話接上講（《老百姓的網(wǎng)絡(luò)安全之密碼安全（一）》,，我們繼續(xù)來談密碼安全的問題,！

從黑客對用戶的密碼攻擊角度上來看，只有暴力破解,、針對性密碼字典這兩種攻擊利用形式才是由密碼的強(qiáng)弱程度所決定的,；而拖庫、撞庫則部分由密碼強(qiáng)弱程度及密碼通用性決定,；其他攻擊利用形式則不由密碼強(qiáng)弱程度決定,。

所謂密碼的通用性是指一個密碼在用戶所有賬號中使用的頻繁程度。目前幾乎99%的老百姓都有在多個網(wǎng)站賬戶上使用相同密碼的習(xí)慣,。這樣不管密碼多復(fù)雜，只要一處被泄露了,，就等于處處被泄露了,。

現(xiàn)階段中國的網(wǎng)民數(shù)量在6億左右，而已經(jīng)被泄露的賬號密碼保守估計也超過了60億,。這意味著幾乎可以把每個網(wǎng)民覆蓋十遍,！所以，你當(dāng)初冥思苦想的那幾個密碼可能早已經(jīng)被黑客所掌握,。

感興趣的朋友可以去網(wǎng)上的社工庫中搜索看看實際情況： http:///post-387.html

所以,，依照上一講的內(nèi)容，用戶可干預(yù)的密碼安全策略主要取決于兩點：1,、密碼的強(qiáng)壯程度,，2、密碼的通用性,。

那么如何設(shè)置高強(qiáng)度又好記的密碼呢,？

我給大家先講個笑話：

吃飯時看到小飯店里的wifi密碼是zlyplxh，甚怪,。

問老板：這密碼好難記啊,。

老板笑答：不難，就是“再來一瓶老雪花,?！?/p>

我一邊讀，一邊輸入密碼，就聽那面服務(wù)員,，嘭的一聲,，上來就開了一瓶。

Monyer的解決方案與之類似：

1,、首先把自己最常用的數(shù)字密碼拿出來,，譬如：5211314

2、想一首自己朗朗上口的段子,，譬如：

（1）吃葡萄不吐葡萄皮

（2）白日依山盡黃河入海流

（3）無法可修飾的一對手

（4）媽媽說再也不用擔(dān)心我的學(xué)習(xí)

（5）今天天氣不錯

（6）我喜歡吃紅薯

3,、選擇一個自己喜歡的特殊字符，譬如：!,、@,、#等

4、選擇目標(biāo)網(wǎng)站的第一個字母（或最后一個字母,、或兩個字母也行）,，譬如：網(wǎng)易w（wa）、百度b（ba）

5,、將段子中開頭或結(jié)尾的字母大寫

6,、將上述密碼因子隨意組合來生成密碼，譬如：

特殊字符+常用密碼+目標(biāo)網(wǎng)站+段子

網(wǎng)易密碼就成了：@5211314wwfkxsdydS

百度密碼就成了：@5211314bawfkxsdydS

當(dāng)然,，所選擇的字符,，順序什么的都可以自己調(diào)整。譬如：

網(wǎng)易密碼：

5211314@iwfkxsdydS,、Wfkcsdydswa5211314!

需要注意的一點是：目標(biāo)網(wǎng)站的標(biāo)識字母一定要藏好,，如果密碼成了：5211314Wfkxsdyds@baidu這樣，那么很明顯黑客一定會去嘗試下：5211314Wfkxsdyds@163看看,。

