加密後 push 03/31 20:21
13F:→ justin981287: 到github 03/31 20:21
14F:推 Dorota: 不自動記密碼,密碼換到自己都會忘,忘了就改密碼 05/04 21:05