PTT評價

Fw: [心得] 一組密碼+md5=不會共用的萬用密碼

看板iOS標題Fw: [心得] 一組密碼+md5=不會共用的萬用密碼作者
hn880265
( )
時間推噓18 推:20 噓:2 →:54

※ [本文轉錄自 Bank_Service 看板 #1WjEHFrf ]

作者: hn880265 ( ) 看板: Bank_Service
標題: [心得] 一組密碼+md5=不會共用的萬用密碼
時間: Mon May 31 21:27:40 2021

最近支付寶被盜才開始考慮密碼安全
之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到
被木馬側錄到其中一組其他共用的要改掉就很麻煩


就想到配合md5雜湊值來產生密碼


例如要產生12碼英數大小寫(以下舉例 不用照搬)

前4碼
去看元素週期表 找順眼的 例如肥宅鈉含量最高 密碼前四碼就固定11Na
最好元素有雙位英文 這樣大小寫數字都有了 網站要求特殊符號可以加到尾巴

末8碼
例如永久腦海密碼123456 要產生臺灣銀行用的密碼
就用 123456+臺灣銀行 去跑md5 hash
https://www.md5hashgenerator.com/
(這網站僅供示範用 真正上場請用無聯網權限md5 hash app)
結果為 a20b63673a59b3c846ea03acff9e2066 取前後4碼

最終密碼為11Naa20b2066

這樣只要記住一組密碼(123456)和一個元素鈉(11Na)
像"臺灣銀行"可以寫下來或存在雲端/PC明碼保存
日後要變更密碼 也只要把"臺灣銀行"的部分改成"臺灣銀行20210531"去跑md5
md5 hash是不可逆的 因為不管要加密的文字長度/檔案大小
最終只會生成32位數0-9/A-F的16進位數值
其實有10碼就夠了 16的6次方已經很難靠暴力破解了

最後用apple鑰匙圈/google密碼管理記憶 除了網銀多個身分證有表格填入bug
要拿app出來跑md5 其他大多不用

不想用md5也能用sha-1/crc32等..很多app都能離線產生不用聯網
純分享 這樣不用另外去裝密碼管理軟體

--
PTT 網址
hn880265:轉錄至看板 Android 05/31 21:39

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc)

ho83leo05/31 22:00嗯,怎麼會覺得這樣做會安全?定時更改密碼與網路習慣,

ho83leo05/31 22:00應該就能避免憾事發生。

額..我是那種雙擊exe前都會確認數位簽章 沒有就丟virustotal的人 之前有在不受信任的電腦(裝很多26軟體/盜版遊戲)登入過淘寶 然後就被盜啦.. 定期改密碼 其實沒比不共用密碼還安全耶..

PeterHu082705/31 22:01哪天保存密碼的東西壞了頭會很痛

這東西不會壞啦 md5 hash app滿大街 你去裝密碼管理可能還會像某牌臨時調高收費養套殺 不如靠自己的大腦..

pm200105/31 22:05你必須要確保每一次需要輸入密碼時 都有hash產生工具

現在很多地方要2次驗證也是沒手機就GG惹 其實只要手機解鎖密碼別這樣搞就好XDD

valkytie05/31 22:07必須要確保長輩知道什麼是hash 什麼是md5

timTan05/31 22:15我也是類似規則,但是比你簡單。

g563712805/31 22:30直接用bitwarden這種密碼管理工具比較簡單

g563712805/31 22:31每個網站的密碼都不同,用密碼產生器產生

ho83leo05/31 22:34所以定時更改密碼與網路資安,這兩個很重要呀,但也謝謝

ho83leo05/31 22:34你的分享。

SIMD05/31 22:472FA iCloud鑰匙圈 除非腦袋算md5拉 不然線上工具or開Python

SIMD05/31 22:47都沒有多方便

DirtyVegas05/31 23:14你的問題是共用和環境吧 密碼複雜度關係比較少

steve101205/31 23:42直接用bitwarden lastpass或是chrome內建的就可以

steve101205/31 23:43你密碼都記在google/apple裡了 自己產生沒優勢

siegfriedlin05/31 23:47感謝分享,有沒有更簡單的靠大腦就可以轉換的?

siegfriedlin05/31 23:47例如中文筆劃或英文字母順序之類的?

siegfriedlin05/31 23:50元素週期表的idea真的不錯

james8035105/31 23:52我覺得綁2FA就很夠用了@@

沒2fa的還是很多啊 有些只有用到敏感功能才會2fa

jaerfca05/31 23:55請問用這方法在不信任的電腦登入就不會被盜了嗎

木馬側錄照樣被盜 只有2fa能保護唄

siegfriedlin05/31 23:58嘸蝦米拆字或拼音輸入法搞不好也可以

dsa3519706/01 00:07夠長就有足夠的安全性了 搞亂碼符號只是麻煩

go171706/01 00:24我的帳號n個 密碼n個 而且沒有規則性 隨時可以修改密碼

那要有個強大的大腦 我記5個亂數大小寫密碼就不行惹= =

go171706/01 00:24千萬不要使用密碼管理軟體 那是個爛貨 iCloud鑰匙圈也不

go171706/01 00:24要用 不是你的電腦要登入 用手機掃QR code的方式才安全

wliu06/01 00:31這只能防字典的攻擊 而字典的功擊夠長就可以了

網站通常都有防try 只是我淘寶不知道怎麼被盜 支付寶被綁定到香港手機 支付密碼也被改 e-mail/簡訊完全沒通知 結果人工自助客服後 帳號就廢了 要綁對岸的銀行卡才能開通..

