※ [本文转录自 Bank_Service 看板 #1WjEHFrf ]
作者: hn880265 ( ) 看板: Bank_Service
标题: [心得] 一组密码+md5=不会共用的万用密码
时间: Mon May 31 21:27:40 2021
最近支付宝被盗才开始考虑密码安全
之前有分敏感/涉及个资/免洗密码约5组 但还是会共用到
被木马侧录到其中一组其他共用的要改掉就很麻烦
就想到配合md5杂凑值来产生密码
例如要产生12码英数大小写(以下举例 不用照搬)
前4码
去看元素周期表 找顺眼的 例如肥宅钠含量最高 密码前四码就固定11Na
最好元素有双位英文 这样大小写数字都有了 网站要求特殊符号可以加到尾巴
末8码
例如永久脑海密码123456 要产生台湾银行用的密码
就用 123456+台湾银行 去跑md5 hash
https://www.md5hashgenerator.com/
(这网站仅供示范用 真正上场请用无联网权限md5 hash app)
结果为 a20b63673a59b3c846ea03acff9e2066 取前后4码
最终密码为11Naa20b2066
这样只要记住一组密码(123456)和一个元素钠(11Na)
像"台湾银行"可以写下来或存在云端/PC明码保存
日后要变更密码 也只要把"台湾银行"的部分改成"台湾银行20210531"去跑md5
md5 hash是不可逆的 因为不管要加密的文字长度/档案大小
最终只会生成32位数0-9/A-F的16进位数值
其实有10码就够了 16的6次方已经很难靠暴力破解了
最后用apple钥匙圈/google密码管理记忆 除了网银多个身分证有表格填入bug
要拿app出来跑md5 其他大多不用
不想用md5也能用sha-1/crc32等..很多app都能离线产生不用联网
纯分享 这样不用另外去装密码管理软件

嗯，怎么会觉得这样做会安全？定时更改密码与网络习惯，应该就能避免憾事发生。

哪天保存密码的东西坏了头会很痛

你必须要确保每一次需要输入密码时 都有hash产生工具

必须要确保长辈知道什么是hash 什么是md5

我也是类似规则，但是比你简单。

直接用bitwarden这种密码管理工具比较简单每个网站的密码都不同，用密码产生器产生

所以定时更改密码与网络资安，这两个很重要呀，但也谢谢你的分享。

2FA iCloud钥匙圈 除非脑袋算md5拉 不然线上工具or开Python都没有多方便

你的问题是共用和环境吧 密码复杂度关系比较少

直接用bitwarden lastpass或是chrome内建的就可以你密码都记在google/apple里了 自己产生没优势

感谢分享，有没有更简单的靠大脑就可以转换的？例如中文笔划或英文字母顺序之类的？元素周期表的idea真的不错

我觉得绑2FA就很够用了@@

请问用这方法在不信任的电脑登入就不会被盗了吗

呒虾米拆字或拼音输入法搞不好也可以

够长就有足够的安全性了 搞乱码符号只是麻烦

我的帐号n个 密码n个 而且没有规则性 随时可以修改密码千万不要使用密码管理软件 那是个烂货 iCloud钥匙圈也不要用 不是你的电脑要登入 用手机扫QR code的方式才安全

这只能防字典的攻击 而字典的功击够长就可以了每个地方用不同 常换比较重要

原PO的意思是要有一套密码规则你熟记而且可以变换的例如五月 ios5X5 六月 ios6X6然后明天五月变 ios5XI5明年

可以用bitwarden 加上2fa 或是yubikey等硬件金钥 如果 bitwarden线上会怕可以自己架

1. 通常网站不少都用bcrypt 只要 cost 11以上跑暴力破解就会慢下来 倒是不用担心 大部分状况是遇到撞库如果没2fa或是像平台会做地域跟装置侦测很容易登入1. 请不要把你任何私人的资料送上弄一个generator网站 因为你不能保证他是在前端还是后端运算 他也没有保证他不会收集你的资料就像加密货币的纸钱包制作网站一样 几乎都是假的 事后很高的机会被盗 他们在算法上动了手脚3. 不要过多依赖 iCloud 或是 云端备份密码的软件 你还是要自己要备份重要的密码 因为像 iCloud 除了某些操作会复写原先密码以外 你的操作失误或是系统问了某些问题 有可能直接砍掉在 iCloud 上的密码 如果你是用随机产生的 你就得自己找网站复原网络上很多md5 generator 说真的也没有太大可以信的（某种程度是帮别人的数据库做建档）不然在线解密的网站不会这么有把握可以解回digest原先的文字是什么

我不是用大脑记 是用方法记 至于怎么记不方便透露 公开会影响我的资讯安全 只能说不是用密码管理软件我的淘宝密码从来没改过 也没被盗过 只能说想盗完全不一样的帐号密码…就是目前我使用的 难度可是异常的高你不知道我的帐号前提下 你必须要承认帐号也是另一道密码建议大家使用浏览器 全程用无痕之类的 千万不要储存帐密浏览纪录等等在电脑里 我知道非常困难 但是我办到了^^

我没这么复杂 但有点类似 乱数产生一组号码后 只针对这个号码去变形 有时候加在前面 有时候加在后面 有时候穿插

夜路走多了，总会看到.............

我是网域加数字啦 数字是固定 这样好记 又不会重复当然 不会用生日跟电话这种烂东西

支付宝不是要绑手机 不能单凭密码 怎么盗的

我也是一组密码+网域名搭配组合变化 看起来跟乱码差不多

应该要在家里放一台enigma自己编译

有的网站密码要大小写 有的要符号 很难整理密码

1Passwrod iCloud钥匙圈 这2个工具都不错XD

谢谢分享这个概念

其实不需要，直接用三到四个不相干且非句型的单字就能组成强密码，例如：deskelephantairplanford，好记又几乎算不出来

MD5已经被破了 可逆

不常用我都密码产生器设定，然后不纪录密码，要用再变更一次，很麻烦就是

我都用 CaPSSnPd487

密码管理软件有资安问题 这也是我死都不用的原因