Skip to content

December 22, 2011

25

关于密码体系

作者: physixfan

作为一个一直有受迫害妄想症的人,我始终觉得现在的密码体系非常不安全。

安全性与方便性始终是密码安全方面的一个不可调和的矛盾。目前大多数网民的习惯,是为了便于记忆,而在很多网站上使用同一组密码。基于这个假设,那么可以想象现在的密码体系是多么的不安全。

昨天CSDN的一份密码表被公布,这件事至少说明了一点,那就是网站的站主以及牛逼的黑客是可以获得密码明文的,如果在很多重要网站上使用同一密码,将很容易遭殃。且不说CSDN以前保存密码明文这件事是不是很道德,起码,貌似法律没有规定这样做是违法的吧。因此小网站的站主很有可能闲着没事存用户的密码明文,用户还发现不了。而且,据阴谋论分析,很有可能有一个凌驾于众网站之上的一个众所周知的势力要求他们保存密码明文给他看。这样一来,如果你不幸属于不同网站设成同一个密码的网民,那么即便是安全性做的很好的网站,例如Gmail啊支付宝啊什么的,其安全性也会瞬间变成浮云。

这就逼迫我们不同网站设成不同的密码。为了防止被人工研究,还不能设置诸如“主密码+renren”这种简单的密码,因为可以轻松反推你的密码设置方式,从而猜出其他密码。所以最好的方式是再使用一套算法加密一次,例如采用MD5(主密码+renren)这种方式生成密码。但是这就导致了一个问题,当你到了一个新电脑上需要输入密码时就会很麻烦,而且有些网站就是让你经常输入一遍密码,如果每次输入都要算一遍MD5实在是太蛋疼。因此此方法并不完美。

现有体系还有一点让我特别不能忍,那就是本地浏览器是保存密码明文的!!!也就是说如果有人趁你不在时使用了你的电脑,那么他可以轻易在浏览器里看见你的所有保存过的密码明文!当然我们也可以一直不保存密码,但是每次打开一个需要登陆的页面就输入一遍密码实在是过于蛋疼。一般来说密码明文是有含义的,例如这次泄露出的密码中就出现了类似“iloveXXX”的密码,自然不希望被用自己电脑的人看到。

为了解决以上种种问题,我有一个设想。

我的设想是:让操作系统和浏览器配合,在浏览器里面内置好算MD5的算法,强制性地停止储存明文,只储存和发送MD5(密码明文+网站名),密码明文只在内存中一闪而过不出现在硬盘上;同时要求所有网站不直接接受个人自己的密码,而是接受浏览器算出来的MD5值。这样网站站主就不可能得到密码明文了:手持发给某个网站MD5值的时候,不可能用这个MD5值登陆其他网站,而且以目前MD5的安全性也反推不出明文。同时,也不用怕被偷看了,反正偷看了存储的MD5值也看不懂记不住。最重要的是,这个方案一旦实行,将是造福大众而不只是自己方便。但是这项工程必须要得到各方支持 难度相当大啊。

 

Read more from Ideas
25 Comments Post a comment
  1. Jun 6 2012

    没有绝对安全的密码。只要把密码强度设置到攻破的代价比攻破之后的收益大就可以了。
    对于个人用户来说,采用不同的用户名,从记忆的角度来说也许比采用不同的密码更加容易。

    Reply
  2. easoncxz
    Oct 24 2012

    博主的用意无非就是『我记一个密码,机器给我算出人人、淘宝和谷歌版』而已。本质上只是解决了『连座』问题,却忽略了传输与黑客获取个别帐号权限的问题。博主提到的md5,无非就是生成各版本密码的一个标准方法罢了。

    Reply

Share your thoughts, post a comment.

(required)
(required)

Note: HTML is allowed. Your email address will never be published.

Subscribe to comments