Jun 11th, 2006, 14:02 | #1 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
|
<原创> 密码策略--上网的第一道门
<原创> 密码策略--上网的第一道门 关键字:电脑,上网,密码,帐号,密码软件,密码强度,密码测试,银行账户, 互联网,密码生成。 “一生中一个人有多少密码?”这个问题你想过吗?第一个密码,当时计算机还不普及,但是钱总是要用的,所以那就是我的银行密码,四位数字,直到现在,好多银行的提款机还是用规定的4位数字密码。我能不能永久使用这一个密码?有人说了,“你傻吧!”,的确,很多时候我们不得不使用不同的密码,用于不同的用途,一是为了保密,二是被迫。拿我来说,从前我有两个密码,一个是个人最保密的密码,例如银行账户等,还有一个就是日常上网用的密码,后来,有了一份工作后,单位的又是另一个密码。但是今年年初事情出现了变化。公司要求每3个月变更一次密码,并且最近的12次不能有重复。当我们最初听到这个消息的时候,都觉得又可气,又无奈,我们还不成了密码的奴隶了?谁有那么好的脑子记住两年前的一个密码呢?!不管怎么说,我是被迫要经常性变更密码了。 仅仅是密码问题,那还不太糟糕,另外一个经常困扰我的问题就是,我在上网中很多时候,一个账号是不够的,银行账号最关键了,也是必须记住的—无论用什么方式,写在纸上,强记都好。到目前为止,还真没见过谁用自己的银行账号作为登陆帐号在娱乐性网站上爽玩。而且,有的时候你是被给定的账号,例如,咱们的图书卡帐号,咱们只能接受一个新帐号。另外,有的网你这个帐号名可以使用,另外一个很可能就被别人占了。总不能给自己一个谁都记不住的名字满大街逛游吧?所以,我就有了好多别名,后来,连我自己都不知道我叫什么了。 帐户和密码的配对问题,真叫人头痛呀。但是即便如此,没看见谁因为这个拒绝上网了。现在,我这里就要说说这个问题,准备给大家几个建议,一是对于要求不太高的,可以依据几个简单的规则轻松搞定,一是对于要求高的,可以挖掘电脑的潜力,让它为我们做更多的工作,让它成为我们的助手,而不是累赘。 此帖于 Jun 12th, 2006 21:10 被 SOHOPC 编辑。 |
|
Jun 11th, 2006, 14:15 | 只看该作者 #2 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
好了,我们就说说密码吧。首先呢,怎么才叫一个好的密码,以及如何设计一个好密码。“A good password is one that cannot be easily guessed.”这是我看到的一句最简单明了的英文说明了。 但是,我想说那还不够,好密码首先要不容易被别人破解,其次要容易忘记,再次就是容易上手。我主要是说说前面两个如何办到,后面一项不多说,个体之间彼此差异较大。 日常中,最常用密码无非是自己或者亲人的生日,手机号码,车牌,门牌号,这些好记不容易忘,但是如果人人都是用这样的规则,密码就真的没有用了,别说现在用于暴力破解密码库,就是一个对你稍有了解的人,都可以轻松破解。怎么设计一个对于你来说又好记又保密的密码呢?下面我给出几个建议: to be continued... 此帖于 Jun 12th, 2006 21:10 被 SOHOPC 编辑。 |
|
Jun 11th, 2006, 20:35 | 只看该作者 #7 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
1.生成密码: 对于计算机上面使用的密码,一般地来说只要是计算机上可以操作的密码,可以使用以下几类符号: a. 字母小写: a-z, b. 字母大写: A-Z c. 数字: 0 – 9 d. 特殊字符: ~ ! # @ $ % ^ & * ( ) < > [ ] 等 我推荐两个在线工具,你可以使用它们替你生成密码,例如: Online Password Generator: http://www.techzoom.net/security-password.asp Secure Password Generator: http://www.winguides.com/security/password.php JavaScript Kit Encrypted Password Generator 但是那些密码都不好记,下面是一个手动生成密码的步骤: 方法一:挑一个英文单词,最少6个字母的,然后根据你所选的单词和你自己的习惯来生成一个保密的密码. 例如:blueberry.我为什么挑着个单词?因为最近吃了不少,一下子就想起来了。如果你是用这个单词作为密码,一方面不安全,另一方面如果你的系统有密码强度要求,肯定过不去。好了,现在让我们根据几个规则替换其中的部分字母。 首先,让我们加进去大写字母哦哈。我愿意换这个组合词的首个字母为大写,于是变成了:BlueBerry。 然后加入数字,我看l和1比较相近,e和6相近,y和9相近,我只替换两个l和e,所以密码变成了B1u6B6rry. 