一份菜单

创建强密码的终极指南

强密码
 

“Treat your password like your toothbrush. 唐’不要让别人使用它,并且每六个月换一个新的” – 克利福德·斯托尔

 
在网站上创建帐户时,您可能拥有“password dilemma” for a second. The dilemma is whether you should provide a weak password that is easy to remember 要么 a 强大 password that is hard to remember. Following are the rules and guidelines that may help you in overcoming the 密码困境 and help you in creating a 强大 password that are secure. These are the things that I’根据我自己在保护密码安全方面的兴趣,已经使用了多年。

I.两个基本密码规则:

创建密码时,应遵循以下两个基本原则。

规则1– 密码 Length: 密码长度至少为8个字符。密码中的字符越多越好,因为攻击者破解密码所需的时间会更长。 10个字符或更长的字符更好。

规则二–密码复杂度: 以下各组至少应包含一个字符。密码中至少应包含4个字符,并且每个字符都应为下列字符之一。

  1. 小写字母
  2. 大写字母
  3. 号码
  4. 特殊字符

我称上述两个规则为 “8 4 Rule” (八项规则):

  • 8 = 8 characters 最低 length
  • 4 = 1个小写+ 1个大写+ 1个数字+ 1个特殊字符。

只是跟随“8 4 Rule”对于大多数人来说,这将是一个巨大的进步,它会立即使您的密码比以前更强大’创建密码时,请遵循任何准则或规则。如果您的银行和任何对财务敏感的网站密码不正确’t follow the “8 4 Rule”,我强烈建议您立即停止一切操作,并立即更改这些密码以遵循“8 4 Rule”.

二。创建强密码的准则:

  1. 跟随“8 4 Rule”. Like I mentioned above this is the foundation of creating a 强大 password.
  2. 独特的角色。 至少应包含5个唯一字符。如果您已经有4个不同的角色’ve followed “8 4 Rule”.
  3. 使用密码管理器。 强密码很难记住。因此,作为创建强密码的一部分,您需要一种可靠且值得信赖的方式来记住强密码。使用密码管理工具存储密码确实应该成为一种习惯。每当您创建密码时,请在密码管理器工具中记下该密码,该工具会加密密码并为您安全保存。我建议 密码龙 (无耻的插头。我’由该软件的开发人员开发),一个免费,简单且安全的密码管理器,可在Windows,Linux和Mac上运行。也可以从USB驱动器启动它。有许多免费的密码管理器工具可用,请选择一种最适合您的口味并使用它的工具。
  4. 使用密码。 如果你不这样做’如果不想使用密码管理工具,请使用“密码”轻松记住密码。您可以使用非常熟悉的歌曲或短语的缩写。例如“密码就像内衣,经常更改!”短语可以转换为强密码“Prlu,Curs0!”

三,避免弱密码的准则。

避免在密码中输入以下内容。在以下各项中,即使您的部分密码也不应包含任何内容。

  1. 与用户名或部分用户名相同的密码
  2. 家人,朋友或宠物的名字。
  3. 有关您自己或家人的个人信息。这包括可以很容易地获得有关您的一般信息,例如出生日期,电话号码,车牌号,街道名称,公寓/门牌号等。
  4. 序列。即键盘上的连续字母,数字或键。例如abcde,12345,qwert。
  5. 字典单词。前面或后面带有数字或字符的字典单词
  6. 任何语言的真实单词
  7. 在字典中找到的单词与单词的数字替换相似。例如将字母O替换为数字0。即passw0rd。
  8. 以上任何一个都以相反的顺序
  9. 上面的任何一个,前面或后面都有数字。
  10. 空密码

IV。密码常识:

