五千年(敝帚自珍)

主题:【原创】【周末瞎聊天】也分享一下我的口令策略(上) -- 1001n

共:💬36 🌺97
全看树展主题 · 分页首页 上页
/ 3
下页 末页
家园 【原创】【周末瞎聊天】也分享一下我的口令策略(上)

  

  细脖大头鬼兄(这叫啥称呼啊,)提出口令设置的问题(【求助】什么样的密码设置是科学有效,同时又不容易忘记的?),之后jet兄给出了非常漂亮的回答(【原创】分享一下我的密码策略)。看着就手痒,忍不住作文以记之。不过,下文说的跟正八经的密码都不沾边,不过是一些小狡猾而已,希望能给大家一个参考吧……

  jet兄所说的“四级分类+邮箱保存”,是非常好的办法,有四个主要的闪光点:1、关键口令与普通口令分离;2、相信烂笔头胜过好记性;3、邮箱不灭则口令不会遗失;4,邮箱登录机制确保自己是唯一查看人。在此,赞成并强烈推荐这个主意。

  说到口令生成,不由想起刚刚上网时的一件事。那时候还是拨号,需要购买ISP提供的上网卡,刮开保护层看“密码”。由于是第一次上网,对这个口令印象深刻的不得了,从此就记住了,衍生成了现在我个人主要使用的各种口令。具体情形,好比如下:

  口令:w5rb4u

  一共6位。分析一下不难得知,这个口令的优点有两个,缺点有四个:

  优点1是相对比较容易记忆(比起十几位的混杂口令),优点2是数字和字母混杂;

  缺点1是太短,2是没有特殊符号,3是没有大小写切换。如果在ATM上使用,第4个缺点就出来了——它不是纯数字。

  既然已经知道优缺点,针对性地衍生出新口令就很容易了。最重要的第一步是,我们需要凝视w5rb4u这个6位字符串,花上三分钟将它永远不忘地记牢,试一试就知道,实际上这一点也不难。这将是后面的基础,所以花掉的三分钟很值得,也许能让你用上很多年。

  然后,将它简单地加倍,变成w5rb4uw5rb4u——OK,这个东西,已经够让普通的暴力破解工具干瞪眼了……

  但这还远远不够。聪明人会数出w5rb4uw5rb4u一共有12位,他会猜测,我们为了方便记忆,将某几个简单的字符串重复过。于是他试验性地将12位分解为重复3遍的4位字符串,或者重复2遍的6位字符串,以此类推。只要他猜对一次,后续的暴力破解工作就会势如破竹。既如此,我们就让他分解不了——很简单,只要加1或减1就行了:这样一来,12就会变成13或11,都是质数……

  11位:w5rb4uw5rb4 去掉了最后的那个u

  13位:w5rb4uw5rb4uw 加上了第一位那个w

  碰上11位的***********或13位的*************,这样的口令肯定相当让人郁闷。在只知道位数的情况下(假设他知道了位数),他依然毫无办法,也只能猜测为,这是一个词组或一句话,否则一般人是记不住的——那么他肯定会在错误的道路上越走越远而徒劳无功,因为我们的初始字符串不仅根本没有文字意义,而且还混有数字……

  这依然还是小聪明,但我个人坚信,这样级别的口令,在甚至比较重要的论坛登录时都已经足够了。如果还嫌太短,那就重复3遍,变成18位好了。然后再加1或减1,幸福的是,17和19依然都是质数……

  我们已经解决了“太短”的问题,为了能够更上一层楼,解决“特殊符号”和“大小写切换”也就提上日程了。

  特殊符号,有人喜欢用下划线和@,我个人感觉,多按一次shift键比较麻烦,而且在我平时使用的搜狗输入法里,按了shift很容易就会导致“切换中英文输入”,容易误操作,类似的例子还有!、#、¥、%、(、)等等;

  其次,在各种特殊符号中,*和!不光麻烦而且有特殊意义,它和/、\、?、=、;一样,往往会被屏蔽;

  剩下的符号本来就不多了,而在中文和英文输入法状态中,逗号、句号还会有半角和全角问题;

