像类似于固定字符+网站名（包括改良版）这样的密码是否真的安全？

This topic created in 3512 days ago, the information mentioned may be changed or developed.

所谓固定字符+网站名就是类似于比如： Google12345 ,12345Google 这样的密码
复杂一点就是进行一些变换比如 Google 这个单词的字母取后
一位即 Hpphmf （取前一位、键盘位移等等）然后把整个密码进行一些顺序调整,比如 Hpp12hmf345 （等等方法）
对于一般的情况，因为不同网站用了不同的密码，所以应该能防范。但是这样的密码应该很容易被猜解即不能防止针对性攻击。
现在争论的问题是“攻击者是否很少会来关注个人，而是直接拿大批的数据尝试能否登录？ ”
所以，像这种形式的密码，是否真的“安全”呢？

密码

字符

Google

攻击者

12 replies • 2016-10-30 14:21:05 +08:00

0TSH60F7J2rVkg8t

Oct 25, 2016 via iPhone

这种模式用的人多了，就和使用英文单词做密码一样了，虽然一站一码，但明显规则可以写词典里，对于明文存密码的网站，脱裤后这些规则也是透明的，黑客可以通过特征找出有规则的用户再针对性扫其他站来撞密码，而且也有一定能力可以做成全自动的，所以最好的密码就是没有规则的密码。

chiv2

Oct 25, 2016

相对弱密码只是穿了条丁字裤，如楼上所说，一旦用的人多了对黑客来说就是更新几条规则的事。所以一定要这样用的话最好加上自己的特殊符号并且长度越长越好。

qiayue

PRO

Oct 25, 2016

这样子可能更安全：
10 位的固定字符，字母+数字
然后加上域名，域名有自己的大小写规则

Tink

PRO

Oct 26, 2016 via iPhone

其实就是域名加盐而已，问题就是这个盐

XiaoxiaoPu

Oct 26, 2016 via iPad

HMAC 截取某些位，再 base64 一下

azh7138m

Oct 26, 2016 via Android

我也是这样，不过我算了一次 md5 避免被人知道我的那个盐是啥

Trim21

Oct 26, 2016 via Android

@azh7138m 这样那个 md5 本身不就是盐了吗。。。。好像么有什么区别。。。？

AltairT

Oct 26, 2016

我近期出去旅游回来忘了两个刚改过的密码,自此痛定思痛,打算用密码管理软件.但是 Keepass 用起来有些麻烦,只是用了花密来算密码,只取前八位,账户信息关键字另外明文存储.

v9ox

Oct 26, 2016

我一般是设成类似

hackMe@V2ex?
hackMe@Sina?
hackMe@QQ?

我觉得挺安全的

alinusking

Oct 26, 2016 via Android

@AltairT 可以自己设计一套稍复杂规则，自己记住，用在涉及财产(支付宝)和社交（ QQ ）等等这类上面，然后全部启用两部验证，这类账号不是很多所以很容易记住。剩下的用花密+Keepass 。
@v9ox 这可能是不用工具的情况下比较折中的一种方式。首先太过于复杂的密码必然很难记住。同时这样的安全是建立在“不会针对你个人”的情况下，不过稍微改良一下程序应该很容易破掉。所以这样（再加上分级）主要确保的是重要账号（支付宝、 QQ 这类）的安全。

v9ox

Oct 27, 2016

@alinusking 或者就全平台 Safari 然后直接用 Safari 自己生成的密码就不用记了

AltairT

Oct 30, 2016

@alinusking 用花密真心只是为了方便，毕竟我只是安卓程序员，自定义算法的话，安卓上可以自己实现，但是 IOS PC 等其他平台就无从下手，花密在这些平台上多少有个简陋的客户端，再不济有 WEB 端。事实上，我安卓上花密就是用官方的类文件搞了个非常简单只生成 8 位密码点击复制的程序。官方那程序无用东西太多，启动慢。