@ 2014.04.13 , 16:44
49

面对“Heartbleed”,该如何设置强密码?

[-]

Heartbleed让整个互联网陷入恐慌,几百万家网站数据安全受到威胁——其中不乏一些大型网站,譬如Yahoo,Flickr和Tumblr——都可能暴露用户的密码和其它私人信息。

Heartbleed影响了大多数网站和邮箱服务器的加密技术,任何人都有可能用利用HeartBleed漏洞对网站攻击,获取重要的敏感信息,原本安全的网站也不再安全。在两年多的时间里这个漏洞一直未被察觉,加之利用Heartbleed进行攻击不会留下痕迹,目前Heartbleed安全漏洞造成的破坏程度有多严重依然是未知数。

Heartbleed漏洞作用对象是网站和电子邮箱服务器,所以个人用户基本上束手无策,但是专家呼吁大家赶快更换不同账户的密码,增强账户的安全程度。

强密码可以抵挡黑客攻击和恶意软件,专家们建议密码至少要包括12个字母,要包括数字、字母和符号。

“如果你只用八个字长度的密码,而且只用字母,对黑客来说只是几分钟的事。”亚特兰大佐治亚技术研究所的资深密码研究科学家Richard Boyd说,“要我说只要你能记得住密码越长越好,至少也要10-12位。”

黑客一般会用两种手段进入服务器,第一种是用字典匹配密码,字典里包含有名字、数据和其它常用的短语,如果你的密码是你宠物的名字叫“咪咪”、“宝儿”或者“Last Of Mohican living of the dead Macguffin”,黑客利用这种方法可以轻易猜出你的密码。

第二种方法叫做“暴力破解”攻击,是一种穷举出所有可能的字母和数字搭配直到成功的方法。虽然这种方法比较费时,但只要电脑速度够快,就能够加快破解速度。

匹兹堡的卡耐基梅隆大学计算机科学学院给出了几点设置密码的建议。

· 设置密码时不要使用个人信息,例如你的名字、用户名等其它个人信息,因为这些信息很容易就能从网上搜索获得。
· 不要使用“单词”(英语或其他语言)、正常的名字、电视节目的名称、键盘序列(asdf等)或是其他任何字典里可能出现的序列。
· 不要简单地用单词变型后做密码,比如在词的开头和结尾加上句号,把字母“i”变成1,将单词顺序导致,这些都不是好办法。这样的密码“password,123”不是好密码,因为“,123”这个序列很常见,只是简单变型。
· 不要设置八位以下单纯用字母或数字组成的密码。字母要大小写并存,混合数字和字母,还要包括一些非字母元素。

在这里,卡耐基梅隆大学的教授们给出了一个比较简单的办法——想出一个容易记住的句子,将每个单词的首字母(包括标点)作为密码。句子中标点符号和数字越多安全性越高。

比如:“I have two kids: Jack and Jill.”这句话转化为密码就是"Ih2k:JaJ."。

“总之,密码越长,某人猜出密码或暴力破解的可能性越低。”卡耐基梅隆大学的教授在一份详细的密码设置指南中写道。本文译自 Livescience,由译者 王大发财 基于创作共用协议(BY-NC)发布。

指南中给出的强密码例子:
Ih2k:JaJ.
IlteD&A'ic.
N,tcoWi'C!
unix+PhUn
bo!ok29goat
august,=bRICK

完全指南


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

0.0
赞一个 (3)

TOTAL COMMENTS: 49+1

  1. Astray
    @4 years ago
    2379596

    面对“Heartbleed”,该设置64k以上的密码

    [236] XX [3] 回复 [0]
  2. 2379598

    推荐的密码
    连自己都记不住
    到时更多人申请忘记密码了

    [61] XX [3] 回复 [0]
  3. 2379599

    那个一句话首字母的不错 可以拼音首字母 貌似不错。。

  4. 2379601

    叫少佐来!

    [14] XX [0] 回复 [0]
  5. 2379602

    最后一句不是废话么….

  6. D级人员
    @4 years ago
    2379603

    密码:I thought what I’d do was,I’d pretend I was one of those deaf-mutes.

