个人对于密码设置的建议

本文只是个人建议，仅供参考，写出来主要给自己留个note

其实写这个原因是没多少人写

这里先简单说一下密码是怎么破解的。

首先破解者能够访问输入用户名和密码的地方，要先找到门口。第一层防御就是隐藏这个访问点。

• 对于端口，可以调高指定端口，但是所有端口只有6万个，很快就能扫描完成。
• 对于网页，就可以用一些特殊地址掩盖真实的登陆页面。
• 对于wifi，可以禁止SSID广播。

这时需要一个用户名和一个密码。

• 用户名在许多情况下都是注册时候用的邮箱地址。为了在这一个地方防御住，需要用非通用邮箱注册。包括但不限于域名邮箱地址，一次性邮箱地址。
• 花花绿绿的[email protected]这样的域名邮箱听起来很神奇，看起来很神奇，其实很简单。简单的话可以去域名商购买一个低价冷门域名，然后forward到真实的邮箱。还可以去zoho这样的地方得到。
• 当然一般情况下都是知道用户名才会去尝试破解。
• 密码一般都是暴力破解。
• 注：破解密码和盗取密码不一样。如有些古老的网站会把密码用明文传输，直接抓包就行了。
• 为了从最有可能的密码开始尝试，可以用字典，彩虹表等。简单来讲就是最常见密码放在一起。例如生日，每年只有12个月，每个月只有30天左右，从当前日期往回倒退猜也不会有无限年份，用纯生日做密码是及其危险的。想一想有多少人把aabbccdd作为wifi密码。
• 当然如果密码泄露了，比如在坏坏的公共wifi登陆并进行危险操作，就不用暴力破解了。
• 防止暴力破解可以试试添加尝试次数上限（这取决于网络服务提供商）和两步验证。为了让其前功尽弃，还是经常改密码比较安全。

正文

Step 1. 生成一个纯随机文本

到了暴力破解这一步，只是一个时间问题。可以参考一下这两个暴力破解表格：暴力破解时间表格1，暴力破解时间表格2。为了让你的密码能够坚持到被暴力破解这一个步骤，不在字典攻击就被拿下，你需要一个纯随机的文本作为密码。

你可以自己写一个随机文本产生器，也可以用计算器自带的，也可以去应用商城下载一个。这里推荐random网站提供的随机密码生成。

当然在大多数情况下，为了方便记忆，你还是可以自己想出一个接近于纯随机的密码。 可以弄一个西班牙语单词和汉语拼音的混合体，中间再加点你最喜欢的化学元素的中子数和标点符号。

Step 2. 改编这个纯随机文本

费了这么大劲得到的一个纯随机文本，光记住都要再花一些时间，怎么能直接就用作密码呢？（大雾，为了安全，在最重要的地方还是完全没有使用过的纯随机密码保险）

可以试试在这个随机文本前面或者后面加上密码用途的标识符（如笔记就是ThoSto（thought store，思想存储，这样奇怪的东西反而好记也不好被猜到）），这个标识符可以用在你所有跟笔记有关的账户上，但尽量不要重复，可以改大小写和添加标点符号。然后在密码主题的后面加上你所注册的账户的唯一标识符，如印象笔记就是ImpLike（Impression印象，Like像），最后再随便加几个标点符号，如在ImpLike之间加一个下划线，在最后加一个感叹号之类的。比较有特色的可以把这个网站名字读50遍，然后把嘴里发出的那个音用拼音写下来当结尾。

每次设置新密码的时候可以把这3各部分的位置互换。

好了，现在最大的问题就是密码太长了，有些网站无法注册，裁剪即可。

Step 3. 使用这个强密码

在注册新账户的时候在密码一栏填写就可以了。也可以把现有账户的密码改成这个。

当然也可以直接使用lastpass这样的软件、浏览器插件。这里也推荐用该类软件保存非重要网站、账户的密码。强烈推荐keepass和面向Linux桌面的keepassxc.

注意存放这个密码。网络安全最大的漏洞都是来源于使用者。都知道要改默认PIN，但事实上机会没有人会记得去改它。

注：此文不是对于保护上网隐私的描述。也不是防御网络攻击的描述。

注：本文为简单记叙文，内容没有经过严格验证。