  至于标准键盘右侧小键盘上的标点,使用笔记本时又不方便……

  所以,独家推荐一个简单的键。

  这个键,一没人屏蔽它,二不用按shift,三不存在全角半角问题,四存在于笔记本键盘上——简直就是专门为口令设置开发出的一个特殊字符啊——它就是伟大的减号-。顺便说一句,此为1001n的个人专利小窍门,呵呵……

  这减号大仙一出世,世界就不同了。将它和刚才的口令相结合,添在末尾,成为

  12位:w5rb4uw5rb4-

  14位:w5rb4uw5rb4uw-

  当然也可以添在别的位置,比如12位可以是w5rb4u-w5rb4,-w5rb4uw5rb4,都很好记。实践证明,在yahoo邮箱或hotmail邮箱设置口令时,没有这个伟大的-,安全强度只会是“中”;只要飘上这个小小的-,立刻变为“强”……

  对有追求的口令狂热爱好者来说,这还没完,我们还没搞大小写切换。对于12位来说,比如

  w5rb4uw5rb4-

  其实只要简单地把前一组字符串中的字母变成大写就够了:

  W5RB4Uw5rb4-

  想偷懒,就只改第一个,或最后一个字母:

  W5rb4uw5rb4- 或w5rb4uw5rB4-

  如果还嫌不够放心,那就再虚假地提升一次安全强度,办法是再次叠加初始字符串w5rb4u,然后减1。现在,我们可以来看看精心设置的新17位口令了:

  w5rb4uw5rB4-w5rb4

  减号不多,就1个。大写字母也不多,仍然是1个。初始字符串不长,还是那6位。但对一个完全不知道我们思路的陌生破解者来说,会不会累到吐血?……

  以上只是简单的思路,触类旁通的变化还有太多。比如重复时,叠加的是倒置的初始字符串;比如多用几个减号,花插着用(只要你自己能记住),如此等等。

  关键是,你要记的,其实只是w5rb4u这个字符串,和一个小小的减号,必要的时候再上“大写”……然后,无数简单的、复杂的口令就可以炮制出来了,日后想不起来的时候,只要还记得这个字符串,根据自己的记忆,试上几次也就能搞定了。

  下面,我们接着聊聊银行卡的口令,也就是ATM口令。它有点麻烦,因为它只接受数字……

  接【原创】【周末瞎聊天】也分享一下我的口令策略(下)  

关键词(Tags): #口令#策略#密码

本帖一共被 2 帖 引用 (帖内工具实现)
家园 俺的密码策略是这样的

找个现成的包含数字的成语或者俗语,然后按照几个比较好记的规律来转换一下。

比如“七上八下”->“7shang8xia”->“TshangBx1a”。

或者“一中一台”->“1zhong1tai”->“izh0ngita1”。

不过没法引入特殊符号,所以俺的密码强度一直是“中”……

恭喜:你意外获得【通宝】一枚

鲜花已经成功送出。

此次送花为【有效送花赞扬,涨乐善、声望】

家园 密码谈密码,这就有趣了,真是小问题问出好答案啊。

网络银行这个也要好好看看。不容易啊。

家园 俺的策略是,公司的英文缩写,加上某款产品的型号~~
家园 送花得宝:)

恭喜:你意外获得【通宝】一枚

鲜花已经成功送出。

此次送花为【有效送花赞扬,涨乐善、声望】

俺正在复习《密码传奇》呢,上个月书终于寄到了

家园 凑个热闹说说当只能用很短的数字的时候的方法

这种情况就很难用到1001n兄的好办法了

很多地方还是只能用4到6位的数字,这个时候数字应该是越随机越好,但不幸的是——几乎你能想到的,都是有规律的,如同村长所说,国内相当一部分人的常用密码就是6666或者8888之类,生日或者其他(比如把日期倒过来)也太有规律,而且若是本人生日很容易泄露

怎么办?

俺使用的是一个常用的随机数发生器——无理数,比如pi,e,sqrt(2),等等,河里有不少兄弟能背过100位的pi(感谢苏步青老爷爷),我的建议是,您不妨从某个有小数点后m位数值的无理数的某一位开始(比如您的生日是本年度的第n天,那么就从n/365*m位开始)的4或者6位,当然各位还可以有自己的发挥,而且,这个方法也保证了你有取之不尽的资源——下次用别人的生日或者别的方法来确定起始位置等等...

