如何防范京东泄密这样的悲剧？

本文的主旨是：没什么可防的，洗洗睡吧。

---

加盐

加盐就是给密码掺点什么调味。比如给自己每个网站的密码加个前缀或者后缀，类似：taobao + 123456^[1]。由于攻击者的策略是撒网式的，换个网站发现你的密码不通用，自然就漏网了。故此，一个方法就够了……（伪干货部分完）

当然，简单的弊端是挡不住针对你的破解（不考虑某攻击者正好对你的帐号产生兴趣这种情况……）。但真正的问题是：为什么要针对你？既然针对了你，那你和攻击者一定有某种联系，既然有联系就不是单纯的密码问题了……赶紧清算下仇家吧~

为什么不推荐那些优秀的密码管理工具

主要有两个问题：中心化和黑盒化。

• 中心化是指所有密码都在一个篮子里；
• 黑盒化是指除了主密码外，你自己实际不知道任何一个密码。

更主要的原因是……

何必给自己找麻烦呢？君不见成套的个人信息正在打包出售，银行、通信运营商一手流出，压根儿没什么可防的^[2]。至于可以防范的个人支付帐号又有短信验证码，指纹之类的保护（还有账户被盗险），你只管守好自己的手机就行。^[3]

守好手机就行了么？

贴两个让你绝望的、防不慎防的案例：

• 一条短信让他身无分文！央视曝光“验证码”骗局！
• 我有个朋友，储蓄卡被盗刷了47万元

所以总的来说，没什么可防的，洗洗睡吧。

---

1. 在此基础上还可以改变加盐的位置，比如：t1a2o3b4a5o6。或者使用五笔等输入码再给盐转换一层。这样密码即便复杂了，记得规则就能反推。有浏览器的保存密码和 Keychain 之类的辅助，输入也不是难事。 ↩

2. http://mp.weixin.qq.com/s/a-9pcqnuQqRr-Q0p6Nw_Tg ↩

3. 苹果用户还需额外守好自己的 Apple ID，因为丢号和丢机基本没什么区别（要么你关闭「查找我的iPhone」）。因此一定要记得打开双重认证（以前叫两步验证）。手机被锁被讹是一回事，Keychain 里如果保存了大量密码，哭都来不及…… ↩