现在,它看上去难看多了。还能不能更难看点呢?可以,我们再看看,咱们把y换成” (”--括号,怎么样?为什么? 因为y看上去象9,Shift+9 就是 "("。所以密码成了:B1u6B6rr(。这回可是不错了。 方法二:选一个中文单词,然后用拼音写出来,比如:加拿大华人,拼音是jianadahuaren, 13个字符长,还是应用上面的同样替换规则,先找出大写字母,我挑选:JianadaHuaRen. 然后是数字,Jl0n0d0Hu0R3n. 再是特殊字符:J!0n0d0HuR3n.另外,还可以使用外语的谐音,比如,r的发音比较类似中文中的2的发音,等等。 难道我们就不能使用一个句子吗?当然可以,自己可以造一个句子,如果是带有中文特色的最好了,至少外国黑客不容易猜到 。比如:Is you Right? 或者 I fu le you!或者是纯中文的Zhen TMD Tongkuai! 等等,在应用前面的变换规则,你的保密密码就生成了。 进一步地,无论如何你如何造密码,为了好记,那个密码怎么看都有点人造痕迹,如果你看看下面那个网址给你生成的密码,如果你牛到不晕,我就彻底服了u。第一次看,我差点疯了,为什么?TTMD长了,简直不是人能想到的,而且每刷新一次密码都不一样,Perfect Passwords:https://www.grc.com/passwords.htm 此帖于 Jun 12th, 2006 21:11 被 SOHOPC 编辑。 |
|
Jun 11th, 2006, 21:43 | 只看该作者 #8 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
2.测试密码强度 你自己生成了密码,怎么能知道一个密码是否足够安全呢?除了上面的基本规则外,我们还可以使用密码强度测试软件来为我们检测一下。我推荐以下几个: http://www.microsoft.com/athome/secu...d_checker.mspx 上面是微软的密码强度测试工具。 Password Security: http://www.securitystats.com/tools/password.php 给了你一些设计密码的建议。包括DO’S and DONT’S Javascript Password Strength Meter: http://www.geekwisdom.com/dyn/passwdmeter提示你, 你的密码因为什么而得到分数。我得到的最多的分是50。 去Google:https://www.google.com/accounts/NewA...在”Choose a password:”后面输入自己的密码时,后面的”Password Strength”会跟着变化,但它是红色时说明你的密码太简单了,黄色时是说还可以,蓝色说明密码强度可以满意了。 to be continued...... 此帖于 Jun 12th, 2006 21:11 被 SOHOPC 编辑。 |
|
Jun 12th, 2006, 17:24 | 只看该作者 #16 | |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
引用:
|
|
技术问题上网说
|
||
|
Jun 12th, 2006, 20:42 | 只看该作者 #17 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
到此为止,一个普通用户,做到这一不已经够了,但是对于高级用户还是不够的,下面我们看看如何有效地管理帐号和密码对。 3.管理众多密码: 在线管理密码:http://www.angel.net/~nic/passwd.html 他使用另外一种方法,根据你的主密码和相关的说明,实时在线给你生成唯一的一个密码,这样只要你记住前两项就可以了,只有8位,有点短了,虽然有一个长密码版本27位字符:http://motdepasse.site.voila.fr/long...的用途。 上面提到了那个超强的密码,有人说“不实用,没有人记得住,怎么用!”我说可以用,而且挺方便。这就要请出密码工具来帮忙了。 这类软件工具不仅仅可以管理普通的帐号和密码对,而且大多数可以管理:软件注册码,ATM密码,密码锁组合,语音密码,个人注册信息(常见的名字,生日,公司,联系方式……)等,这也大大方便了我们注册或者检验的工作量。 首先,我想说说我理想中的密码工具应该是什么样子。 1) Security: 可以方便、安全地保存各种常用密码。安全指密码库的加密方式要足够强度,因为密码库有可能被遗失或盗窃,如果加密不够强,那么,你所有的账户和密码信息,将暴露于他人。还记得最近的台湾的“总统一家”腐败案中的关键人物,陈水扁的女婿,自己的三层密码被专家轻易攻破的事情吗?我想,如果他早知道我这里讲的,肯定不会被那末容易破解的。 