关于“用户密码”的一些原理和设置建议

最新推荐文章于 2023-05-21 15:48:53 发布
最新推荐文章于 2023-05-21 15:48:53 发布
阅读量1k 收藏 1
点赞数
分类专栏: 专题 文章标签: 用户密码 加密 密码设置 安全 易用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaochengchengip/article/details/51716964
版权
目的:
          提高一下身边人的密码安全意识。

前言:
          最近爱奇艺账号充了个会员,某天突然发现头像被改(十分非主流),一查登录记录,被吓了一跳(见图1.1)。跟客服反馈,各种槽点就不吐了,今天就主要说说从自身的角度如何提高密码安全性。
如有说得不准确,欢迎指出。 第一部分从几个方面讲原理,觉得乏味的可以跳过这一部分,直接看 第二部分设置一个较为安全密码的步骤。

      
         图1.1

第一部分:

1、好的密码是如何定义的?
      安全、易用。
     密码应该是 安全的。我设置的密码只能是我自己知道、我想要知道的人知道,除此之外,我不希望再有任何人知道。从原则上来说,负责验证该密码的平台也不应该知道该密码(的明文,什么是明文在下文会说到)。
     密码应该是 易用的。存储关键的密码我不信任任何一款在线或离线的文本记录工具,我只信任我的大脑,But the brain is not a machine,我容易忘记密码。
     好的密码应该是 兼顾这两方面的。    

2、容易存在的密码安全隐患有哪些?
     I、密码 过于简单
          密码仅由少数位的字母或数字组成,容易被穷举暴力破解。
     II、密码通 用性过强
          多个平台的账号使用同一密码,这些平台又有邮箱或者手机号码等常用于平台登录的信息,一个密码被破解,连着的一系列用户密码都如同虚设。

3、密码实际上是如何存储和校验的?
     首先解释一下 明文密文
     明文指的就是用户所知道的密码,比如我想登录一个网站,把密码设置为“shaochengcheng123456”,“shaochengcheng123456”就是明文。
     密文如这样“ sha1 : c29debbb80c7074aa335c5ae51ae73816c638b29”,由一长串16进制的字符所组成,提交的明文密码最后经由一系列的加密、传输和加密之后会与明文进行比对,当两者一致时,方可通过用户认证。
     密码用密文存储和验证主要是考虑到当密码发生泄漏时,控制密码的原文不被泄漏,缩小密码泄漏的影响,保护用户的密码隐私。不同的平台原则上应该采用不同的加密方式,对密码进行不同的加盐处理等,让获取密码密文者 不能推出密码原文
     
     请注意我的用词,我说的是不同的平台 原则性会维护用户的密码安全,但不排除有安全意识不够或不负责的公司在这一方面并没有进行周详的考虑,他们也许采用一些公共的加密算法,又或者他们本身就是那些盗取你密码信息的“黑商”。当你以手机号码、电子邮箱作为用户信息在这些平台上注册信息时,并且使用的是你的通用密码,后果就不用我说了吧,一旦到了这种时候,真就是“人为刀俎我为鱼肉”。
     (也不必恐慌,现在我们使用的重要信息平台银行、支付宝、微信一般都需要进行 二次登陆验证,常见的有手机短息验证。)

4、想要破解你的密码,究竟有多难?
     破解密码常用的方法有 穷举法字典对照表法

      穷举法就是通过机器计算排列组合,一遍一遍对密码进行尝试,直到获得正确的密码。了解了穷举法的原理,你就明白什么是平台注册时所说的密码强度。为什么有的平台要求你设置密码必须由字母、数字或符号组成,密码长度又必须大于多少位,这些都是在增加穷举演算出密码的难度。现在电脑的计算能力越来越强,又有了分布式集群计算,计算资源丰富,平台对用户设置密码的强度的期盼当然也就越来越高,其实这一点与用户对密码的易用性期待是相违背的,在第二部分我会抛出我的方法,如何在增强密码强度的同时兼顾易用性。
     电脑穷举运算密码能力的具体参数请参考下面这篇文章。当然,在信息高速发展的今天,也要注意时效性哦。

      字典对照表法指的是从几个维度存储密码密文到明文的映射关系。例如,当你拿到一个密文,你可以在这个对照表里查询到对应该密文的原文信息,从而将明文密码锁定在很小的一个范围(相对穷举法来说)。如果这个对照表足够大,如果被破解密码的平台用的是公共加密算法,那么密码从密文到明文就近在咫尺了。
 


第二部分:

