※ [本文轉錄自 Bank_Service 看板 #1WjEHFrf ]
作者: hn880265 ( ) 看板: Bank_Service
標題: [心得] 一組密碼+md5=不會共用的萬用密碼
時間: Mon May 31 21:27:40 2021
最近支付寶被盜才開始考慮密碼安全
之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到
被木馬側錄到其中一組其他共用的要改掉就很麻煩
就想到配合md5雜湊值來產生密碼
例如要產生12碼英數大小寫(以下舉例 不用照搬)
前4碼
去看元素週期表 找順眼的 例如肥宅鈉含量最高 密碼前四碼就固定11Na
最好元素有雙位英文 這樣大小寫數字都有了 網站要求特殊符號可以加到尾巴
末8碼
例如永久腦海密碼123456 要產生臺灣銀行用的密碼
就用 123456+臺灣銀行 去跑md5 hash
https://www.md5hashgenerator.com/
(這網站僅供示範用 真正上場請用無聯網權限md5 hash app)
結果為 a20b63673a59b3c846ea03acff9e2066 取前後4碼
最終密碼為11Naa20b2066
這樣只要記住一組密碼(123456)和一個元素鈉(11Na)
像"臺灣銀行"可以寫下來或存在雲端/PC明碼保存
日後要變更密碼 也只要把"臺灣銀行"的部分改成"臺灣銀行20210531"去跑md5
md5 hash是不可逆的 因為不管要加密的文字長度/檔案大小
最終只會生成32位數0-9/A-F的16進位數值
其實有10碼就夠了 16的6次方已經很難靠暴力破解了
最後用apple鑰匙圈/google密碼管理記憶 除了網銀多個身分證有表格填入bug
要拿app出來跑md5 其他大多不用
不想用md5也能用sha-1/crc32等..很多app都能離線產生不用聯網
純分享 這樣不用另外去裝密碼管理軟體

嗯，怎麼會覺得這樣做會安全？定時更改密碼與網路習慣，應該就能避免憾事發生。

哪天保存密碼的東西壞了頭會很痛

你必須要確保每一次需要輸入密碼時 都有hash產生工具

必須要確保長輩知道什麼是hash 什麼是md5

我也是類似規則，但是比你簡單。

直接用bitwarden這種密碼管理工具比較簡單每個網站的密碼都不同，用密碼產生器產生

所以定時更改密碼與網路資安，這兩個很重要呀，但也謝謝你的分享。

2FA iCloud鑰匙圈 除非腦袋算md5拉 不然線上工具or開Python都沒有多方便

你的問題是共用和環境吧 密碼複雜度關係比較少

直接用bitwarden lastpass或是chrome內建的就可以你密碼都記在google/apple裡了 自己產生沒優勢

感謝分享，有沒有更簡單的靠大腦就可以轉換的？例如中文筆劃或英文字母順序之類的？元素週期表的idea真的不錯

我覺得綁2FA就很夠用了@@

請問用這方法在不信任的電腦登入就不會被盜了嗎

嘸蝦米拆字或拼音輸入法搞不好也可以

夠長就有足夠的安全性了 搞亂碼符號只是麻煩

我的帳號n個 密碼n個 而且沒有規則性 隨時可以修改密碼千萬不要使用密碼管理軟體 那是個爛貨 iCloud鑰匙圈也不要用 不是你的電腦要登入 用手機掃QR code的方式才安全

這只能防字典的攻擊 而字典的功擊夠長就可以了每個地方用不同 常換比較重要

原PO的意思是要有一套密碼規則你熟記而且可以變換的例如五月 ios5X5 六月 ios6X6然後明天五月變 ios5XI5明年

可以用bitwarden 加上2fa 或是yubikey等硬體金鑰 如果 bitwarden線上會怕可以自己架

1. 通常網站不少都用bcrypt 只要 cost 11以上跑暴力破解就會慢下來 倒是不用擔心 大部分狀況是遇到撞庫如果沒2fa或是像平台會做地域跟裝置偵測很容易登入1. 請不要把你任何私人的資料送上弄一個generator網站 因為你不能保證他是在前端還是後端運算 他也沒有保證他不會收集你的資料就像加密貨幣的紙錢包製作網站一樣 幾乎都是假的 事後很高的機會被盜 他們在演算法上動了手腳3. 不要過多依賴 iCloud 或是 雲端備份密碼的軟體 你還是要自己要備份重要的密碼 因為像 iCloud 除了某些操作會複寫原先密碼以外 你的操作失誤或是系統問了某些問題 有可能直接砍掉在 iCloud 上的密碼 如果你是用隨機產生的 你就得自己找網站復原網路上很多md5 generator 說真的也沒有太大可以信的（某種程度是幫別人的資料庫做建檔）不然在線解密的網站不會這麼有把握可以解回digest原先的文字是什麼

我不是用大腦記 是用方法記 至於怎麼記不方便透露 公開會影響我的資訊安全 只能說不是用密碼管理軟體我的淘寶密碼從來沒改過 也沒被盜過 只能說想盜完全不一樣的帳號密碼…就是目前我使用的 難度可是異常的高你不知道我的帳號前提下 你必須要承認帳號也是另一道密碼建議大家使用瀏覽器 全程用無痕之類的 千萬不要儲存帳密瀏覽紀錄等等在電腦裡 我知道非常困難 但是我辦到了^^

我沒這麼複雜 但有點類似 亂數產生一組號碼後 只針對這個號碼去變形 有時候加在前面 有時候加在後面 有時候穿插

夜路走多了，總會看到.............

我是網域加數字啦 數字是固定 這樣好記 又不會重複當然 不會用生日跟電話這種爛東西

支付寶不是要綁手機 不能單憑密碼 怎麼盜的

我也是一組密碼+網域名搭配組合變化 看起來跟亂碼差不多

應該要在家裡放一台enigma自己編譯

有的網站密碼要大小寫 有的要符號 很難整理密碼

1Passwrod iCloud鑰匙圈 這2個工具都不錯XD

謝謝分享這個概念

其實不需要，直接用三到四個不相干且非句型的單字就能組成強密碼，例如：deskelephantairplanford，好記又幾乎算不出來

MD5已經被破了 可逆

不常用我都密碼產生器設定，然後不紀錄密碼，要用再變更一次，很麻煩就是

我都用 CaPSSnPd487

密碼管理軟體有資安問題 這也是我死都不用的原因