以下所有内容都不是新鲜事物,而是非常常识。但是大多数时候,我们倾向于忽略这些项目。

  1. 每次创建唯一的密码。更改现有帐户的密码时,该密码不应与先前的密码相同。另外,请勿在更改密码时使用增量密码。即password1,password2等。
  2. 每6个月更改一次所有帐户的密码。由于密码的长度是固定的,因此如果攻击者有足够的时间和处理能力,则蛮力猜测密码的攻击将始终成功。因此,始终建议您经常更改密码。在您的日历上安排一个定期约会,以每6个月更改一次密码。
  3. 永远不要写下您的密码。创建一个非常强壮的密码并将其记录在纸上与创建易于记忆的弱密码而不在任何地方写下来一样糟糕。在此主题上进行了一些有趣的调查,结果发现有几个人写下了密码并将其保存在计算机旁边。他们中的一些人认为将便签纸放在鼠标垫下方足够安全。您永远不要在纸上写下密码。如果您想始终随身携带密码,请使用从USB记忆棒运行的密码管理器工具,并随身携带密码。
  4. 唐’t share with anyone。任何人都包括您的朋友和家人。可能您已经听说过“密码就像内衣,不要’t share with anybody”。我们教孩子一些生活中的事情。向他们传授有关在线安全性和不与他人共享密码的知识就是其中之一。
  5. 永远不要为两个不同的站点保留相同的密码。为您的所有电子邮件创建一组密码,为所有银行站点创建另一组密码,为所有社交网站创建另一组密码是非常诱人的。避免这种诱惑,并为所有帐户保留唯一的密码。
  6. 唐’当有人看着你的肩膀时,请输入密码。如果您缓慢键入并在键盘上搜索字母并用一根手指键入,这一点尤其重要,因为从肩膀上抬起的人很容易找出密码。
  7. 永远不要通过电子邮件将密码发送给任何人。如果您遵循上述#3,则不应选择此选项。但是我的原因’我之所以专门说这是因为几个黑客以支持人员的身份发送电子邮件,并通过电子邮件询问您的用户名和密码。合法的网站或组织绝不会通过电子邮件或电话询问您的用户名和密码。
  8. 受到威胁后立即更改密码. Even if you have the slightest doubt that someone might have stolen your password, change it immediately. 唐’甚至浪费一分钟。
  9. 唐’t use the “Remember password” option 上 the browser without setting the 主密码. 唐’t使用浏览器的此功能来存储您的用户名和密码,而无需启用“Master 密码” option. 如果你不这样做’如果在firefox浏览器上设置了主密码,则使用您的firefox浏览器的任何人都可以看到以纯文本格式存储在firefox浏览器中的所有密码。另外,请谨慎使用此选项并说‘Not Now’在“记住密码”弹出窗口中,如果您使用的是’t belong to you.
  10. 唐’在不属于您的计算机上输入密码。 如果可能的话,不要’不要使用您不使用的其他计算机’请勿登录任何网站,尤其是对银行等非常敏感的网站。对于黑客来说,使用密钥记录器是一种非常普遍的做法,该工具将记录系统上的所有按键,从而捕获您键入的所有内容,包括密码。

请留下您对这篇文章的评论。如果您使用不同的方法或规则来创建强密码,请在注释中与所有人共享。
 
如果您喜欢此帖子,请在上添加书签 del.icio.us并绊倒它。

如果您喜欢这篇文章,您可能还会喜欢..

  1. 50个Linux Sysadmin教程
  2. 50个最常用的Linux命令(包括示例)
  3. 排名前25位的最佳Linux性能监视和调试工具
  4. 妈妈,我找到了! 15个实用的Linux Find命令示例
  5. Linux 101 Hacks第二版电子书 Linux 101黑客手册

Bash 101 Hacks书 Sed和Awk 101黑客手册 Nagios Core 3书 Vim 101黑客手册

{ 50 评论… 加一 }

  • 阿杰 2008年6月9日,上午4:52

    这是一个很好的指导
    您已经很好地涵盖了每一点

  • Shilpan | successsoul.com 2008年6月9日,下午5:23

    拉梅什

    关于密码管理的优秀文章。标题真正代表了其价值。它涵盖了与密码管理有关的所有内容。

    Shilpan

  • 阿杰 2008年6月9日,晚上9:46

    感谢ramesh对我的评论。
    你能订阅我的博客吗?我已经订阅了您的博客rss以保持联系

  • Suresh Kumar 2008年6月9日,晚上11:31

    非常感谢您的出色工作,他们提供了一些有关安全密码的宝贵提示。

    由用户来考虑他们当前的密码是否安全。如果您认为不是?请继续并确保其安全。

    唐’•不允许任何入侵者访问您的站点/银行帐户。

    我写了一篇关于“如何加强密码”. you can visit 这里

    http://suresh-mobileweb.blogspot.com/2008/06/google-warns-against-weak-passwords.html