说了这么多,接下来说一说我的密码设定方法,当然,聪明的你一定知道自己在设定密码时也 不能完全按部就班,重点是touch思想,有所启发,有所 多样

从密码的 强度通用性考虑,最终设置的密码是由以下几点综合而成。

1、 设置两套密码。一套用于不太重要的场合,例如论坛、视频网站等娱乐平台;另一套用于涉及到个人隐私、个人财产的重要平台。
      
     密码A(娱乐场合):123456
     密码B(重要场合):1314151910

2、 增加密码复杂性。例如增加自己名称的首 字母、增加几个容易记忆的 符号例如“!@#”
     
     张三
     密码A:zs123456!@#
     密码B:zs1314151910!@#

3、 减少密码的通用性。根据不同平台,增加不同的前缀。例如爱奇艺为“iqiyi”。

     爱奇艺
     密码A:iqiyizs123456!@#
     密码B:iqiyizs1314151910!@#

     微信
     密码A:wechatzs123456!@#
     密码B:wechatzs1314151910!@#



结语:
          希望能对你有用,毕竟现在是信息化的时代,不要成为新时代的“文盲”哦。 大笑

著作权归 shaochengchengip@qq.com  邵成程所有,商业转载请联系本人,侵权必究
焦虑Run
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
局域网互访设置原理
08-06
组策略-计算机配置-Windows 设置安全设置-本地安全策略-安全选项-网络访问:不允许SAM帐户和共享的匿名枚举. 设置为 已启用 说明:利用ipc$通道可以建立空连接,匿名枚举出该机有多少帐户.显然有一定的安全隐患....
X2C 电商 设计思路
promiseful的博客
10-27 433
一、账户需求 1、接口如何保证帐号密码安全 2、数据库中密码如何加密 3、一般帐号密码登录 用户在浏览器端填写 account + password ,然后提交到服务端 服务端拿到用户提交的 account + password 验证验证成功后,服务器返回请求,同时将 cookie 写到对应域 4、问题思考 如何用正确的方法保存密码。 如何用正确的方法传输数据。 如何用正确的方法加密敏感信息。 二、Session 管理机制 1、服务无状态设计 2、非活跃定时过期和活跃
用户密码的存储机制
呜呼哈
04-05 527
In-Memory Authentication Spring Security 的 InMemoryUserDetailsManager 实现了 UserDetailsService,以支持存储在内存中的基于用户名/密码的身份验证。InMemoryUserDetailsManager 通过实现 UserDetailsManager 接口提供对 UserDetails 的管理。当 Spring Security 配置为接受用户名/密码进行身份验证时,它使用基于 UserDetails 的身份验证。 在这个示
密码的明文和密文显示
学点的CSDN博客
06-09 9453
开发工具与关键技术:Visual Studio 与jQuery 作者:黄灿 撰写时间:2019.6.9 密码的明文和密文显示,在HTML中给两个input标签,一个input标签的类型为password,另一个input标签的类型为text,type="Password"的input标签为密文,type="text"的input标签为明文,先把type="text"的input标签给上一个样式属性...
【产品】密码明文显示的必要性和解决方案
pmcaff2008的博客
02-06 316
为什么要显示密码明文?密码输入方面的可用性问题被诟病已久。复杂的安保要求(最少xx个字符、必需包含标点符号和大写字符...)以及难用的输入方式等等时常会使用户产生强烈的挫败感,甚至蒙受损...
js显示隐藏密码明文案例
新生代农民工
09-27 2181
案例分析 1、核心思路:点击眼睛按钮,把密码框类型改为文本框就可以看见里面得密码 2、一个按钮两个状态,点击一次,切换为文本框,再次点击切换为密码框 3、算法:利用一个flag变量,来判断flag的值,如果是1就切换为文本框,flag值设置为0,如果是0就切换为密码框,flag值为1。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="
危险口令排行榜.docx
09-16
可是,有相当多的用户安全意识不够强烈,宁可采用自己的“土方法”,也不愿意听取安全专家对于口令选取的建议,而他们的口令有很多是高风险的。为了使大家对此有一个形象的认识,笔者参考了十数个黑客软件的工作原理...
Struts原理、开发及项目实施
05-08
Struts原理、开发及项目实施 Holen 2002-9-12 <br/>1、 摘要 2、 关键词 3、 Framework 4、 Struts的起源 5、 Struts工作原理 6、 Struts安装 7、 一个实例 8、 Struts优缺点...
