酷应用

来，测测你的密码安全吗？这样设置可能更好。

动态作者：Topbook 2022-03-09 21:09:53

/ 你的密码是怎么设置的？你觉得它们安全吗？怎么才能设计出一个足够安全的密码？/

-----------

让工具回归工具 · 让你成为你。

你觉得你的密码足够安全吗？不妨来试试这个网站 https://www.passwordmonster.com/ （点击底部“阅读原文”，即可测试）它能够根据你填写的密码来测试安全强度等级，甚至预估多长时间可以被暴力破解。

很遗憾，我的常用密码只有中等强度，并且只需要三个小时就会被攻破。你的呢？

或许你的常用密码同我的一样，等级不高，也是在很短的时间内能够被破解，又或许你的密码足够强大，甚至需要65亿年才能够被暴力破解，但很遗憾的是，你的密码还是被我知道了，因为这个网站就是我做的，目的就是骗你们进来输密码。

不用担心，你的密码并没有泄露，这个网站也不是我做的，我只是想通过这个测试让大家意识到，别人想要拿到你的密码，破解只是一种办法，骗你把密码拱手相送，反而更加容易。

密码泄露的渠道有很多种，比如你在输入密码时被人看到了、登录了不安全的网站，密码设置得过于简单，甚至大平台服务器被黑，连带你的账户密码都泄露了等等。

001.

/ 什么样的密码更安全、更不容易被破解？/

相信很多朋友在设置密码时都习惯将自己的姓名拼音、生日或者英文名、电话号码、身份证号等常用的字母和数字拼凑在一起吧，这种形式的密码对于我们来说肯定是最好记和最方便的，但同时也是最不安全的。如果你的个人信息被泄露，密码是极其容易被猜解的。同样的，过于简单和重复的密码也不安全，比如将密码设置成 123456789，或者 abcd1234 等等，这样有规律的密码，在破解器里，甚至连一秒都用不上就会被破解。

我们在密码测试器里可以看到与密码强度等级相关联的四个元素，小写字母，大写字母，数字，符号，当我们的密码里越多包含这四种元素，密码强度等级就越高，越难被破解。如果这样，那岂不是无敌了？对，理论上是的，比如我们将 B 站密码设置成 TOP%6886BooK#，那么如果有人要暴力破解的话，得等个 478 年，他孙子的孙子都看不到了结果了。难道这样我们就可以为所欲为了吗？

002.

/ 所有平台密码一样可能带来的风险。/

在互联网中，黑客们通常通过诱骗或者“拖库”（导出数据库）等方法获得你在某一平台的账户和密码，再用这些密码去其他平台“撞库”，越是喜欢在不同平台设置同一个账户名和密码的人，越容易遭殃。

有多少人常年用同一组密码登录各平台，弹幕里扣波 1，直觉告诉我，你并不孤单。

那到底要怎样才能够设置出既不包含过多的个人信息，又没有规律可循、且复杂、安全强度高，同时还能保证某一个丢失或泄露不影响其它平台的超级密码呢？

003.

/ 如何设计多平台可用的、不易被破解的密码？/

某些聪明的小伙伴或许已经想到了解决办法，那就是每个平台的元素加上自己特定的元素，比如我们在登录 Topbook 的网站时，密码可以设置为 TOPbook@CO1ll06# ，这里的 TOPbook@ 就是平台的元素，如果登录谷歌，那这里就是 Google@ 。CO1ll06# 就是我们需要自己设置的特定元素。这样，这个密码就拥有了所有安全密码所需要的特质——没有个人信息，密码长度够长，大小写，数字符号都包含，每个平台之间不会重复，最主要的是，好记。

嗯，我们将密码放到强度计算器里测试一下，欸，确实不错，安全强度非常高，要破解得16个世纪。

有人可能就要问啦，CO1ll06# 这串字符好记个啥呀？它其实就是咱们动画师女朋友的生日和姓氏变换位置。

聪明如你，也可以有自己的常用字符——

比如这一段你猜是什么？lwqw400ymh ——“老王欠我 400 元没还”。
这一段，你猜是什么？Cindycy1/2ezdgg—— “先帝创业未半而中道崩殂”。
还有知乎网友设置的这种密码，你再猜猜？while(1)Ape1Cry&&Ape2Cry ——“两岸猿声啼不住”。

你可以用自己的方式组合任何常用字符，但最好不要用别人设置的现成字符或规律，这样也有泄露的风险。

但这里 TOPbook@CO1ll06# 这串密码通过固定网站加上自己常用字符的套路真的安全吗？

它有一个比较致命的问题是，如果从社会工程学的角度来看，我设定的套路反倒成为了密码破解的突破口，如果你拿到了我的密码，TOPbook@CO1ll06# ，立马就可能分解开来，拿去尝试我的其它平台，那么这样的设置策略无疑就是失败的。

或许这时有人会立马想到凯撒密码。不是平台的元素会被当成攻击点么？我们可以将平台的元素通过凯撒密码的加密方式处理一下，也就是将这几个字母向后或向前推几位，再加上属于自己特定的一段元素，这样或许可行。比如我的初始密码是，TOPbook@CO1ll06#，那么按照字母顺序表向后推三位就是，WRSerrn@CO1ll06#，这样看着好像有那个意思了，但是这中间还是存在问题——向前后推移或者换算字母的方式并不方便记忆，而且凯撒密码在黑客眼中也很容易被破解。

不过，这种平台元素加个人元素的思路还是没有问题的，我们只需要设立一个规则，这个规则对我们自己来说是非常容易记忆的，‍但对别人来说，就算看到了你的密码明文，也都像看到了一段乱码一样。如果达到了这样的效果，那我们的密码设置就成功了。

还是以刚才的密码 TOPbook@CO1ll06# 举例，如果我们将平台元素的位置移动一下呢？

像这样，BookCO1ll06#Top，然后在特定的位置加上特殊符号，/BookCO1ll06#Top! ，这样，一个符合各项安全密码条件的超级密码就设置出来了。长，四个基础元素，没有个人信息，没有明显的规律，换个平台同样的规律还能用。最主要的是，在别人看来好似一段乱码的密码，对你来说，只有两个字，“好记”。

很显然，这里的组合方式还有很大的改善空间，比如位置的摆放，或者对于平台的基础元素再设计等等，但对于每个人来说，想到一套属于自己的密码设置规则方案，不就相当于为自己的数字‍安全加上了一层甚至几层超级 buff 么。试问，从此以后，身后有人偷看你输密码能怎样，个人信息泄露又能怎样？网站平台账户数据泄露又能怎样？

话虽如此，你可千万不要掉以轻心，就像我在开篇的那个玩笑一样，相比被破解，你的密码更可能是由你自己拱手相送的。曾被称为“世界头号黑客”、蹲过监狱又当过美国计算机安全顾问的凯文·米特尼克曾说过，人为因素才是安全的软肋。