老百姓的网络安全之密码安全（二）

话接上讲（《老百姓的网络安全之密码安全（一）》，我们继续来谈密码安全的问题！

从黑客对用户的密码攻击角度上来看，只有暴力破解、针对性密码字典这两种攻击利用形式才是由密码的强弱程度所决定的；而拖库、撞库则部分由密码强弱程度及密码通用性决定；其他攻击利用形式则不由密码强弱程度决定。

所谓密码的通用性是指一个密码在用户所有账号中使用的频繁程度。目前几乎99%的老百姓都有在多个网站账户上使用相同密码的习惯。这样不管密码多复杂，只要一处被泄露了，就等于处处被泄露了。

现阶段中国的网民数量在6亿左右，而已经被泄露的账号密码保守估计也超过了60亿。这意味着几乎可以把每个网民覆盖十遍！所以，你当初冥思苦想的那几个密码可能早已经被黑客所掌握。

感兴趣的朋友可以去网上的社工库中搜索看看实际情况： http://xiaoand.cn/post-387.html

所以，依照上一讲的内容，用户可干预的密码安全策略主要取决于两点：1、密码的强壮程度，2、密码的通用性。

那么如何设置高强度又好记的密码呢？

我给大家先讲个笑话：

吃饭时看到小饭店里的wifi密码是zlyplxh，甚怪。

问老板：这密码好难记啊。

老板笑答：不难，就是“再来一瓶老雪花。”

我一边读，一边输入密码，就听那面服务员，嘭的一声，上来就开了一瓶。

Monyer的解决方案与之类似：

1、首先把自己最常用的数字密码拿出来，譬如：5211314

2、想一首自己朗朗上口的段子，譬如：

（1）吃葡萄不吐葡萄皮

（2）白日依山尽黄河入海流

（3）无法可修饰的一对手

（4）妈妈说再也不用担心我的学习

（5）今天天气不错

（6）我喜欢吃红薯

3、选择一个自己喜欢的特殊字符，譬如：!、@、#等

4、选择目标网站的第一个字母（或最后一个字母、或两个字母也行），譬如：网易w（wa）、百度b（ba）

5、将段子中开头或结尾的字母大写

6、将上述密码因子随意组合来生成密码，譬如：

特殊字符+常用密码+目标网站+段子

网易密码就成了：@5211314wwfkxsdydS

百度密码就成了：@5211314bawfkxsdydS

当然，所选择的字符，顺序什么的都可以自己调整。譬如：

网易密码：

5211314@iwfkxsdydS、Wfkcsdydswa5211314!

需要注意的一点是：目标网站的标识字母一定要藏好，如果密码成了：5211314Wfkxsdyds@baidu这样，那么很明显黑客一定会去尝试下：5211314Wfkxsdyds@163看看。

那么现在我们回过头来看看我们的密码：

1、已经实现了一站一密，密码通用性降到最低

2、密码中含有数字、字母、字母大写、特殊字符，复杂度最高

3、密码的位数可以相当的长啊

4、密码可以被轻易记住

如果我们感觉密码泄露了，那么只要更改密码中的段子或常用密码或特殊字符就可以了。

那么再来说说，密码可以记在哪些地方？

依照操作难易来看，依次是：

1、记在脑子里。脑子是世界上最可靠的密码管理系统，同时也是世界上最不可靠的。

2、记在本子上或贴在显示屏旁边（即纯物理记录）。我相信我贴出这条，肯定会有一大批网民以及网络安全专家在心中鄙视我、反对我，但这的确是一个记录密码最好的方式。因为我们的密码并没有放在一个公开的场合，如果是怕家人看，那么我感觉这是个互相信任的问题。譬如我老婆的密码我是都知道的，但我从来不会去登录。如果你感觉在家人面前必须要有所保留的话，那么只能说这条不适合你，你可以参考下一条。

3、使用密码管理软件。像keepass、1password都是很不错的软件，都有电脑版和手机版，也都可以生成随机的任意复杂的密码，并且都是离线的。

此外新兴网络时代还可以使用更安全的账户管理和登录方式——oAuth，也就是我们最常见到的“使用QQ账号登录”、“使用微博账号登录”、“使用微信账号登录”等。

使用oAuth后，被授权的站点的安全性其实是由oAuth服务提供方（也就是QQ、微博、微信）决定的。虽然俗话讲：鸡蛋不能装在一个篮子里。但是在安全界还有一句话叫：安全遵循木桶原理，安不安全往往取决于最短的那条木板。而提供oAuth的这几家网站相对来说木板处于高位，更能防止密码泄露的发生。此外他们的二维码登录策略建议大家多用用，一个不需要密码就能登录的功能，必然可以减少密码在网络传输中被截获的概率。（需要注意的是：在使用oAuth进行登录时，一定要确认好域名是不是qq.com或weibo.com之类，以防止目标网站架设一个虚假的oAuth来诱骗用户密码。二维码登录不存在此问题。）

其实在上一讲中还有一个没有提到的问题：黑客除了上述手段，还有一些不用获取你密码就能登录或操作你账号的手段，譬如：Cookie欺骗、跨站脚本攻击（XSS）、跨域请求伪造（CSRF）、站点鉴权漏洞等。不过网络安全专家普遍认为跨站脚本攻击、跨域请求伪造以及站点鉴权漏洞都是网站的漏洞，而不是用户使用上的漏洞。而且这部分攻击防范的难度实在是太大，即便是搞网络安全的老手中招的概率依然会很大。

所以对于这部分的安全防范Monyer的建议是：不要轻易上陌生或开放式网络、不要随意点击别人发来的连接（另外在关闭网站之前点击退出登录一般可以防止Cookie欺骗的持续性发生，不过我估计很少有人愿意这么做）。上述建议可以解决部分问题，但不是全部。有一定网络应用基础并且对账户安全要求更苛刻的人建议尝试使用Firefox浏览器并安装Noscript插件，这可以在一定程度上对跨站脚本攻击及跨域请求伪造进行防御。

好了，关于密码安全就讲这么多了，有任何问题依然欢迎留言讨论。

作者：Monyer 微博：http://weibo.com/monyer

游侠安全网（www.youxia.org）专注于信息安全、网络安全业界资讯和发展趋势。您可以关注我们的微信公众平台帐号 youxia-org （也可长按下面的二维码然后选择“识别图中二维码”）。谢谢！