Blog

Blog

PHODAL

我的密码之旅:从统一密码,到云同步的随机密码器

取一个变量很纠结,取一个密码很头痛。于是,我开始使用自己的随机密码器,并且它还是“云同步”的。

而出于以下的背景:

  1. 10 年前我使用一个固定的、统一的密码,直到一系列的明文密码泄露事件,我在不同的平台采用了不同的密码。
  2. 在经历了一系列的忘记密码之后,我开始采用平台限定的密码,即不同的平台,密码是半动态的。
  3. 现今的大部分重要网站都采用了二次验证,或是 Google Authenticator,或是短信验证。
  4. 在 ThoughtWorks,我们的密码需要每三个月换一次,它足够的长,并且有一系列的复杂规则。

于是,我终于编写了自己的随机密码器,然后它也是“云同步”的。

统一密码

大家都懂的。。。

如果你的所有账号只有一个密码,那么你完了。。。

最好不要拍些艳照什么的。

快速密码:解锁电脑

当我还在使用 Windows 时,从来就没有想过,可以拥有这样的一个密码:

1qaz2wsx

它在输入上特别快速,并且解锁起来又特别的快。

因为,对应于键盘上的:按键。它有一些变体,比如说:

1234qwer

又或者是:

1qaz@WSX

也会有一些其它高级的变体。

特定平台 + 固定密码

10 年前我使用一个固定的、统一的密码,直到一系列的明文密码泄露事件,我在不同的平台采用了不同的密码。在经历了一系列的忘记密码之后,我开始采用平台限定的密码,即不同的平台,密码是半动态的。如下就是一个简单的,对应于不同平台的代码体系,如:

  • 京东:tb-1qaz2wsx
  • 淘宝:jd-1qaz2wsx

而这样的密码本身也是不安全的,如果有人知道密码规则的话。那么,这无异于一场灾难。于是,我在设计出规则到现在,仅会在一些重要的网站上,采用这种规则。

使用密码管理器

在几年前,我初次接触到了密码管理:LastPass、1Password——对于普通用户来说,它们是一个相当不错的工具。1Password 可以使用 iCloud 同步,可惜我是个 Android 用户。因此,一旦需要我输入密码到手机的时候,就变得有点可怕。并且 1Password 也有对应的 Chrome 插件,可是 Chrome 的自动填充是另外一个问题——所以,尽量不要把电脑借给别人

然而,1Password 和 LastPass 的密码策略,让我觉得它也是不可靠的——Master Password,也就是一个密码可以解锁其它密码。

特定平台 + 生成密码

考虑到上面的密码在固定部分是不安全的,我便想到了一种更优雅的方式:基于 Git 的 SHA-1 算法生成的 commit 号,来实现:特定平台 + 生成密码。如下是一个 git log 的示例:

commit b40c83cb772d4b496d1f9ecec136e21d46f6a765
Author: Phodal HUANG <h@phodal.com>
Date:   Tue Mar 13 17:00:11 2018 +0800

    [mooa] log: add basic logic

commit 3c8badf0bd6671368910fb22eada5a850a3fcf88
Author: Phodal HUANG <h@phodal.com>
Date:   Tue Mar 13 16:46:53 2018 +0800

    [mooa] rename staus filter to status helper

其中的:commit b40c83cb772d4b496d1f9ecec136e21d46f6a765,即对应了一个随机密码。于是我们的密码就变成了:

  • 京东:tb-b40c83cb
  • 淘宝:jd-3c8badf0

当然了 btoa('jingdong'),也是一个不错的实践:amluZ2Rvbmc=

作为一个程序员,最后我采用的策略是,半动态的密码 + 生成的密码。

代码生成密码 + GitHub 存储密码

虽然,我不知道怎么样的密码是真的安全的,但是我觉得一个二十位左右的密码就是安全的。于是我编写了一个七行的 Python 脚本来生成一个 12 位的密码:

from random import choice
from string import hexdigits, punctuation
import time

base_time = str(time.time())[12:16]
base_string = ''.join(choice(hexdigits) for i in range(6))
base_punctuation = ''.join(choice(punctuation) for j in range(2))

print(base_string + base_punctuation + base_time)

首先,生成器将从时间戳里,取第 12~16 位的字符,如下:

1520944501.967865

接着,生成器将从十六进制数字中,随机取 6 位:

0123456789abcdefABCDEF

最后,再从所有的特殊字符中取出几个字符:

!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

就有了这部分的密码:

09a86a{#4242

PS:我使用的是 Python 3,你们这些 Python 2.6 的异教徒。

最后,需要有一个地方来同步我的密码,于是,我将密码存储在了 GitHub 上了——我的 GitHub 需要二次验证。

结论

最后,请不到你的密码贴在笔记本上。


或许您还需要下面的文章:

关于我

Github: @phodal     微博:@phodal     知乎:@phodal    

微信公众号(Phodal)

围观我的Github Idea墙, 也许,你会遇到心仪的项目

QQ技术交流群: 321689806

新书《全栈应用开发:精益实践》

这不是一本深入前端、后台、运维、设计、分析等各个领域的书籍。本书以实践的方式,将这一系列的领域及理论知识结合到一起,来帮助读者构建全栈Web 开发的知识体系,并辅以精益及敏捷的思想,来一步步开发Web 应用:从创建一个UI 原型到编写出静态的前端页面;从静态的前端页面到带后台的应用,并部署应用;从Web 后台开发API 到开发移动Web 应用。在这个过程中,我们还将介绍一些相辅相成的步骤:使用构建系统来加速Web 应用的开发;为应用添加数据分析工具来改进产品;使用分析工具来改善应用的性能;通过自动化部署来加快上线流程;从而帮助读者开发出一个真正可用的全栈 Web 应用。同时,我们也将帮助读者把这些步骤应用到现有的系统上,改进现有系统的开发流程。

comment

Feeds

RSS / Atom

最近文章

关于作者

Phodal Huang

Developer, Consultant, Writer, Designer

ThoughtWorks 高级咨询师

工程师 / 咨询师 / 作家 / 设计学徒

开源深度爱好者

出版有《自己动手设计物联网》、《全栈应用开发:精益实践》

联系我: h@phodal.com

微信公众号: 与我沟通

标签