这个方法的好处是你即使知道了方法,也不能很快破译——因为你不知道我用那个无理数和那个起始点,而我可以只需要记住我现在用哪个无理数和起始点的信息(或者把这个信息再加密放在某个地方),就算忘了也能重新生成

写完了才发现密码兄只写了个上,本来想不发了,但想一来未必一样,交流学习,二来若是所见略同,似乎不应该算砸场子,

还是发了,惴惴中,望密码兄谅解...


本帖一共被 1 帖 引用 (帖内工具实现)
家园 【原创】【周末瞎聊天】也分享一下我的口令策略(下)

  接【原创】【周末瞎聊天】也分享一下我的口令策略(上)

  就常识来看,因为ATM口令太简单而被猜中进而导致失窃的事件,还是很少见的。既然如此,下面我们就只是以一个纯粹的完美主义者的眼光,来看看常用ATM口令的安全风险吧。

  ATM口令的一大特点,就是变化可能太少:只有6位,不允许字母和符号,于是只剩下从000000到999999的1000000种可能;至于设置为4位口令的同志,自毁长城就不用提了。

  更大的问题,出在口令数字的选择。很自然的——我几乎可以打赌——绝对有一多半的人在使用跟生日相关的口令!

  这一点并不奇怪。那么,它的安全隐患在哪里?

  我们假设ATM口令是6位。很自然地,一般会设置为“年年月月日日”的格式,或者倒过来,成为“日日月月年年”。然后……

  首先,日期一定不会大于31,不会小于01,因此它的十位数已经被限制死了。这就是说,六位中有一位一定是0或者1或2或3。想想就不难明白,这一位的分布概率应该是

  它是0:01-09,约29%

  它是1:10-19,约32%

  它是2:20-29,约32%

  它是3:30-31,约6%

  根据常见的“年年月月日日”,或者“日日月月年年”,已经出事了——有超过90%的概率,第5位或者第1位是1、或2、或3!

  日期还好了,月份更是糟糕得多。分析过程大同小异,结论是:第3位有超过83%的可能,是0。剩下的17%,则是1,根本没有其它可能。

  看起来日期和月份的组合变化无穷,应该比年份更难猜,事实却是年份最不好猜,除非对方知道你的大概年纪,去用你、你父母、你的小孩的大概年份来试验。其中,最大可能的就是你本人的大概年纪(这同样包括了你的配偶的年龄段)。一般来说,出生年代的首位应该分布在5、6、7、8——没做过调查,但是持卡人中,这个年龄段貌似应占最大比例——如果用别人的年份,则既可能是父辈也可能是子辈(用爷爷辈年份的好像还没听说过)。即便如此,想一想也能明白,1和2这两个数字出现的可能性实在微乎其微,刨除以后,算8个可能吧。

  第1位或第5位,到底是日期还是年份,这是个问题。但是我们假设一个方向,比如“年年月月日日”的格式,然后排除掉不太可能的,本来六位数字该有的1000000种可能,最后还能剩下多少呢?

  (3、4、5、6、7、8、9、0)*年个位*(0、1)*月个位*(0、1、2、3)*日个位

  也就是 8*10*2*10*4*10=64000

  一百万种可能,一下就只剩下了6.4%。加上也很常见的“日日月月年年”,共128000种,也不到13%——这种上来就将口令变化度降至1/7的办法,实在是很不可靠啊。

  何况,这128000种变化也是唬人的,因为我们刚才算过,某些特殊数字出现的概率比较奇特。比如我们上文提到,有超过83%的把握,认为第3位数字就是0(按以上两个格式,月份都在中间,这个第3位不会变化),因此这128000种可能,也会立即变成“有超过83%的可能,实际只有64000种变化”,即(3、4、5、6、7、8、9、0),(年个位),0,(月个位),(0,1,2,3),(日个位)……

  这还只是第3位。根据上面算出的概率,我们甚至可以蒙一个最大可能的排列范围,这个范围肯定比64000还要小得多。

  当然也肯定有朋友会说,我的生日口令,就不是按这个顺序设置的(比如改成“年年日日月月”,“月月日日年年”,或者干脆全倒过来),因此你的计算数据结论意义不大啊——但我也敢跟您打赌,一定有不少人,甚至可能包括正在看这个帖子的某位同学,他正是如我所说那么设置的!

