Fw: [心得] 一組密碼+md5=不會共用的萬用密碼

hn880265 發表於 2021/5/31 下午9:56:33

看板iOS標題Fw: [心得] 一組密碼+md5=不會共用的萬用密碼作者

( )時間May 31 21:56:33 2021推噓18 推:20 噓:2 →:54

※ [本文轉錄自 Bank_Service 看板 #1WjEHFrf ]

作者: hn880265 ( ) 看板: Bank_Service
標題: [心得] 一組密碼+md5=不會共用的萬用密碼
時間: Mon May 31 21:27:40 2021

最近支付寶被盜才開始考慮密碼安全
之前有分敏感/涉及個資/免洗密碼約5組但還是會共用到
被木馬側錄到其中一組其他共用的要改掉就很麻煩

就想到配合md5雜湊值來產生密碼

例如要產生12碼英數大小寫(以下舉例不用照搬)

前4碼
去看元素週期表找順眼的例如肥宅鈉含量最高密碼前四碼就固定11Na
最好元素有雙位英文這樣大小寫數字都有了網站要求特殊符號可以加到尾巴

末8碼
例如永久腦海密碼123456 要產生臺灣銀行用的密碼
就用 123456+臺灣銀行去跑md5 hash
https://www.md5hashgenerator.com/
(這網站僅供示範用真正上場請用無聯網權限md5 hash app)
結果為 a20b63673a59b3c846ea03acff9e2066 取前後4碼

最終密碼為11Naa20b2066

這樣只要記住一組密碼(123456)和一個元素鈉(11Na)
像"臺灣銀行"可以寫下來或存在雲端/PC明碼保存
日後要變更密碼也只要把"臺灣銀行"的部分改成"臺灣銀行20210531"去跑md5
md5 hash是不可逆的因為不管要加密的文字長度/檔案大小
最終只會生成32位數0-9/A-F的16進位數值
其實有10碼就夠了 16的6次方已經很難靠暴力破解了

最後用apple鑰匙圈/google密碼管理記憶除了網銀多個身分證有表格填入bug
要拿app出來跑md5 其他大多不用

不想用md5也能用sha-1/crc32等..很多app都能離線產生不用聯網
純分享這樣不用另外去裝密碼管理軟體

--
※ PTT 網址
※ hn880265:轉錄至看板 Android 05/31 21:39

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc)

推

ho83leo05/31 22:00嗯，怎麼會覺得這樣做會安全？定時更改密碼與網路習慣，

→

ho83leo05/31 22:00應該就能避免憾事發生。

額..我是那種雙擊exe前都會確認數位簽章沒有就丟virustotal的人之前有在不受信任的電腦(裝很多26軟體/盜版遊戲)登入過淘寶然後就被盜啦.. 定期改密碼其實沒比不共用密碼還安全耶..

→

PeterHu082705/31 22:01哪天保存密碼的東西壞了頭會很痛

這東西不會壞啦 md5 hash app滿大街你去裝密碼管理可能還會像某牌臨時調高收費養套殺不如靠自己的大腦..

推

pm200105/31 22:05你必須要確保每一次需要輸入密碼時都有hash產生工具

現在很多地方要2次驗證也是沒手機就GG惹其實只要手機解鎖密碼別這樣搞就好XDD

→

valkytie05/31 22:07必須要確保長輩知道什麼是hash 什麼是md5

推

timTan05/31 22:15我也是類似規則，但是比你簡單。

推

g563712805/31 22:30直接用bitwarden這種密碼管理工具比較簡單

→

g563712805/31 22:31每個網站的密碼都不同，用密碼產生器產生

推

ho83leo05/31 22:34所以定時更改密碼與網路資安，這兩個很重要呀，但也謝謝

→

ho83leo05/31 22:34你的分享。

→

SIMD05/31 22:472FA iCloud鑰匙圈除非腦袋算md5拉不然線上工具or開Python

→

SIMD05/31 22:47都沒有多方便

推

DirtyVegas05/31 23:14你的問題是共用和環境吧密碼複雜度關係比較少

推

steve101205/31 23:42直接用bitwarden lastpass或是chrome內建的就可以

→

steve101205/31 23:43你密碼都記在google/apple裡了自己產生沒優勢

推

siegfriedlin05/31 23:47感謝分享，有沒有更簡單的靠大腦就可以轉換的？

→

siegfriedlin05/31 23:47例如中文筆劃或英文字母順序之類的？

→

siegfriedlin05/31 23:50元素週期表的idea真的不錯

推

james8035105/31 23:52我覺得綁2FA就很夠用了@@

沒2fa的還是很多啊有些只有用到敏感功能才會2fa

推

jaerfca05/31 23:55請問用這方法在不信任的電腦登入就不會被盜了嗎

木馬側錄照樣被盜只有2fa能保護唄

→

siegfriedlin05/31 23:58嘸蝦米拆字或拼音輸入法搞不好也可以

→

dsa3519706/01 00:07夠長就有足夠的安全性了搞亂碼符號只是麻煩

推

go171706/01 00:24我的帳號n個密碼n個而且沒有規則性隨時可以修改密碼

那要有個強大的大腦我記5個亂數大小寫密碼就不行惹= =

→

go171706/01 00:24千萬不要使用密碼管理軟體那是個爛貨 iCloud鑰匙圈也不

→

go171706/01 00:24要用不是你的電腦要登入用手機掃QR code的方式才安全

→

wliu06/01 00:31這只能防字典的攻擊而字典的功擊夠長就可以了

網站通常都有防try 只是我淘寶不知道怎麼被盜支付寶被綁定到香港手機支付密碼也被改 e-mail/簡訊完全沒通知結果人工自助客服後帳號就廢了要綁對岸的銀行卡才能開通..

