写点什么

安全无小事,教你解决密码泄露问题!

作者:老陈
  • 2022 年 3 月 05 日
  • 本文字数:2126 字

    阅读完需:约 7 分钟

安全无小事,教你解决密码泄露问题!

首先解释下为什么会写这篇文章,作为一名 12 年的 IT 技术人,因为亲身经历,远程桌面都被别人半夜偷偷摸摸登录过,说实话虽说是内鬼但也有点耻辱,所以痛下决心搞定密码泄露问题,分享给大家,也希望对大家有所帮助。

首先把解决方案用最直白的话解释下,就是不要相信任何平台任何人,所有平台使用不同的密码,自己心中有个密钥(必要时候要重置密钥),用这个密钥根据不同的平台生成不同的密码,而且是一定强度的密码,用生成的密码访问不同的平台,这样就算泄露了一个密码,你其他平台都是安全的。只要你的密钥和生成的密码的方式不泄露就是最安全的。重要的事说 3 遍:

你的密钥只在安全地方输入,不要记录在任何地方,不要相信任何平台和人!

你的密钥只在安全地方输入,不要记录在任何地方,不要相信任何平台和人!

你的密钥只在安全地方输入,不要记录在任何地方,不要相信任何平台和人!


相信大部分人都遇到过密码泄露事件,突然发现 qq、微信、邮箱被盗了。但是这里要告诉大家的是更大一部分人不是没遇到过,很可能只不过你还没发现罢了。为什么?因为你的账号没有价值。只有特殊有价值的账号才有特殊的照顾。接下来我们来分析几种情况,大家可以自己对号入座。

第一:为了方便记忆,所有平台共用一个密码,也就是你的微信、QQ、支付宝、银行卡、邮箱等所有平台共用一个密码,而且比较简单,且千年不变那种。那恭喜你,你在互联网上基本属于裸奔类型,如果你到目前还没任何损失也只能感谢你的运气了。

第二:会有几个密码,几个平台共用一个,但是长期不怎么更新的。因为嫌麻烦,这种你的账号风险也比较高,为什么?因为只要你有一个密码泄露了,共用密码的平台就有可能被利用,估计大部分人都属于这种。

第三:同样会有几个密码,也会不定期更新,且密码也有一定复杂度,那恭喜你,你属于互联网里面 5%的头部人员了。就算出现了密码泄露事件,你通过不定期密码更新规避了一定风险。但是这种情况你经常会忘记某个平台用哪个密码,所以你总得重置密码,然后下次你又忘记。

第四:所有平台用不同密码,并且密码都是不一样,且都是强度很高的密码,这种属于凤毛麟角了。且能做到这种的基本都已经不是靠人工维护,都得借助一定工具了。

接下来给大家分析下密码泄露的几种情况。

1、平台泄露,这个也是目前影响范围最大,最常见的安全风险了,而且对于个人还无能为力,除非你不用这些平台。其实很多大大小小的平台,都出现过数据泄露事件,有些是因为平台有漏洞,被黑客攻击了,然后被拖库(数据库被人盗走了)。有些可能是内鬼,监守自盗,把用户数据泄露拿去黑市去卖了。这时还得看这个平台泄露的数据安全级别了,假如你的密码是 123,然后这个平台存的是 123,被泄露出去了。正好里面还有你的姓名、身份证、电话等信息。你想想是不是已经在互联网裸奔了。但是目前出现这种情况概率已经很低了。因为大部分平台已经进行加密存储了。除非是一些小平台,小网站等。所以提醒大家不要在各种小平台、链接输入自己的常用密码,因为那个可能是钓鱼平台。

2、个人泄露,这种常出现在把密码记录在云笔记,一些公共平台、电脑上等。特别想强调下不要把密码明文记录在云笔记上。因为一旦云笔记泄露,你相当于把家里一大把的钥匙交给了坏人手里。还有一部分人会把密码记在小本本上,这种挺好的,但是也建议大家一定不要明文。

然后给大家讲下“老陈”彻底解决密码泄露问题的思路

1、所有平台密码要不一样,而且是那种复杂度比较强的密码,就算泄露了一个,也只是影响这个平台,其他平台是安全的。

2、所有平台密码不一样,就不太可能一个一个记住,所以要借助工具来自动化生成。一般常用的就是固定密钥+特定的哈希算法的方式来生成。密钥就是生成密码的钥匙,一定一定记住输入密钥的地方一定是自己信任的地方,其他地方一定不要输入过,也不要把这个密钥记在任何地方,只在你脑子里。然后就是哈希算法,一般是 MD5 SHA1 之类,然后要加上盐进行哈希(我估计这里已经限制了大部分人,听不懂),所以请直接看第二段话就好。用工具的唯一坏处就是麻烦,因为有时候你不方便用这个工具,但是安全。鱼和熊掌本来就很难兼得。

最后这里想给大家介绍的是最近自己写的 XPassword,XPassword 是一个 Chrome 插件,所有 Chrome 的浏览器都可以支持,XPassword 采用的就是 MD5(密钥+盐)的哈希算法,当然生成的密钥自己可以再加工下(例如末尾加些其他符号等)就更安全了。

1、可以上 Chrome Store 的用户可以直接从 Chrome Store 安装,直接搜索 XPassword 即可。

2、国内普通用户可以从关注“匠心技术人老陈”订阅号,回复 XPassword 获取下载地址。(注意一定从这里下载,因为不保证以后有坏人出一个盗名的 XPassword,专门窃取你的密钥,有技术能力的可以从源码构建,这样算法都是自己的更加安全),有能力的其实可以自己写一个,XPassword 插件源码参考地址(https://github.com/jxlaochen/xplugin-xpassword/)

3、XPassword 插件的安装步骤和使用方法参考这里。

https://mp.weixin.qq.com/s?__biz=MzkxNTMyNzQ2Ng==&mid=2247483683&idx=1&sn=7c3dc57c7bf0d5b69ecc1dee803c20b6&chksm=c16191a6f61618b0b89908918b60e529d2c11db9ebacb52441dca60b442a0214aa1ac209917a&scene=21#wechat_redirect

发布于: 2022 年 03 月 05 日阅读数: 6
用户头像

老陈

关注

还未添加个人签名 2022.03.02 加入

还未添加个人简介

评论

发布
暂无评论
安全无小事,教你解决密码泄露问题!_工具_老陈_InfoQ写作平台