那么現(xiàn)在我們回過頭來看看我們的密碼：

1,、已經(jīng)實現(xiàn)了一站一密，密碼通用性降到最低

2,、密碼中含有數(shù)字,、字母、字母大寫,、特殊字符,，復(fù)雜度最高

3、密碼的位數(shù)可以相當(dāng)?shù)拈L啊

4,、密碼可以被輕易記住

如果我們感覺密碼泄露了,，那么只要更改密碼中的段子或常用密碼或特殊字符就可以了。

那么再來說說,，密碼可以記在哪些地方,？

依照操作難易來看,，依次是：

1、記在腦子里,。腦子是世界上最可靠的密碼管理系統(tǒng),，同時也是世界上最不可靠的。

2,、記在本子上或貼在顯示屏旁邊（即純物理記錄）,。我相信我貼出這條，肯定會有一大批網(wǎng)民以及網(wǎng)絡(luò)安全專家在心中鄙視我,、反對我,，但這的確是一個記錄密碼最好的方式。因為我們的密碼并沒有放在一個公開的場合,，如果是怕家人看,，那么我感覺這是個互相信任的問題。譬如我老婆的密碼我是都知道的,，但我從來不會去登錄,。如果你感覺在家人面前必須要有所保留的話，那么只能說這條不適合你,，你可以參考下一條,。

3、使用密碼管理軟件,。像keepass,、1password都是很不錯的軟件，都有電腦版和手機(jī)版,，也都可以生成隨機(jī)的任意復(fù)雜的密碼，并且都是離線的,。

此外新興網(wǎng)絡(luò)時代還可以使用更安全的賬戶管理和登錄方式——oAuth,，也就是我們最常見到的“使用QQ賬號登錄”、“使用微博賬號登錄”,、“使用微信賬號登錄”等,。

使用oAuth后，被授權(quán)的站點的安全性其實是由oAuth服務(wù)提供方（也就是QQ,、微博,、微信）決定的。雖然俗話講：雞蛋不能裝在一個籃子里,。但是在安全界還有一句話叫：安全遵循木桶原理,，安不安全往往取決于最短的那條木板。而提供oAuth的這幾家網(wǎng)站相對來說木板處于高位,，更能防止密碼泄露的發(fā)生,。此外他們的二維碼登錄策略建議大家多用用,，一個不需要密碼就能登錄的功能，必然可以減少密碼在網(wǎng)絡(luò)傳輸中被截獲的概率,。（需要注意的是：在使用oAuth進(jìn)行登錄時,，一定要確認(rèn)好域名是不是qq.com或weibo.com之類，以防止目標(biāo)網(wǎng)站架設(shè)一個虛假的oAuth來誘騙用戶密碼,。二維碼登錄不存在此問題,。）

其實在上一講中還有一個沒有提到的問題：黑客除了上述手段，還有一些不用獲取你密碼就能登錄或操作你賬號的手段,，譬如：Cookie欺騙,、跨站腳本攻擊（XSS）、跨域請求偽造（CSRF）,、站點鑒權(quán)漏洞等,。不過網(wǎng)絡(luò)安全專家普遍認(rèn)為跨站腳本攻擊、跨域請求偽造以及站點鑒權(quán)漏洞都是網(wǎng)站的漏洞,，而不是用戶使用上的漏洞,。而且這部分攻擊防范的難度實在是太大，即便是搞網(wǎng)絡(luò)安全的老手中招的概率依然會很大,。

所以對于這部分的安全防范Monyer的建議是：不要輕易上陌生或開放式網(wǎng)絡(luò),、不要隨意點擊別人發(fā)來的連接（另外在關(guān)閉網(wǎng)站之前點擊退出登錄一般可以防止Cookie欺騙的持續(xù)性發(fā)生，不過我估計很少有人愿意這么做）,。上述建議可以解決部分問題,，但不是全部。有一定網(wǎng)絡(luò)應(yīng)用基礎(chǔ)并且對賬戶安全要求更苛刻的人建議嘗試使用Firefox瀏覽器并安裝Noscript插件,，這可以在一定程度上對跨站腳本攻擊及跨域請求偽造進(jìn)行防御,。

好了，關(guān)于密碼安全就講這么多了,，有任何問題依然歡迎留言討論,。

作者：Monyer 微博：http://weibo.com/monyer