  • 莫里兹 2008年6月17日,上午2:19

    不错,但不现实。
    首先,我’m订阅了至少一百个网站。一世’我确信这关系到每个人。每次我该如何选择新密码?
    第二:将所有密码保存在pw管理器工具中,意味着将风险集中在该工具上。谁保证该工具无法被黑客入侵?

    我同意本文的其余部分。

  • 拉梅什 2008年6月22日,下午3:12

    @阿杰

    感谢您阅读我的文章。我也订阅了您的博客。

    @Suresh,

    我读了你的文章“如何加强密码”而且写得很好。

    @莫里茨,

    感谢您发表评论。大多数密码管理器使用非常好的加密算法,这使得某人很难破解。在我的密码Dargon中,我使用了Blowfish加密。

  • 丝丽 2008年7月7日,上午12:16

    拉梅什,好东西。
    绝对要加一两点让我记住。
    谢谢

  • 埃米尔·贝利 2008年8月13日,上午6:25

    好文章。
    However, 上e can get scared reading part about 强大 passwords.
    I believe it might be suggested that there are very 强大 passwords easy to remember.
    有点像:

    7LittLE_Hobbits!
    Thisis1of_GoodPasswords!
    isMyPet_aCat?

  • mk_michael 2008年12月6日,下午4:36

    非常有帮助的方法。一世’ve向您发送ping到该帖子。

  • 丽莎·莫什菲吉(Lisa Moshfeghi) 2009年6月9日,下午11:46

    我还是觉得’s ok to write down a long password 上 a piece of paper and keep it safe. 好文章though.

  • kurinchi博客 2009年6月19日,上午10:39

    你好

    如何编写在Window,Linux,Unix上执行的程序?它是使用c / c ++开发的.exe文件吗?

    正如您提到的密码龙,我想问一下您。

    -库里奇

  • 飞网 2009年6月25日,上午6:59

    for automatic generation of 强大 password you can use:
    -pwgen
    -gpw
    -passwdgen

    阅读手册以获得更好的选择…

    再见

  • 拉梅什·纳塔拉詹(Ramesh Natarajan) 2009年6月25日,晚上9:45

    @Silki,
    感谢您的评论。一世’我很高兴您发现本文中有几点有用。
     

    @Emil,
    容易记住的强密码正是我的意思’ve mentioned in “4. Use Passphrase” under the section “二。创建强密码的准则:” in this article.

     

    @mk_michael,
    感谢您在您的博客中提及此文章,并将ping发送回此文章。我真的很感激。

     

    @丽莎
    我不同意你的看法。在纸上写下密码绝不是一个好主意。我认为,您永远不要在一张纸上写下密码。

     

    @Kurinchi,

    我开发了 Java Swing中的密码龙程序,使其成为可在Windows,Linux和Mac上运行的多平台软件。

     

    @Flynets,

    感谢您引用pwgen,gpw和passwdgen程序。它们绝对是在Unix环境下生成随机密码的出色程序。

  • 阿哥 2009年7月22日,上午6:30

    我不喜欢长密码。我也对多个游戏或临时站点使用弱密码

  • 内森 2009年9月8日,上午7:39

    很棒

  • Shanay-nay Brown Bon Quiqui 2009年9月8日,下午12:15

    OMFG真是太聪明了!我尼古布

  • 斯里尼瓦斯 2010年3月24日,上午8:59

    嗨Ramesh,

    有一个在线网络工具可以检查密码强度,其中包含您建议的技巧: http://www.passwordmeter.com/
    我相信该网站的所有者不会记录/窃听该网站上尝试的密码。

