论文部分内容阅读
为了安全我们不能让所有的密码都一样,但是我们能对所有的密码使用一样的记忆方式。
你现在有多少个地方需要输入用户名和密码?我自己已经数不清了。每天一开电脑,首先就要登录Windows和即时通信软件,Email帐号三四个也不算多。工作时当然需要登录公司内部网,闲下来就需要看看常去的论坛再加上自己的blog。要在网上买东西的话,每个电子商务网站都需要我注册,付款,网上银行的密码当然也要保护好。当然,还有好几张银行卡信用卡需要牢记密码不可透露。再加上不少门户或者搜索网站也需要你经常提供个人身份认证来提供个性化服务。还有什么宽带接入、手机SIM卡甚至回家进楼门的密码。
怎么办?拍拍脑袋,最简单的方法就是把所有的密码统一起来。记忆的负担就几乎没有了,反正都一样。我估计有不少人这么干,但是这样对帐户的安全性却是极大的隐患。一旦你某个帐户的密码在安全性不太高的地方被攻破,岂不是所有的账号都要完蛋。好,咱们提高安全性,所有的密码都不一样,而且还要定期更换。但是很多私密性不强的网站还能通过cookie帮助你保存用户名和密码,几个月甚至一年可能你也不需要手动登录。如果不是天天背,你还能记住自己当初设定的随机密码么?有人使用一个简单的办法,就是拿个小本把所有的用户名密码都抄下来,保存在安全的地方。但人千万别像我们某个同事,把所有银行卡的密码都抄在记事本上,与身份证和银行卡一起放在钱包里面,然后有一天她的钱包被偷了……
利用密码工具也可以帮助你完成这个工作,这些软件相当于一个加密的密码本。你只要给密码本设定一个强大的密码,就可以放心地把所有其它密码都保存进去了。这些工具到处可见,Windows平台的,掌上电脑平台的,甚至我的手机上都有这么一个工具。这些工具中我认为提供指纹识别技术的客户端安全软件最可靠,因为你什么都不需要记忆,只要带着自己的手指就可以使用所有密码。虽然目前内置指纹识别器或者其他生物识别设备电脑并不算多,但是我预计这终将成为一个潮流。实际上,市场上已经很容易买到各种提供指纹识别键盘和鼠标,还有USB和PCMCIA设备,配合适当的软件,你不必再为密码记忆而烦恼了。当然这个方法也有一个问题,你必须把密码数据做好备份,而且必须依靠电脑或者特定设备才能使用密码,方便程度多少算个问题。
再给大家推荐一个我自己想出来的方式来记忆密码。为了安全我们不能让所有的密码都一样,但是我们能对所有的密码使用一样的记忆方式。也就是说,我们使用一个统一的“算法”,针对不同的帐户来设定对应的密码。这个算法可以和帐户的特点相关联,只需要通过简单的变换就能得到密码。随便举一个例子:邮件地址是[email protected],密码就可以设定为nzfn12nhoj。前面四个字母一眼看上去很随机,实际上是域名前四个字母各增加一位变化而来,两个数字是为了提高密码强度,有的密码条件还要求必须有其他符号,那么这两个数字还可以变为其他符号。最后四个字母表示这个密码是倒过来的用户名。依此类推,MSN Messenger的用户名是[email protected],那么密码就可以设定为kpio12nhoj。
这个规则至少保证了密码足够复杂,简单的字典攻击无济于事。另一个好处是虽然每一个帐户的密码都不完全相同,它也不需要什么记忆工作量,你总能自己慢慢换算出这个密码来。万一某个帐户的密码泄露出去,也不会对其他密码立即造成什么损害—只要你设计的密码换算算法别那么直观。
你现在有多少个地方需要输入用户名和密码?我自己已经数不清了。每天一开电脑,首先就要登录Windows和即时通信软件,Email帐号三四个也不算多。工作时当然需要登录公司内部网,闲下来就需要看看常去的论坛再加上自己的blog。要在网上买东西的话,每个电子商务网站都需要我注册,付款,网上银行的密码当然也要保护好。当然,还有好几张银行卡信用卡需要牢记密码不可透露。再加上不少门户或者搜索网站也需要你经常提供个人身份认证来提供个性化服务。还有什么宽带接入、手机SIM卡甚至回家进楼门的密码。
怎么办?拍拍脑袋,最简单的方法就是把所有的密码统一起来。记忆的负担就几乎没有了,反正都一样。我估计有不少人这么干,但是这样对帐户的安全性却是极大的隐患。一旦你某个帐户的密码在安全性不太高的地方被攻破,岂不是所有的账号都要完蛋。好,咱们提高安全性,所有的密码都不一样,而且还要定期更换。但是很多私密性不强的网站还能通过cookie帮助你保存用户名和密码,几个月甚至一年可能你也不需要手动登录。如果不是天天背,你还能记住自己当初设定的随机密码么?有人使用一个简单的办法,就是拿个小本把所有的用户名密码都抄下来,保存在安全的地方。但人千万别像我们某个同事,把所有银行卡的密码都抄在记事本上,与身份证和银行卡一起放在钱包里面,然后有一天她的钱包被偷了……
利用密码工具也可以帮助你完成这个工作,这些软件相当于一个加密的密码本。你只要给密码本设定一个强大的密码,就可以放心地把所有其它密码都保存进去了。这些工具到处可见,Windows平台的,掌上电脑平台的,甚至我的手机上都有这么一个工具。这些工具中我认为提供指纹识别技术的客户端安全软件最可靠,因为你什么都不需要记忆,只要带着自己的手指就可以使用所有密码。虽然目前内置指纹识别器或者其他生物识别设备电脑并不算多,但是我预计这终将成为一个潮流。实际上,市场上已经很容易买到各种提供指纹识别键盘和鼠标,还有USB和PCMCIA设备,配合适当的软件,你不必再为密码记忆而烦恼了。当然这个方法也有一个问题,你必须把密码数据做好备份,而且必须依靠电脑或者特定设备才能使用密码,方便程度多少算个问题。
再给大家推荐一个我自己想出来的方式来记忆密码。为了安全我们不能让所有的密码都一样,但是我们能对所有的密码使用一样的记忆方式。也就是说,我们使用一个统一的“算法”,针对不同的帐户来设定对应的密码。这个算法可以和帐户的特点相关联,只需要通过简单的变换就能得到密码。随便举一个例子:邮件地址是[email protected],密码就可以设定为nzfn12nhoj。前面四个字母一眼看上去很随机,实际上是域名前四个字母各增加一位变化而来,两个数字是为了提高密码强度,有的密码条件还要求必须有其他符号,那么这两个数字还可以变为其他符号。最后四个字母表示这个密码是倒过来的用户名。依此类推,MSN Messenger的用户名是[email protected],那么密码就可以设定为kpio12nhoj。
这个规则至少保证了密码足够复杂,简单的字典攻击无济于事。另一个好处是虽然每一个帐户的密码都不完全相同,它也不需要什么记忆工作量,你总能自己慢慢换算出这个密码来。万一某个帐户的密码泄露出去,也不会对其他密码立即造成什么损害—只要你设计的密码换算算法别那么直观。