2) Easy: 可以方便的应用密码:最好是自动输入,也就是每当需要输入账号密码得时候,它可以自动帮你填入,不用你干预;另外也可以使用手动或鼠标操作输入。 3) Seachability: 分类和检索。你存了好多密码,如果没有方便快捷的查询手段,那可是一种酷刑。 4) Mobility: 可移动:系统可移动,密码库可移动。为什么要强调这一点呢?因为,你的帐户应该可以随时跟随你,而不是只能保留在家里的特定机器内,不能操作它就干不了事。 5) Flexibility 最大的适用性:有各种操作系统(Win, Mac, Linux等)版本,适合各种应用程序(HTML, System等 ),载体适用(记忆棒,光盘等可移动媒体) 6) Importability/Exportability: 导入和导出功能:有利于移植,因为在未来你很可能需要使用别的软件来管理你的密码信息,没有这个功能,那可是恶梦。 7) Multiuser: 多用户支持:家庭内可以多个人使用一个程序不同的密码库实现多用户。 8) Carefulness: 密码保护措施:例如剪贴板中密码删除,虚拟键盘。 9) Creativity: 生成强度足够高的密码,当然你也可以用前面提到的工具生成高强度密码。 10) Backup: 备份、恢复和同步。这个功能很重要的,计算机的不确定性促使我们备份 11) Internationality: 多语言的支持. 对于好多用户来数,中文还是最好用的。 12) Reliability: 软件本身安全,没有广告或间谍软件,不自己访问. 这个不用说吧,否则我们的保密信息直接就面对外人的威胁了。 13) FREE: 使用成本:最好免费。 此帖于 Jun 12th, 2006 21:14 被 SOHOPC 编辑。 |
|
Jun 12th, 2006, 21:08 | 只看该作者 #18 |
Senior Member
注册日期: Dec 2005
帖子: 7,975
积分:2
精华:2
声望: 27137504
|
我现在就根据几个比较流行或者好用的密码工具给大家一个简单的介绍。 RoboForm: 主页:http://www.roboform.com/ 它现在已经不再是光有RoboForm一个单一产品,还有了相似功能但不同用户用途的Pass2Go,RoboForm for Pocket PC/Palm, Firefox/Mozilla Adapter, 和GoodSync File Synchronizer. 1. 这一点比较满足需要. 2. 很好。 3. 很好 4. 不好,只有另外一个版本支持Pass2GO。 5. 不好,另一个版本好一点Pass2GO。 6. 不好。 7. 好 8. 很好 9. 很好 10. 很好,同步需要另一个程序 11. 很好 12. 未知? 下载:www.roboform.com/cn/download.html Access Manager的商业版本很不错,免费版的限制太多,几乎不实用,所以不详细介绍。 主要的使用是:填写个人身份信息,可以是任意多个身份(Pro版,免费版2个),这对于填充表格有很大帮助。主密码使用3DES加密,可以放心。没有广告,没有间谍软件,密码生成器,可以拖放填充,支持浏览器:IE4-6,Netscape 7和Mozilla,对于Firefox要下载一个插件。 Pro版本: 可以商业和政府使用,支付和习惯特征只有3个,密码卡片10个。在帮助-〉关于…可以知道自己当前的版本。http://www.accessmanager.co.uk/index.html KeePass Password Safe: Open Source Software 1. 很好 2. 很好,不支持自动填充,但是可以拖放和粘贴 3. 很好 4. 很好 5. 除了只支持Windows外,其它都很好 6. 很好 7. 很好 8. 很好,虚拟键盘-第三方插件 9. 很好 10. 没有同步功能 11. 好,但是无法解决插件的语言问题 12. 很好 13. 很好 下面是另外几个不错的软件,我就不具体评述了,大家根据自己的体会试用吧: Advanced Password Generator: http://www.segobit.com/downapg.htm Passwords-Lines: http://passwords-lines.com/ KisKis - Keep It Secret! Keep It Safe! : http://kiskis.sourceforge.net/index.html#id2511646 EZ Password Manager: http://www.northwind-tech.com/ 最后简单介绍一个评估网站:Password Software Review : http://password-software-review.com/index.php 全文完 于2006年6月 本文抛砖引玉,欢迎斧正。 如果你有自己的心得或者认为其他好方法,请告诉我,email:ChineseCNS@gmail.com, 欢迎交流。 |
|