V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
waitforme
V2EX  ›  信息安全

推荐一种生成密码的方法: diceware

  •  
  •   waitforme · 2014-03-30 11:45:25 +08:00 · 9074 次点击
    这是一个创建于 3898 天前的主题,其中的信息可能已经有所发展或是发生改变。
    diceware 的想法是这样的, 用字母数字和标点组合的密码实在是很难记,用简短的单词反而好记。diceware.com 提供了一个66666个单词的列表, 每个单词用数字标上序号, 然后你用骰子连掷5次得到一个数字, 比如 12345, 然后就在表中查到相应的单词apathy。然后再掷骰子5次,得到第二个单词, 你自己决定要几个单词,一般推荐是6个单词以上。 这样就得到一个长达20个字母的密码。 虽然看上去这跟我们的“常识”相反:不是说不要用字典里的单词吗,这说的是只用一个单词的情况。 但即使黑客知道你在使用diceware,要算出你的密码也是很困难的, 比如用6个单词,就有66666^6种可能,比一般的短密码要可靠,而且好记。
    21 条回复    2017-10-22 20:09:49 +08:00
    Lone
        1
    Lone  
       2014-03-30 12:11:45 +08:00
    有密码器还要记密码做什么,母语非英语要记单词也是一个问题。
    kendisk
        2
    kendisk  
       2014-03-30 12:18:41 +08:00 via iPhone
    lastpass 生成密码
    jakwings
        3
    jakwings  
       2014-03-30 13:08:21 +08:00
    别忘了某些网站限制了密码的长度。平均单词长度 4.2 * 6 > 24 ,而某些在线支付网站不允许设定这么长的密码。
    而且这种组合数学的理论数值通常是不可靠的,因为人们往往倾向于选择自己更容易记起来的单词,假如抛骰子抛出了自己不喜欢的单词,可能会重新抛一遍。
    yangqi
        4
    yangqi  
       2014-03-30 13:09:09 +08:00
    而且很多网站是要求密码里有大小写字母, 数字还有符号的...
    geeklian
        5
    geeklian  
       2014-03-30 14:56:05 +08:00 via iPad
    在这个各种暴库,各种无良网站横行的年代。密码想安全,首先就要各网站密码不一样。在满足这个前提条件下,不管密码怎么生成,正常大脑的人都不可能把几十个密码都记住。所以我倾向完全随机,然后写在纸上。大脑里记得QQ,网银,淘宝支付,邮箱这四个就不容易了
    waitforme
        6
    waitforme  
    OP
       2014-03-30 15:10:13 +08:00
    @yangqi
    @jakwings 大小写和数字标点是容易解决的, 倒是某些网站不允许设长密码令人困惑,要知道随着计算机能力的增强,8位9位的密码在很短的时间内就能被破掉啊。 而且,这种长密码主要目的是用来保护重要的内容,比如用在GPG上,如果是无关紧要的网站密码,的确是杀鸡用牛刀了。
    jakwings
        7
    jakwings  
       2014-03-30 15:28:44 +08:00
    @waitforme 才想起我强行记住了 Google 自动生成的二步验证 16 位全小写字母的密码,当然也用到了一点联想。而且 diceware.com 那张单词表里也有一些不是单词的组合,不是纯单词组合了,这样还挺好的。
    我建议假如抛到全部是单词的时候,去掉一个,重新选一个非单词的来替代。
    lsmgeb89
        8
    lsmgeb89  
       2014-03-30 16:19:22 +08:00
    lastpass 路过,每个网站生成一个,越长越好,例如:128。
    robbielj
        9
    robbielj  
       2014-03-30 18:36:49 +08:00 via iPad
    这不是很像rainbow card么
    9
        10
    9  
       2014-03-30 18:54:27 +08:00
    @kendisk
    @lsmgeb89
    用 lastpass 的我一直不明白如果遇到要在别的电脑上暂时登录帐号的情况,这时候怎么办。
    kendisk
        11
    kendisk  
       2014-03-30 19:20:36 +08:00
    @9
    所以入了Lastpass 高级账户,登录手机APP,查看密码,然后在别的电脑登陆.
    zoowii
        12
    zoowii  
       2014-03-30 19:27:23 +08:00
    @9 lastpass有手机版吗?另外,注册得一个好用户名啊
    lsmgeb89
        13
    lsmgeb89  
       2014-03-30 20:45:27 +08:00
    @9 汗!人家有网页版的好伐,直接登陆网页,可以很简单的搜出你所要的账户和密码,复制一下就好了啊,哪里需要用手机!
    Livid
        14
    Livid  
    MOD
       2014-03-30 20:56:40 +08:00
    jakwings
        15
    jakwings  
       2014-03-30 21:10:56 +08:00
    @Livid 那个网站在 Chrome 上的安全绿锁后面的文字有够长的……感觉那生成的密码太随机了,还分大小写,能长期记住两个就算很不错了。
    matate
        16
    matate  
       2014-03-31 09:23:34 +08:00
    linux中的pwgen,可记忆的随机密码。
    waitforme
        17
    waitforme  
    OP
       2014-03-31 09:55:49 +08:00
    @robbielj 感谢大家提供了很多生成密码的方法。以前不知道rainbow card, 刚才看了rainbow card的网站,发现也是一种很有趣的方法。差别是diceware 生成的单词的目的有两个:第一整个password要够长,第二单词要比随机的字母组合好记。 而rainbow card要随身携带(如果记不住的话)。
    leopku
        18
    leopku  
       2014-03-31 10:36:43 +08:00
    没人提到花蜜么,类花蜜的方法也不错
    usernametoolong
        19
    usernametoolong  
       2014-04-01 06:45:22 +08:00
    lastpass生成了还能自动保存
    Sleebi
        20
    Sleebi  
       2015-10-27 17:21:50 +08:00
    看到出新闻 妹子卖两刀一个~
    ch3n2k
        21
    ch3n2k  
       2017-10-22 20:09:49 +08:00 via iPhone
    真佩服楼主的数学,骰子掷五次的可能性是怎么变成 66666 的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2790 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 05:53 · PVG 13:53 · LAX 21:53 · JFK 00:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.