  • 邮件履行服务 2011年3月17日,上午5:21

    我的规则是12个字符的密码,6个字母和6个数字。我为每个密码使用此策略。

  • 兰迪·斯皮德尔 2011年7月21日,下午12:00

    保护财务登录信息?
    什么’您对如何有效地向网站施加压力以改善其使用强密码的后端的建议?在将我的登录凭证获取到我在该国两个国家的退休帐户中方面,我一直非常无效’最大的保管人(Fidelity和Vanguard)要符合合理的21世纪标准。这两个公司都将大写和小写字母映射到相同的密码字符。在发现之前,我已经使用了很多年,这太惊人了,我无法’首先不要相信! Vanguard还将密码限制为10个字符,Fidelity将密码限制为12个字符,当我询问密码短语并将字符限制提高到30个或40个字符(或255个)时,它们在电话上给了我空白。保真不允许特殊字符,而先锋’s的选择直到最近(2010年)才得以实施并且受到限制。

  • 弗兰克·李 2011年8月9日,下午2:31

    就像兰迪我’我遇到了太多没有’不允许密码超过8个字符。 Verizon实际上将4位数PIN用于很多东西。

  • 皮特·R。 2011年10月28日,上午4:39

    密码强度网络漫画: 这里

  • 巴鲁克 2011年11月24日,下午5:53

    优秀,详尽的文章。谢谢。但是,我’d想发表一些意见…

    1.密码越好,记住的难度就越大。在某个时候,一个人面临着选择忘记密码或写下密码的风险。

    2.我怀疑是否有很多人为每个站点使用唯一的密码。我使用一种通用的相当容易的方法来访问网站上的免费帐户。我没办法’我将尝试记住许多密码。如果密码被破解,则破解者可以访问免费帐户,而他可以自己拥有该帐户。为了获得更安全的服务,我使用了更严格的密码。对于涉及金钱的服务,如果可以的话,我会使用唯一的困难密码。但是,我自己的银行将密码限制为8个字符,只能使用字母数字(!)。

    3.每六个月更换一次是不切实际的。如果您进行数学运算,您会看到’重新建议一个拥有10个帐户(一点也不不可能)的人需要输入10个唯一且困难的密码,’d需要每年更换两次。有些人的帐户数量是此数目的几倍。存储器的负担或忘记密码的可能性变得不可接受。

    4.密码管理器很棒,但是如果用户忘记了主密码,他将’运气不好。同样,有人也不可能破解主密码,并给他每个密码。

    我建议一个人继续写下所有密码。他可以将列表放在自己的钱包中,而无需在计算机上粘贴此列表。也许他可以将副本放在另一个安全的地方,以防钱包里发生什么事。这样,他的密码将与他的信用卡或现金一样安全。如果他很聪明,他可能会做一点争夺,以使其不那么明显’密码列表。

  • Smitha GS 2011年12月20日,上午5:23

    您的所有提示都非常有用。对于像我这样的初学者,这是上帝本身的福音ðŸ™,

  • 丁戈 2012年3月7日,上午10:26

    “Exempli gratia” means “for example”. So this “for e.g.” is like writing “for 例如”.

  • Zalmoksis 2012年3月27日,上午5:59

    什么 is a 强大er password?
    *八个随机字符,例如“oDF4#f9s”
    要么
    *这样的句子:“粉红独角兽在牛奶河里游泳。”

  • 兰迪·斯皮德尔 2012年3月27日,下午1:08

    巴鲁克,我不同意更好的密码更难记。见Zalmoksis’关于粉红色独角兽的评论’游泳习惯。将它们写下来并将该书面清单存储在安全的地方(家庭保险箱或银行保险箱)之外的任何地方都不是一个好主意。