    [29] XX [0] 回复 [0]
  7. 灰非非灰
    @4 years ago
    2379610

    突然想起微博上看到那人设的密码“2 5 5 7 8 7 6 5 6 7 7 7 7 6 7 6 5”,不记得的时候就唱一下周董的《晴天》…

    [34] XX [7] 回复 [0]
  8. 吓尿你
    @4 years ago
    2379616

    qwefjn23p498falsdknfq20p98rfjwqperj20rvnakdfsfu834
    wifi密码,输入时都是复制粘贴的.哈哈

    [3] XX [22] 回复 [0]
  9. meikimi
    @4 years ago
    2379624

    @灰非非灰: 吹着前奏望着天空我想起花瓣几时掉落~

    [14] XX [0] 回复 [0]
  10. 2379625

    那你让银行密码情何以堪?

  11. 哲学大叔
    @4 years ago
    2379627

    从根本上说,采用策略限制登录尝试造成破解高成本才是有效的方法。

  12. 2379634

    想起IT狂人的超长电话号,把密码也做配成歌就记得住了

  13. 阿华田
    @4 years ago
    2379644

    @Ian: 就是那个911之歌?

  14. 2379656

    笑脸男

  15. 2379668

    用LASTPASS 或者KEEPASS 生成强密码就行了,自己根本不用记,软件自己会保存,用的时候自己只需要记一个主密码就行了

    生成的强密码强度爆表,
    随便生成一个 b?t??ú2?F&-ü????óC?V?j???8?t¨?

  16. 2379671

    @灰非非灰: 没用的,任何纯数字的密码都不安全。。。。

  17. 2379677

    对马电池订书钉?

  18. fnlCtrl
    @4 years ago
    2379682

    楼上都弱爆了
    教你们一个最实用的:
    自己记一串数字 不过不是直接把它当做密码 而是把它转成16进制以后再作为密码
    比如某人的生日是1-9 4*5`0229 转成16进制就是128c975
    某人的手*- 机是139/12-312.{*}345 转成16进制就是33d3d0a19
    把16进制的数作为密码(能背下来最好) 忘了就用windows自带的计算器把自己原来背的那个数字转成16进制就是了
    如果还要安全一点,就给里面的字母加一个大小写规律 大-小-大-小之类的
    更安全一点 对于不同网站加一个提示性的前缀(后缀) 然后比如某宝就33d3d0a19tb或者tb33d3d0a19 某Q某度以此类推

    [32] XX [7] 回复 [0]
  19. fnlCtrl
    @4 years ago
    2379683

    中间加的特殊符号是为了防煎蛋的”不允许发QQ号手机号过滤”…

  20. 公民小王
    @4 years ago
    2379698

    美国的那些五毛新闻媒体应该被以叛国罪处死!这么一个可以供NSA获取世界人民需求,帮助NSA更好造福世界人民的漏洞就这样被暴露了,令人发指!

    [15] XX [2] 回复 [0]
  21. 阿布
    @4 years ago
    2379703

    @公民小王:
    不好意思 小王同学,在那篇帖子里 把你的高级黑当做美粉了 看你这句 才看出来 – –

    [8] XX [10] 回复 [0]
  22. KFC神马的
    @4 years ago
    2379707

    抛弃电子脑和义体啊!

  23. 2379708

    指纹输入安全吗?

  24. 2379709

    我觉得苹果id已经够渗人了

  25. 大便
    @4 years ago
    2379711

    dwoqdoicnasj93fd9s0s32t-08fiauiasckjpoamkpo23k1-0pfadp=00293tgds021Uss989dkwpokqpkd-sad0i-32f0-sa9d-02j

    这是我的邮箱密码,你来破吧

  26. Darkgeist
    @4 years ago
    2379721

    ppnn13%,dkstFeb1st
    娉娉袅袅十三余,豆蔻梢头二月初
    上面那些都是渣渣

    [39] XX [2] 回复 [0]
  27. 大坏蛋
    @4 years ago
    2379729

    我觉得黑客不在乎我

    [23] XX [0] 回复 [0]
  28. 撒哈拉的小猫
    @4 years ago
    2379732

    我觉得黑客不在乎我22

    [13] XX [0] 回复 [0]
  29. 2379733

    根据前面的漏洞介绍,除非你的密码比服务器的内存容量还长,否则照样泄漏出去。

    要不,弄个8个GB大小的密码?

