您的位置:首页 > 业界新闻

拿什么拯救你,我的密码-软件开发经历兼谈互联网安全密码策略

2015-01-26 01:13 363 查看 
我是80后,工作了十来年了,主业和计算机相关,对写程序有兴趣。工作之余写着玩。 去年初,2014年4月,和朋友在吃饭的时候说起想开发一个手机软件,功能很简单就是把用户名密码之类的账户信息保存起来,省得登录网站的时候总是忘记。觉得这件事情挺有意义的,就干了。朋友是做硬件的,偶尔聊聊,我也没完全上心,有精力就搞一搞,没精力就扔在那。拖拖拉拉一直到去年10月底才完成。这个周末改了2版本,在Google Play 和百度以及安智市场上发布了,但是总感觉有朋友问的时候,自己很难说清楚。所以干脆,写下来,慢慢的展示一下这个东西到底是个什么样的东西。也算是一个和志同道合者交流的媒介吧。
我们几乎每天都使用密码,从早上起床上班,手机开机密码,操作系统登录密码,邮箱密码,取钱吃饭买东西也要密码,上论坛发帖子要密码。密码到底是什么呢?我有时候在想,放到我出生的那个时候,好像根本就没有密码这个东西存在。人也一样的生活,生存唯一有印象的就是,有的3好学生会发一个带着密码锁的小本子。对了,好像密码就是和锁相关的东西,这就是最初的印象吧。一个密码就是一把钥匙,可以开一把锁。对了还有万能钥匙,可以开所有的锁。小学时候,城里面有摩托车,龙头上有个钥匙孔,锁芯出奇的简单,有小伙伴展示万能钥匙,沿着商场的边一路开过去,三五下就开了一辆摩托,然后炫耀的按着喇叭,被跑出来的车主抓获了。车主看我们根本不具备把摩托车推走的能力,两个人才能保持平衡,骂了句就让我们逃走了。万能钥匙给我留下了很深的印象。
其实,现在我们的密码,被很多人也用成了万能钥匙一样。几十个网站,一个密码就妥妥搞定了,绝对不能超过1个,2个就混乱了,不知道哪一个网站用的是哪一个密码了。3个简直就是灾难了。除非是1111111,之类的脑残码。如果按照这个做成钥匙的话,是没有齿条的,一根铁片。很酷。可是,谁能不用呢?一个强密码需要至少1个小写字母,1个大写字母,1个数字,且不能全部是字母或者是数字,至少要8位。这样的密码才能说安全,黑客们的算号机器才算不出来。虽然说通过验证码限制尝试频率,服务器ip数据分析,真的想要暴力破解也是相当不易的事情。但是不是我想复杂,网站不接受简单密码啊。我敢下水,网站不敢放水啊。
特别是一些大网站,牛如苹果,烂如数字火车网,稍有不肾,让小人们,把数据库读了去,明文的,加密的,加盐的,不管三七二十一,直接到其他网站上去尝试,万一把用户的眼罩爆了几个出来,那可是担当不起的责任啊。人们不会说百姓不会管理密码,只会把矛头指向大头。数字火车网最近吓坏了,求大家把其他的密码改个和上他的时候不一样的,就是因为这个痛处。万能钥匙。
专家对于万能钥匙有什么好办法呢,非常easy,对每一个网站使用不同的强密码。这个方法真是好------个鬼啊。账户名都快记不全了,你和我谈记密码,你记一个试试看去。
在这个时候,偏方治大病啊,神一样的方法不断涌现,全部把密码记录在小本子上的,吃葡萄绕口令的,唱歌加古诗的,如此如此,那样那样,八鲜过海,都涮锅里去了。我倒是觉得,有一个想法似乎更有道理一些,那就是让上帝的归上帝,魔鬼的归魔鬼。既然电脑带来的问题,还应该让谁来对付呢?当然还是电脑了。没必要非要人定胜天,和计算机拼记忆力,和法拉利拼加速度的,那就只有和猪比智商了。
计算机有个天然缺陷,和人脑相比的。不是快和精确之类的老生常谈,真正的关键在于,人脑子不会丢,不会被别人看见,自己嘴快秃噜出来的不算,如果密码存在手机上,丢了,那就谁捡着谁的了。连到网络上,谁都能看见,(感觉而已,其实真相也并非如此,这里不多说。)所以,放在手机里不安全,怕丢,在线存到服务器上,不放心怕人家看,记在脑子里最好,偏偏又不允许存放中文字符密码。其实,只要密码用汉字替代,东亚信息安全程度大大提高,而欧洲人也必然大大痛苦,既然他们大大痛苦,又能做协议,定规则,肯定在汉语成为世界语之前,这帮汉字文盲必然不肯采用,我也就放弃这个打算了。
就这个现状,怎么办能解决问题?我想了好久,也想不出来。觉得干脆这样吧,把密码为主的重要信息字符,转化为图片。人能看懂,但是机器看不懂。然后把图片一撕两半,当然是用算法的了,都是加了密的。使,仅得一半者,不能恢复完全。一半放在手机上,丢了也不怕,一半放在服务器上,我用阿里云搭建的,其实是我写在线笔记的服务器,兼顾微信服务功能,我这边看到的是这样的,我的三条密码的图片的一半的加密的值的转化。没有手机上的一半,

服务器上的一半完全没用。(所以我才敢公开,三条是我自己的密码片啦)
忘记说了哦,所有的账户名称,网站地址,和一般的密码图片加密数据都是在手机上的,这三样要紧的东西,一丝都不会往服务器这边送。所以,不需要服务器端有多高的道德琴操,这种验证流程和机制决定了,坏人也干不了坏事情。
服务器都有阿里云做快照的,马云罩着呢,崩溃了也不怕,恢复就可以了。
手机上的这三样,也安全的,用了简单的4位数字密码加密的,即使丢了,也可以抵挡一阵子了,而且有足够的时间,通知服务器端,冻结密码配对,从手机上什么也获取不了。
好了,说完了,夜猫子也困了,最后,出于对人类的认知非常局限这一认知,和所有肯定正确的肯定是错误的真理的认知。建议如下:
银行卡,电商账户,橙装账户、重要管理员密码等,特征是被盗后会欲仙欲死的,记在脑子里面,任何地方不存。这是一类。
二类:除了一类的一切,都用我做的软件存吧,都是强密码哦,都不一样哦,都记得住哦。(小草会员啦,翻被战胜校长家的墙密码啦,迅雷密码啦,视频网站密码啦啦)
有机会的话,其实有开源的念头呢,大家一起讨论者,东东会更加强的。不过上次听人感慨,国软开源必死,又犹豫起来了。下为链接,点不点赞无所谓,说说想法意见,交流观点,最重要了。
百度平台
安智市场
安卓市场
Goole Play
[/code]

                                            

                                        

                        
                        内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息 
                    

                    

                    

                        

                         标签: 
                                                

                        

                    


                

            


            

                
相关文章推荐

                

                
            

        

        

            

            
            

                

                    
新的分享

                    

                        
                    

                

            


            

                

                    
章节导航