wliu06/01 00:33每個地方用不同 常換比較重要

d8624906/01 00:42原PO的意思是要有一套密碼規則你熟記而且可以變換的

d8624906/01 00:42例如五月 ios5X5 六月 ios6X6

d8624906/01 00:42然後明天五月變 ios5XI5

d8624906/01 00:43明年

ikaros032706/01 01:36可以用bitwarden 加上2fa 或是yubikey等硬體金鑰 如

ikaros032706/01 01:36果 bitwarden線上會怕可以自己架

guanting88606/01 07:331. 通常網站不少都用bcrypt 只要 cost 11以上跑暴力

guanting88606/01 07:33破解就會慢下來 倒是不用擔心 大部分狀況是遇到撞庫

guanting88606/01 07:33 如果沒2fa或是像平台會做地域跟裝置偵測很容易登入

guanting88606/01 07:341. 請不要把你任何私人的資料送上弄一個generator網

guanting88606/01 07:34站 因為你不能保證他是在前端還是後端運算 他也沒有

guanting88606/01 07:34保證他不會收集你的資料

guanting88606/01 07:35就像加密貨幣的紙錢包製作網站一樣 幾乎都是假的 事

guanting88606/01 07:35後很高的機會被盜 他們在演算法上動了手腳

guanting88606/01 07:393. 不要過多依賴 iCloud 或是 雲端備份密碼的軟體 你

guanting88606/01 07:39還是要自己要備份重要的密碼 因為像 iCloud 除了某

guanting88606/01 07:39些操作會複寫原先密碼以外 你的操作失誤或是系統問了

guanting88606/01 07:39某些問題 有可能直接砍掉在 iCloud 上的密碼 如果你

guanting88606/01 07:39是用隨機產生的 你就得自己找網站復原

guanting88606/01 07:43網路上很多md5 generator 說真的也沒有太大可以信的

guanting88606/01 07:43 (某種程度是幫別人的資料庫做建檔)不然在線解密

guanting88606/01 07:43的網站不會這麼有把握可以解回digest原先的文字是什

guanting88606/01 07:43

改了 之前放在文末不夠醒目 現在網址下直接提醒要用無聯網權限的md5 hash app

go171706/01 12:02我不是用大腦記 是用方法記 至於怎麼記不方便透露 公開會

go171706/01 12:02影響我的資訊安全 只能說不是用密碼管理軟體

go171706/01 12:02我的淘寶密碼從來沒改過 也沒被盜過 只能說想盜完全不一

go171706/01 12:02樣的帳號密碼…就是目前我使用的 難度可是異常的高

go171706/01 12:04你不知道我的帳號前提下 你必須要承認帳號也是另一道密碼

go171706/01 12:06建議大家使用瀏覽器 全程用無痕之類的 千萬不要儲存帳密

go171706/01 12:06瀏覽紀錄等等在電腦裡 我知道非常困難 但是我辦到了^^

Virgo06/01 12:51我沒這麼複雜 但有點類似 亂數產生一組號碼後 只針對這個

Virgo06/01 12:51號碼去變形 有時候加在前面 有時候加在後面 有時候穿插

darkMood06/01 13:21夜路走多了,總會看到.............

ikarifaye06/01 14:49我是網域加數字啦 數字是固定 這樣好記 又不會重複

ikarifaye06/01 14:50當然 不會用生日跟電話這種爛東西

bwhmj06/01 15:17支付寶不是要綁手機 不能單憑密碼 怎麼盜的

要問港仔駭客了 ptt上也很多人淘寶被盜

niseloli06/01 16:06我也是一組密碼+網域名搭配組合變化 看起來跟亂碼差不多

這樣可能被猜出規則 只比共用密碼好一點

milkBK06/01 16:48應該要在家裡放一台enigma自己編譯

z753951zxc06/01 19:09有的網站密碼要大小寫 有的要符號 很難整理密碼

用元素週期表當前四碼就是要符合大小寫英數都有 也可以自創像

[email protected]

這樣來當前四碼

section06/01 22:201Passwrod iCloud鑰匙圈 這2個工具都不錯XD

Oct556606/02 01:46謝謝分享這個概念

qooxxp06/02 02:58其實不需要,直接用三到四個不相干且非句型的單字就能組

qooxxp06/02 02:58成強密碼,例如:deskelephantairplanford,好記又幾乎算

qooxxp06/02 02:58不出來

額..網銀和加密貨幣交易所很龜毛的 要你有大小寫英數甚至特殊符號 普遍限制最長16位甚至8位(台灣企銀/ptt就是最長8位) 用hash結果取前後n碼好處是長短可以滾動式修正

qoo199106/02 10:03MD5已經被破了 可逆

那是用不同輸入產生同樣的md5 hash 碰撞跟可逆不一樣 而且這只取前後n碼 就算有量子電腦 只靠md5的首末n碼 也回推不出你的輸入字串的啦

※ 編輯: hn880265 (1.164.42.145 臺灣), 06/02/2021 12:29:32

thomaschion06/02 13:33不常用我都密碼產生器設定,然後不紀錄密碼,要用再

thomaschion06/02 13:33變更一次,很麻煩就是

ndowsaso06/03 13:53我都用 CaPSSnPd487

go171706/05 23:09密碼管理軟體有資安問題 這也是我死都不用的原因