    我可以想到许多不难记住且很难破解的密码短语,例如
    1. SummerStarts_Jun21-most0theTIME
    2. It-was_34below = 2005Dec08
    3. SendMomACard-everySep25AnnUly
    对于以上三个,提示短语很容易提醒而又难以理解:
    1.开始漫长的一天
    2.天气事件新工作的第一个月
    3.每年的母爱责任
    因为每个提示都可以指引我正确的方向,即使我没有’不要在数周或数月内使用密码,提示使我想起它是哪个短语。

    当我与大学父母进行讨论以鼓励他们的学生安全并使用长密码时,我以针对性地向听众中的父亲讲话结束了讨论,建议他们为自己的帐户采用长密码。然后我在黑板上写下以下内容:“ImarriedSusan_1984年6月15日”并建议说这是一个密码短语’d永远不要忘记四个字符类中的每一个都有多个字符。通常这会引起爸爸妈妈的笑声。点了。

  • 艾伦 2012年6月17日,上午7:35

    感谢您对有用的建议的明确解释。还要感谢巧妙的密码龙;它使遵循您的建议变得容易得多。

  • 圣丹伯特 2012年6月25日,上午11:59

    你不’t mention “pronounceable” passwords.

    研究人类记忆的工作原理发现,您可以更轻松地记住可以发音的内容—也就是说,大声说出来。将此与“chunking”可以在电话号码和类似的字符串中找到,并且我们有一个计划来制作(1)较长的密码,以便(2)可以记住。

    1.创建几个随机音节:foo,bah,dip,doh,ras,tup,…
    2.以随机顺序使用音节,直到有一些音节为止“minimum” length
    bah-tup-ras-pim
    doh-foo-sip-vop
    3.使用数字和标点符号代替连字符作为音节分隔符
    bah7tup * ras#pim
    doh $ foo&sip6vop

    现在你记得你的“saying” — bah-tup-ras-pim —以及如何标点— 7… *…#中提琴!您可以记住的安全密码。

    ~~~ 8d;-丹

  • 比夫·马丁 2012年8月8日,下午3:53

    我最喜欢记住密码的方法是用永久墨水将其写在我的手掌上。

  • 比夫·马丁 2012年8月8日,下午5:40

    什么’密码?可能是这样的“当她骑哈雷时,您的妈妈穿杰克靴子”

  • 乔治·卡佩尔 2012年9月1日,上午10:37

    好文章…如果涉及信用卡号或银行帐户,我为我处理的每个站点使用不同的密码/密码。 (如果一个人受到损害,他们不会’都被强奸了)前面提到的最大的问题是,其中一些将密码限制为少于10个字母&数字(仅)。我最短的电子邮件密码是12个字符长&嵌入符号。
    –电子邮件比银行提供更好的保护&信用卡公司?
    什么’那张图片错了吗?

  • 2012年9月18日,下午12:06

    谢谢。,这确实帮助了我在学校的功课,以及所有非常真实的即时消息12,我曾经使用我的密码来进行所有操作,但是后来有人抓住了我的密码并拥有了所有内容,所以我一到一个电脑(笔记本)

  • 约翰逊 2012年10月2日,上午7:27

    让我着迷的另一个想法‘strong’ ratings —找到一本外语词典,然后插入第二种语言。

  • 托马斯 2012年10月6日,上午10:37

    其实你的四法则是’不一定是一种好方法。看到 这里.

    密码对于人类来说应该很容易记住,而对于计算机来说则很难猜测,因此密码短语比密码更好。

  • 约翰 2012年11月12日,上午12:10

    我还阅读了有关使用模式来创建难以破解,易于记忆的密码的信息。例如,一种模式可以是反转网站的前两个字母,添加两个数字和一个符号,然后完成该单词。例如:

    gmail成为

    镁12&ail

    雅虎成为

    12岁&hoo

    遵循一个模式很容易记住,但是每个模式都是唯一的。然后,无需写下任何内容。

    有什么想法吗?破解有多难?

  • 龙口 2012年12月8日,下午7:05

    约翰,
    这里 并将密码放在他们的检查器中以查看其强度。我检查了您想出的两个密码,并获得了75%和78%的分数,这意味着它们很强,但可能会更好。

  • 丹·马里斯库(Dan Marinescu) 2013年1月1日,上午10:23

    可以使用特殊字符来构造密码吗?允许使用其他字母的字母吗?
    将印度字符或旧拉丁字符组合起来会很容易吗?