  对于试3次密码错误就退卡、10次就锁卡(是这样的么?记得如此)的ATM来说,即便是64000种变化,也相当够用了,我们也很少听说口令不安全导致卡上钱丢了的事。当然,钱没有丢的更重要的一个原因是,卡没在贼手里,而在您自己手里,贼压根没有试这10/64000的机会……

  生日是个问题,但就这么简单的口令,照样很多人在用。生日以外,常用的还有车牌、手机号、身份证号、门牌号乃至圆周率和自然底对数,有些凑不够6位,就连写两遍……这些都比生日要好,因为数位上没有那么多的限制。但是,如果贼是熟人呢,或者是不那么熟的某个“朋友”呢……

  总之,我们既然自认为是完美主义者,那么放着一百万种的潜力不去使用,而单单去钻那几万种甚至更少可能的牛角尖,同时还冒着自己财产安全的风险,无疑是令人沮丧的。真正解决的办法说穿了,就是自己随便手写6位数,尽量不要有规律(实在写不出来就在马路上连续记两个车牌的后三位),然后花三分钟,永远记牢它,其实“更安全一点”也就是这么简单。比如说,728435,连盯三分钟,几乎没有任何可能记不住……

  这三分钟也很值得,因为这个简单的6位数,直接跟您的钱包有关——还有比这个更值得的么?

关键词(Tags): #口令#密码#策略

本帖一共被 1 帖 引用 (帖内工具实现)
家园 这个办法很好

看到100位圆周率我就乐了,以前我不是没想过这个主意,数记得,就是想不起来从哪里截断了……是个很大的郁闷啊。

实际上,我们的意见比较一致,就是尽量使用“看上去随机”的办法来处理口令。这样一来,确实很难猜,猜不出来,我们的任务也就完成了。

什么?有人说暴力破解这个很简单?……拉出去翻过来打……

恭喜:你意外获得【通宝】一枚

谢谢:作者意外获得【通宝】一枚

鲜花已经成功送出。

此次送花为【有效送花赞扬,涨乐善、声望】

再同喜一下,呵呵:)

家园 谢谢地主兄记挂

俺一直没说,那照片。。太有地主风格了

连背景都是沙发!

家园 估计让您失望了,没聊出什么来

反正就是瞎聊,当周末解闷吧:)

家园 好记非常重要

否则自己忘了都没地方哭去……您的办法挺好,唯一有个小漏洞,如果您看过黑客词典的话就会发现——汉语拼音的常用声母韵母搭配,比如“zh”“ong”“ai”,在里头都是现成的,至少在理论上,这将大大加快暴力破解进程……

不过我觉得,您这个已经很不错了,在没有仇家的前提下

家园 你这个口令策略应该加到书里去

看看你那本《密码传奇》的书评吧:

不错的一本科普读物

发表于 2008-11-11 11:30

原来想这本书是像“暗算”一样的悬疑故事,但是一本普及密码历史和知识的科普读物,还不错了,对密码常识的了解加深了,不过自己用编制密码的办法改了一张银行卡的密码,结果把自己搞晕了,结果去办密码挂失。。。。

家园 得到密码兄的表扬很激动

得到密码兄的花,就更激动了

得到密码兄的宝,激动得快说不出话来了

再罗嗦几句,记得密码兄的巨著里也有这些思想

如果一个加密方法被人说要用暴力破解就说明很成功了——只有针对没有信息或者信息很少的密码才会采用这种方法

暴力破解的成本如果大于被加密信息是得不偿失的

其实还有个伪随机方法,某些游戏用过,就是找个单词用手机键盘转换,这个虽然也不好(比如0的映射),但比生日强多了,至少选单词的范围大。

家园 被打击的无话可说
家园 这回老兄没宝了,可见心平气和很重要,呵呵

ATM口令用暴力破解,简直都是对暴力破解这个学术方法的侮辱,呵呵。。。

另,祝编辑部事务顺利!

全看树展主题 · 分页首页 上页
/ 3
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河