※ [本文转录自 Bank_Service 看板 #1WjEHFrf ]
作者: hn880265 ( ) 看板: Bank_Service
标题: [心得] 一组密码+md5=不会共用的万用密码
时间: Mon May 31 21:27:40 2021
最近支付宝被盗才开始考虑密码安全
之前有分敏感/涉及个资/免洗密码约5组 但还是会共用到
被木马侧录到其中一组其他共用的要改掉就很麻烦
就想到配合md5杂凑值来产生密码
例如要产生12码英数大小写(以下举例 不用照搬)
前4码
去看元素周期表 找顺眼的 例如肥宅钠含量最高 密码前四码就固定11Na
最好元素有双位英文 这样大小写数字都有了 网站要求特殊符号可以加到尾巴
末8码
例如永久脑海密码123456 要产生台湾银行用的密码
就用 123456+台湾银行 去跑md5 hash
https://www.md5hashgenerator.com/
(这网站仅供示范用 真正上场请用无联网权限md5 hash app)
结果为 a20b63673a59b3c846ea03acff9e2066 取前后4码
最终密码为11Naa20b2066
这样只要记住一组密码(123456)和一个元素钠(11Na)
像"台湾银行"可以写下来或存在云端/PC明码保存
日后要变更密码 也只要把"台湾银行"的部分改成"台湾银行20210531"去跑md5
md5 hash是不可逆的 因为不管要加密的文字长度/档案大小
最终只会生成32位数0-9/A-F的16进位数值
其实有10码就够了 16的6次方已经很难靠暴力破解了
最后用apple钥匙圈/google密码管理记忆 除了网银多个身分证有表格填入bug
要拿app出来跑md5 其他大多不用
不想用md5也能用sha-1/crc32等..很多app都能离线产生不用联网
纯分享 这样不用另外去装密码管理软件

用密码管理软件直接产生 就不用记那些规则啦@@也不用管理"台湾银行"那些keyword的更新与备份建议重要的密码也不要存在云端 除非你100%信任

其实...为什么不要明码直接CTBC+日期 密码全用杂凑就好...

用密码管理软件产生又不云端同步的话那要在其他装置登入的时候不就要手动输入一长串乱码只用CTBC+日期去杂凑的话，假如被人知道密码产生的规则，就有可能被猜出来

应该说不要透过第三方云端同步 可自架或用syncthing等工具在你常用的装置上同步 在不然手动复制也可以囉安全跟便利性就trade-off，看想做到什么程度囉

有点难理解硬要在一堆中文内插一个非专有名词的外文是为何...不就打权衡就好了= =?

密码管理软件有资安问题 这也是我死不用的原因

那种资安问题?例如keepass算是正规资安一环了啊