    [11] XX [0] 回复 [0]
  30. 哲学大叔
    @4 years ago
    2379737

    嗯。aaa的对。这个漏洞直接看到内存数据。都是明文。不用解密。

  31. ID不允许数字
    @4 years ago
    2379742

    Heartbleed和密码强度有关系?

    [10] XX [0] 回复 [0]
  32. blabla
    @4 years ago
    2379748

    密码只要能防住女朋友就够了~ 我手机密码四个1 这傻娘们试了半个小时还没进去…

    [17] XX [2] 回复 [0]
  33. MrYellowYy
    @4 years ago
    2379758

    现在密码是password的跪了…

  34. 2379788

    紫妹妹把你们的脸按在键盘上滚,终有一天滚出密码,就算你忘记了 那天紫妹妹还是17岁

  35. 零下伊度
    @4 years ago
    2379795

    我觉得密码弱点万一发了什么不该发的内容被请去小黑屋还可以说账号被人盗了,jc一查还真是有很多不同地点的登陆记录。你要是密码太不可能被盗,你连借口都没了。。。

  36. 0x9427
    @4 years ago
    2379831

    我觉得对于普通用户来说,根据网站的重要等级设置不同的密码是最重要的,不要在不同的网站使用相同的密码,重要的网站设立复制到密码,不常用的或者小网站使用简单的密码。找回密码所用的邮箱密码单独设置。最好这些差不多就够了。

    你对于黑客来说,不黑是你没有价值。

    我利用 heartbleed漏洞在 12306上扒了一些数据,就找到了一个登录请求,当然是明文的。登录进去后,看见注册邮箱是qq,就直接拿着这个密码进了他的qq。然后你什么都知道了,呵呵

  37. ID不允许数字
    @4 years ago
    2379860

    @0×9427: 12306是明文密码?

  38. 牛奶菌
    @4 years ago
    2379872

    有段时间我的密码是:飞雪连天射白鹿,笑书神侠倚碧鸳。的拼音开头。

  39. martixingwei
    @4 years ago
    2379977

    heart bleed漏洞是指黑客可以直接获取服务器内存数据 绕过协议层加密 你密码设得再强也没用
    你发送给服务器的请求里是包含密码的 服务器那边接收到请求之后再处理 这期间内存里就会留下你的密码的记录 黑客利用heart bleed漏洞就可以获取到这部分内存 直接看到你的密码
    如果服务器那边没修复这个漏洞 你去改密码反而更危险 因为也许你的数据已经被从内存删除了 你改密码时的登录请求就又会重新被记录在内存里 增加被发现的危险

    [13] XX [0] 回复 [0]
  40. 2380003

    cqmygysdssjtwmydt 静夜思

  41. LUXTOS
    @4 years ago
    2380041

    @blabla: hhh好呆萌的女朋友

  42. 羽蛇神的回归
    @4 years ago
    2380227

    想一句话或一个单词,拖到MD5里面,得到一个16位数字加字母的字符串,然后你只要记住最开始的单词和你究竟哈希几次就行了

  43. 2380297

    什么时候有支持汉字的密码就好了

  44. YET–MAC
    @4 years ago
    2380496

    我只想说,, 阿布 (S B) 滚粗煎蛋可好?。。

  45. 2380619

    楼上淡定,还是有人爱看他写的评论的呢,仔细看看很长姿势的。

  46. 2381270

    在笑面男眼里,密码全是浮云

    只是那个漏洞随机泄露数据,这和密码长度和复杂性无关吧

  47. 裤兜里的毒药
    @4 years ago
    2381673

    我也觉得是泄露的问题,除非你用123456或者000000,要不没那么容易被破解

  48. senkidd
    @4 years ago
    2381729

    1NLD2BnqD1LHX3nFS9Rpkd4dxvWmjp6uTQ

    请大家记住,这是我的比特币钱包。

  49. 喵来个咪
    @3 years ago
    2818868

    我有时用“派”的后几百位数字(位数是有特殊意义的,不记得了查一下)再加上数字对应的英文字母顺序。

发表评论


24H最赞