心情不太好,不想动,但又觉得作为一名伪计算机科学从业者,有义务做最简单的科普。
昨天看到一则豆瓣日记,记录的是一位警觉性很高的网友被网银诈骗未遂的过程。受害者所在银行是建设银行,于是在建行工作的小伙伴在看到小幻转发的链接后,做了简单的解释。内容如下:
其实这里我要说一下,不是别人可以随意给你做买卖,所有贵金属买卖的前提是要输入网银的登录密码。这种情况发生一般是登录密码设置了简易数字或者是身份证上教育的数字,很容易就猜出来了……
暑假的时候,朋友微博被盗了。小幻猜密码泄漏是被『撞库』了。所以后来朋友把每个用户名跟密码都改成了16位随机密码。但是这样记不住怎么办,经过小幻的搜索和整理,认为几种长密码解决方案比较有可操作性:
- 『口令句』。它的特点是,长,但是有逻辑,比较好记。为每一个密码应用场景想一个口令句,口令句比密码容易记忆,记住口令句,就记住了密码。举例:XiaoHuan,isagoodhaizhi!,翻译:小幻,isa好孩纸!。一个23位的长密码就这样诞生了,有大小写字母有特殊字符。是不是感觉挺好记的?至于是中英混杂还是方言,怎么加标点符号,这就看设定人的习惯了。需要注意的是,流行语/歌词/名言警句等等广为人知的句子不适合拿来做口令句,容易被编进密码本暴力破解。越生僻越好,方言什么的棒棒哒。
- 『随机单词句』。特点是,顺便背单词。格式:单词+[分隔符+单词]*,[]*的意思是可选若干。举例:monarchy,Ninja,Tahiti。快翻翻你的生词本,有什么死也记不住的生僻单词,都拿来做密码吧。一周一换,背单词嗖嗖的。那个,可能刚开始需要查着字典输密码,不要在意这些细节啦。这个方案适合经常需要输入密码的场景,比如每天的开机密码。
- 随机复杂密码+自定义字符串。特点,你自己都不知道密码是什么。举例:23d9j37n,s9>Suisuinian,随机复杂密码可以用密码生成器来生成,生成好了托管给自己的密码本里,自定义字符串自己记着,不要记录或者告诉任何人。用的时候临时拼合,这样既是有人拿到了密码本,因为不知道自定义字符串是什么,放在随机密码的哪个位置,因此也不能做什么。这个方案的缺点是,如果需要经常使用密码,每次拷贝拼合,很麻烦,适合那种不经常输入的密码应用场景。
最后说一句,重要的密码尽可能定期更换,生日纪念日什么的,虽然很浪漫,但是也很容易被猜到。如果是数字密码,且做不到定期更换,做好其他安保措施,比如数字证书什么的,遇事别慌,淡定,可以向贵金属事件里的当事人学习一下经验。小幻真佩服她,要是自己,估计就疯了。当然,小幻的卡里一百块都没有,应该没有贼惦记着。
延伸阅读
小幻建议去阅读一下下面这位知乎答主寻找撞库定义的思路和判断材料可信度的过程,这是自行科普最基本的步骤,小幻挺认同的。一直觉得,授人以鱼不如授人以渔。
公众号后台回复『贵金属事件』获得豆瓣原文传送门,回复『搜索撞库』获得知乎回答传送门,认准作者武杰的回答。
撞库是一种针对数据库的攻击方式,方法是通过攻击者所拥有的数据库的数据通攻击目标数据库可以理解为用户在A网站被盗的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码因此可以起到获取用户在B网站的用户账户从而达到目的
作者:武杰
来源:知乎
链接:https://www.zhihu.com/question/21562202