前几天看到一朋友自己做的网站,里面都是一些自己做过的项目,各种类型,还挺丰富的。朋友告诉我自己的这个网站还有好几百的注册用户,顺势打开了数据库。不过这一看确是震惊到我了,他的密码竟然全部用的明文(正规公司的用户注册密码都是加密存储的,开发人员不允许知道用户密码)。朋友告诉我,他用几组账号和密码去登录常用的几个网站,竟然都登录成功了!不过好在朋友也只是试了一下,没动什么歪脑经。
不过要是遇到的是那种专门做这种黑产的,那可就不一样了。都不用破解,直接用你“提供”的账号密码去撞库(黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户),那成功率可是妥妥的有保障。
撞库之所以能成功,是因为很多用户在不同网站使用的是相同的帐号密码,因此不法分子可以通过获取用户在A网站的账户从而尝试登录B网址。所以要避免此类事情发生在自己头上,最好的解决办法就是不同网站设置不同的密码。
有朋友可能会觉得,使用不同的密码,那难度太大了。是难度挺大,不过有好的方法,也许可以解决这个问题。这里我提几个思路,大家可以参考。
方案一:基础密码+网站名称+Shift键符号替代法
例如,选择20170810作为基础密码,变化规则为2,4,6,8项用shift变形。这样,QQ的密码就变成了“QQ2+1&01+”,京东的密码就变成了“JD2+1&01+”。要是觉得不够,大小写可以调整,还可以再加一个后缀,比如QQ的密码就可以写成“Qq2+1&01+zXL”,在比如京东的密码“jD2+1&01+lQD”。
方案二:基础密码+网站名称+插入特殊符号+同型字符替换
还是以20170810作为基础密码,在固定位置插入特殊符号(比如首尾插入#),2用Z来代替,0用o来代替,QQ的密码就变成了“#QQZo17o81o#”,京东的密码就变成了“#JD Zo17o81o#”。
方案三:数字密钥+网站名称+特殊字符
取网站或APP名称汉语拼音首字母,然后根据首字母从T9键盘上取相应数字,用数字加上一个数字密钥(比如自己的生日,不带年份)得到新的数字串,从电脑键盘上,取第一位数字的特殊字符(按shift),其余不变,组合在一起就是密码。
例如58同城的密码,取汉语拼音首字母,wbtc(五八同城),T9键盘取数字9282。生日是10月19,9282+1019=10301,电脑键盘上取第一位数字1对应的特殊字符!,得到 !0301,最后密码就是“wbtc!0301”。
当然,这些只是提供一些思路,每个人都可以根据自己的喜好和习惯去设置一套自己的规则,这样也更方便自己去记忆密码。密码这东西,能用脑子记,就不要用工具啦!