  • 布巴 2013年1月16日,上午1:09

    除了直接提供个人信息外,我还可以使用堂兄的名字’的车,我叔叔的名字缩写’最喜欢的足球时间,或者我不喜欢的乐队’T喜欢而不是我喜欢的一个。

  • 斯瓦普尼尔·艾尔(Swapnil Ahire) 2013年3月13日,上午5:33

    大,,
    i’一定会利用它。 ðŸ™,

  • 琳娜·考利辛 2013年3月23日,上午6:21

    非常有趣,乐于助人…..
    I’ll definately do it!

  • 加安 2013年8月6日,晚上10:50

    做得好……

  • 詹姆斯·克拉克 2013年8月25日,晚上9:09

    是的,一直以来都是一个很好的清晰消息。我经验丰富,但是注意到您的信息使我倍​​受鼓舞,我想阅读每一个字,然后我做了。谢谢,我会用你的应用程序

  • 金约翰 2013年9月27日,上午5:50

    我接受本文中的所有内容,但我们需要继续使用高端密码密码生成器,

    如果我想给我的密码是:passw0rd

    P表示q(无论您分配什么而不是P)
    w表示x(无论您分配什么而不是W)

    但您必须为此提醒设置正确的密码’不要忘记密码,这是高端方法。

  • 埃诺斯 2013年11月4日,下午12:47

    到目前为止,我读的最好的指南!我读了很多(写了一些)。
    记住密码的更多提示:
    1)分别更改密码,并非一次都更改
    2)手动输入密码,直到您记住密码为止(不要’t c&p)
    3)使用与受密码保护的资产相关联的令人愉悦的句子或记忆:键入ðŸ™,时,它们更易于记忆并引发愉悦的感觉
    4)14个字符的小写密码比10个字符的混合大小写,数字和数字(24 ^ 14 vs 78 ^ 10)更强大(请参阅xkcd 936)

  • 阿图 2014年2月17日,上午10:33

    记住您的PW的另一种方法是拥有一首歌曲或一个短语,并取每个单词的首字母或尾字母(用@或其他名称代替a),例如:

    对我来说,你是我能唱的最甜美的歌:

    y2m @ etsstIcs

  • o 2014年2月26日,上午3:42

    这个非常好的指南。我推荐的密码管理器是 Keepass,’的免费和opensource.try使用它。

  • 阿拜 2014年7月17日,晚上9:58

    谢谢,我喜欢

  • 尤根德拉 2015年3月20日,上午4:34

    感谢ramesh,它是非常有用的信息。
    可以使用以下simle linux命令创建复杂的密码:
    </ dev / urandom tr -dc _A-Z-a-z-0-9 | head -c $ {1:-20}; echo;

  • 特隆梅 2015年4月9日,下午12:19

    但是请记住,长度比字符集重要。您添加的每一点熵值都会使搜索空间加倍。与8 + 4甚至10 + 4相比,十二个随机小写字母的密码更难破解。特别是如果后者不是’t completely random.

    如果使用密码,请记住语言是基于可预测的模式。就难以破解密码而言,一个单词通常提供与随机选择的字母大致相同的熵。 (那么你’至少需要8个字,如果可能的话,最好至少12个字,最好是30个字。)但是,增加的长度确实使密码无法使用任何不复杂的暴力算法’不使用单词词典,因此仍然有一些好处。

    对于唯一的网站密码,请对网站名称进行哈希处理(简单的字符替换或重新排序散列就足够了,并且可以随时在您的头脑中完成),并添加8-10个字符的随机密码。随机密码可能会在站点之间重用,因为哈希值会有所不同,并且总的来说,密码将很长,如果密码数据库被盗,则很难破解。

  • 马努 2016年1月7日,上午7:57

    我想要一个密码(大写字母,小写字母,数字和特殊字符),请帮助我

发表评论