密码的学问

密码的学问

人类自从有了互联网这家伙以后，与密码这东西的联系越来越紧密，直到再也无可取代。

单从密码学上来讲，这东西博大精深，从传输协议与加密算法到比特币，形形色色的东西背后都是密码学原理，这甚至还成了社会学与哲学上的一种理念，这里我不赘述，可以自行Google入门。今天我就分享一下自己的密码管理方法。

密码这东西有多重要就不必说了。我从小学开始申请无数帐号而从未被盗号也是一种幸运，因此就说说我为此做的努力和行为习惯。

先在这里假设 [1], [2], [3], [4], [5]五个各有差异的密码，或者说略微相关但你能记住而别人知道其一也绝对猜不出其他的五个。首先开始我们的设置，把最难的密码(15位以上，英文大小写数字字符都存在)作为我iCloud和Gmail的密码，同时在这两个最重要的帐号上都开启两步验证。我们假定iCloud密码为i+[1],Gmail密码为G+[1],接着如果你也使用Microsoft的outlook邮箱的话把它的密码也设为M+[1] （仅供参考，意思是即使在[1]密码使用上也最好再简单更改一下），因为这些帐号是你用来申请其他帐号的根本，所有验证与保护追回操作都可以通过这些iCloud，Gmail，Outlook来追回。在这里我本人不推荐你主邮箱使用qq或163，这些邮箱不是很安全，而如果你有公司邮箱也尽量不要当做主邮箱，像我拥有@gracesme.com ，@gracesme.cn等企业邮箱但我相信这些企业在安全性上也绝对做不到Gmail一样的强大，因此只用客户交流，越少使用越安全。

然后我再把国内与国外网站稍作区分，相比较而言 [2], [3] 是比较相似的密码，或许就在第N位上有大小写的差别，其中一个用于作为国内网站app的密码，另一个作为国外app的密码。原因也是我不太相信国内互联网公司的节操。

[4] 是专门用于大公司的，类似于腾讯，阿里，亚马逊，Facebook这些既不是上述 [1] 那么重要的，又不想一般阿猫阿狗一样普通网站app的，这也是有考虑的，这些大公司的技术实力一般较强，能较好的做好安全防护，而且数据也相对重要，得尽量不被撞库。 其实我告诉你吧，这 [4] 和 [1] 其实也可像 [2] 和 [3] 一样尽可能相似，这样你只要记两条密码即可，大大减少脑细胞消耗^_！

最后一条 [5] 就是针对于什么都不知道的公司，就像你在街上走忽然被人拉住推销产品啊；在一个不认识的小广告点击进入的一个莫名小黄网啦；强迫注册才能进行下一步操作的流氓网站啊…这时候大胆的用123456789或类似的东西吧，只要能通过就行。像我统一用132456798，就是告诉你都可以...因为要知道在我眼里这些帐号重要性就是123456789。 对了 这里我想说说为什么我不使用密码管理器：现在有很多的密码管理软件，像Apple就提供了一个钥匙串功能，可以自动的在注册的时候生成高强度随机的密码，并自动同步而且方便的填充；在Mac上也有大名鼎鼎的1password，在win上也有许多强大可靠的软件可以做到。但我都没有使用，原因也在这里稍微说下：

1. 我说了有时候一个网站在我眼里的重要性就是123456789，何必要生成一个高强度的密码来保护呢？
2. 比如像iCloud钥匙串和1password就只能在Apple设备上使用，我换了个android设备或到windows电脑上就会变得异常麻烦。或临时在别人的设备上登录网页都要切换Apple ID这是极其不好的体验。
3. 何况密码管理器有一个统一的密码，如果这个密码被黑了那你所有的帐号都相当于被黑，这种把所有鸡蛋放在同一个篮子里的事我觉得很没道理。
4. 最后的最后，现在是app时代，未来更是。很多程序都同时拥有web版和app，甚至只有app，而在app是无法自动填充的，这怎么会是一种长远的打算呢？

最后的最后再再说一下关于密码的事，听说现在流行指纹支付和刷脸支付，但我想我是不会用的。嗯，怎么说呢？指纹和人脸识别都很容易被模仿与破解，毕竟密码学的博大精深是经过了几十年的发展的，我更愿意在脑子里记忆一串无规律的字符。要真到了指纹虹膜行为声纹多方面验证的时候，那才义无反顾投入生物验证的行列吧，谁知道呢？

http://chuansong.me/n/1824305

http://chuansong.me/n/1827164