基于J2EE框架的个人博客系统项目毕业设计论文(源码和论文)
03-12
首先必须在博客首页中登录填写用户名和密码,这样才能执行一些相关操作,不然就是普通用户只能查看一些信息,而不能发表博文。可以在管理页面上添加博文的分类,可以上传图片和游览自己的相册,在上传过程中可以将...
网络安全教程案例.docx
最新发布
04-02
- **密码安全检测工具**:开发一个密码安全检测工具,可以检测用户密码安全性,提供改进建议。 #### 4. 课程结尾: 总结密码安全的重要性和解决方法,提醒学习者保护自己的密码安全,并建议他们在实际使
快应用如何实现密码明文和密文切换显示
开源世界
07-08 782
很多应用提供了账号登录、注册功能,在输入密码时,开发者为了安全性,当用户输入密码时,一般都显示……的密文。但是,这个体验也给用户造成了不便,用户不知道当前输入的字符是否是自己期望的,也无法知道当前输入到哪个字符。针对这个问题,开发者进行了优化,在输入框旁边提供了小图标,点击可切换显示明文和密文。快应用开发也是可以实现上述功能的。 解决方案 密码输入框使用input组件,input组件提供了多种type值,密文使用type类型为password,明文类型可使用text类型,type字段需要绑定动态变量。 在明
密码框的明密文(显示和隐藏) 显示
热门推荐
皮卡丘の开发之路
12-19 5万+
最近在写一个新的项目,从头开始写,所以就要从注册登录开始做起.以前写登录注册模块的时候,无外乎给input框一个type=”password”就可以了,近期因为要涉及到显示隐藏状态的切换. 样式代码如下: 注: 1.样式展示(): ul> li class="phone bgImg"> input type="text" id="phone" maxlengt
关于登录密码加密的三个方式
weixin_62395763的博客
05-21 3451
1、数据库加密,可能会被解密2、后端工具类加密,可能会被别人拦截前端传递的数据,导致泄露。3、前端加密是一个优解,在不影响执行速度情况下。当然想前后端都加密一次也可以。
【数据库原理】实验三 数据保护
CE00001的博客
04-14 374
用户帐号与用户数据库相关,数据库中对象的全部权限和所有权由用户帐号控制。登录帐号不能提供访问数据库对象的权限,当一个登录帐号与用户数据库中的一个用户帐号相关联后,使用该登录帐号连接SQL Server服务器,才能访问数据库中的对象。登录帐号是指能登录到SQL Server服务器的帐号,它并不能让用户访问服务器中的数据库。而持登录帐号的用户要访问数据库中的数据库时,必须要有用户帐号。提示:进入对象资源管理器,展开“服务器”®“安全性”®“登录名”,右击欲删除的登录帐号,在出现的快捷菜单中单击“删除”
用户密码传输和存储的保护
weixin_34221073的博客
02-09 776
软件设计的过程中,用户密码信息最为敏感,在进行用户登录验证时,除了将密码在传输的过程中,进行md5加密,避免密码明文传输过程中被截获外,还有一个就是密码在数据库中的存储安全问题。 常用的方案是对密码进行“加盐”处理。 用户注册。 1.得到用户传过来的密码后,首先在计算机中获取一个随机数, 2.获取到随机数后,设计一个任意算法...
数据加密原理详解
you_ranxi的博客
11-29 1万+
数据加密,是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。 数据加密仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 一、基本信息 简介 和防火墙配合使用的数据加密技术,是为提高信息系统和数据的安全性和保密性,防止秘密数据被外部破译而采用的主...
用户密码
weixin_44799645的博客
10-30 456
设置密码  passwd命令 – 格式:passwd [选项]… 用户名 [root@localhost ~]# passwd nsd01 #交互式设置 更改用户 nsd01 的密码 。 新的 密码: #输入新密码 无效的密码密码少于 8 个字符 重新输入新的 密码: #重新输入新密码 passwd:所有的身份验证令牌已经成功更新。 [root@localhost ~]# su - nsd01
springSecurity 登录以及用户账号密码解析原理
weixin_34292959的博客
01-19 2207
springSecurity 拦截器链 用户登录基本流程处理如下: 1 SecurityContextPersistenceFilter 2 AbstractAuthenticationProcessingFilter 3 UsernamePasswordAuthenticationFilter 4 AuthenticationMan...
短信密码原理与优缺点
05-24
短信密码是一种使用手机短信进行验证的身份认证方式,其原理是在用户输入用户名和密码后,服务器会向用户的手机发送一条包含验证码的短信,用户需要将该验证码输入到网页或应用程序中以完成身份验证。 优点: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值