→

wliu06/01 00:33每個地方用不同常換比較重要

→

d8624906/01 00:42原PO的意思是要有一套密碼規則你熟記而且可以變換的

→

d8624906/01 00:42例如五月 ios5X5 六月 ios6X6

→

d8624906/01 00:42然後明天五月變 ios5XI5

→

d8624906/01 00:43明年

→

ikaros032706/01 01:36可以用bitwarden 加上2fa 或是yubikey等硬體金鑰如

→

ikaros032706/01 01:36果 bitwarden線上會怕可以自己架

→

guanting88606/01 07:331. 通常網站不少都用bcrypt 只要 cost 11以上跑暴力

→

guanting88606/01 07:33破解就會慢下來倒是不用擔心大部分狀況是遇到撞庫

→

guanting88606/01 07:33 如果沒2fa或是像平台會做地域跟裝置偵測很容易登入

→

guanting88606/01 07:341. 請不要把你任何私人的資料送上弄一個generator網

→

guanting88606/01 07:34站因為你不能保證他是在前端還是後端運算他也沒有

→

guanting88606/01 07:34保證他不會收集你的資料

→

guanting88606/01 07:35就像加密貨幣的紙錢包製作網站一樣幾乎都是假的事

→

guanting88606/01 07:35後很高的機會被盜他們在演算法上動了手腳

→

guanting88606/01 07:393. 不要過多依賴 iCloud 或是雲端備份密碼的軟體你

→

guanting88606/01 07:39還是要自己要備份重要的密碼因為像 iCloud 除了某

→

guanting88606/01 07:39些操作會複寫原先密碼以外你的操作失誤或是系統問了

→

guanting88606/01 07:39某些問題有可能直接砍掉在 iCloud 上的密碼如果你

→

guanting88606/01 07:39是用隨機產生的你就得自己找網站復原

→

guanting88606/01 07:43網路上很多md5 generator 說真的也沒有太大可以信的

→

guanting88606/01 07:43 （某種程度是幫別人的資料庫做建檔）不然在線解密

→

guanting88606/01 07:43的網站不會這麼有把握可以解回digest原先的文字是什

→

guanting88606/01 07:43麼

改了之前放在文末不夠醒目現在網址下直接提醒要用無聯網權限的md5 hash app

推

go171706/01 12:02我不是用大腦記是用方法記至於怎麼記不方便透露公開會

→

go171706/01 12:02影響我的資訊安全只能說不是用密碼管理軟體

→

go171706/01 12:02我的淘寶密碼從來沒改過也沒被盜過只能說想盜完全不一

→

go171706/01 12:02樣的帳號密碼…就是目前我使用的難度可是異常的高

→

go171706/01 12:04你不知道我的帳號前提下你必須要承認帳號也是另一道密碼

→

go171706/01 12:06建議大家使用瀏覽器全程用無痕之類的千萬不要儲存帳密

→

go171706/01 12:06瀏覽紀錄等等在電腦裡我知道非常困難但是我辦到了^^

推

Virgo06/01 12:51我沒這麼複雜但有點類似亂數產生一組號碼後只針對這個

→

Virgo06/01 12:51號碼去變形有時候加在前面有時候加在後面有時候穿插

噓

darkMood06/01 13:21夜路走多了，總會看到.............

推

ikarifaye06/01 14:49我是網域加數字啦數字是固定這樣好記又不會重複

→

ikarifaye06/01 14:50當然不會用生日跟電話這種爛東西

推

bwhmj06/01 15:17支付寶不是要綁手機不能單憑密碼怎麼盜的

要問港仔駭客了 ptt上也很多人淘寶被盜

→

niseloli06/01 16:06我也是一組密碼+網域名搭配組合變化看起來跟亂碼差不多

這樣可能被猜出規則只比共用密碼好一點

推

milkBK06/01 16:48應該要在家裡放一台enigma自己編譯

推

z753951zxc06/01 19:09有的網站密碼要大小寫有的要符號很難整理密碼

用元素週期表當前四碼就是要符合大小寫英數都有也可以自創像

[email protected]

這樣來當前四碼

推

section06/01 22:201Passwrod iCloud鑰匙圈這2個工具都不錯XD

推

Oct556606/02 01:46謝謝分享這個概念

推

qooxxp06/02 02:58其實不需要，直接用三到四個不相干且非句型的單字就能組

→

qooxxp06/02 02:58成強密碼，例如：deskelephantairplanford，好記又幾乎算

→

qooxxp06/02 02:58不出來

額..網銀和加密貨幣交易所很龜毛的要你有大小寫英數甚至特殊符號普遍限制最長16位甚至8位(台灣企銀/ptt就是最長8位) 用hash結果取前後n碼好處是長短可以滾動式修正

噓

qoo199106/02 10:03MD5已經被破了可逆

那是用不同輸入產生同樣的md5 hash 碰撞跟可逆不一樣而且這只取前後n碼就算有量子電腦只靠md5的首末n碼也回推不出你的輸入字串的啦

※ 編輯: hn880265 (1.164.42.145 臺灣), 06/02/2021 12:29:32

→

thomaschion06/02 13:33不常用我都密碼產生器設定，然後不紀錄密碼，要用再

→

thomaschion06/02 13:33變更一次，很麻煩就是

→

ndowsaso06/03 13:53我都用 CaPSSnPd487

→

go171706/05 23:09密碼管理軟體有資安問題這也是我死都不用的原因