一个密码 逍遥天下
董师傅
@辽宁 小金
“董师傅,最近一个月来,各大网站接连被暴库,几千万用户的密码被泄露,我不得不全部更改密码了,我也知道一个密码走天下很不安全,但我实在记不住肿么办啊!”
“其实,你还是可以一个密码走天下的,只不过方式不太一样——更安全的同时还不会影响你的应用体验,怎么样,是不是很酷?”
以前我经常是一个密码走天下,不管是什么网站,都用一个密码。现在觉得这个习惯非常不好,如果一个网站被暴库,那我在其他网站的密码岂不是也危险了?没错,Keepass、LastPass之类的密码管理工具很不错,但平时上个网也要用这些工具,太麻烦了吧?后来我无意找到了这么一个密码管理网站,它的理念和我以前想的一样,就是一个密码走天下,所不同的是,它要加个区分码来产生新的密码。
这个网站名叫花密,网址为:http://kisexu.com/huami,它旨在提供一个可记忆、非储存的密码管理方案。使用一个记忆密码和各账号的区分代号,通过基于HMAC-MD5的自定义算法为不同账号分别生成一个不同的加强密码。它提供了在线HTTP版、Greasemonkey脚本版、离线HTML版、桌面exe版、Chrome插件版,方便用户选用。
我仔细看了花密的原理,简单地说,它就是将记忆密码加上区分码通过一个基于HMAC的算法计算出一个长度16位由大小写字母、数字组成的密码,这个密码的首位一定是一个字母。(之所以长度为16,是因为部分网站的密码长度限制在16位以下)。
这里以Chrome插件版为例,安装插件版后,在工具栏有一个绿色小花的按钮。打开开心网,然后点花密按钮,在记忆密码输入你以前常用的密码,然后区分代号就写你好区分的东西,例如“kaixin001”,它就给你计算了一个复杂的密码,你复制粘贴到登录的地方,就可以了(如图所示)!其他版本的使用方法也与此是一样的,很方便、很安全有木有?!
董师傅点评:
这个方案董师傅认为是目前最好的密码管理方案了,因为像LastPass这样的在线密码管理工具,也不太靠谱,因为去年五月份LastPass密码服务器遭入侵,LastPass建议客户修改访问其服务的密码。而像KeePass的本地密码管理软件,可是又会遇到其他问题。比如去了网吧,想看下MySQL密码……好吧,我们还有同步工具,可以把KeePass同步到云端,然后……等等,这不是在“重蹈覆辙”么?当然,有很多可以生成随机密码的网站和软件,但想要记住几乎是不可能的!还有密码强度的问题,好的密码应该是大小写字母、数字、符号的混合,而花密这种解决方案就是这样的,可以说是最佳的方案!