大辉提出过一个关于密码提示的“愚蠢设计”的问题。其实,我也非常有同感。而且大辉提到的关于“正确答案其实就是暴露安全隐患”,我很早就认同:想当年QQ刚出“密码保护”功能的时候,为了保护自己的“安全”,我基本上都喜欢在“正确答案”上面做点手脚。然而,最终真的忘记密码了,还真是狼狈,完全记不住。
后来许多审核机制都需要设置一个“安全提问”,对此我起初觉得非常的不自然。一来,填写正确的答案人家迟早会猜到。尤其是那些“大学在哪读的”之类,人家一看我的简历岂不是瞬间就知道了;另一方面,过于复杂的答案,尤其是与问题毫不相关的答案只会给自己造成麻烦。我现在就忘记了自己QQ号码的安全问题:想了将近一年了,也想不起来。QQ丢了还有Facebook和校内、海内,我并不担心。但是,淘宝、支付宝这些关键账号怎么办呢?
后来我想了一个办法:
不论是什么网站,随便选择一个安全问题,但所有的答案保持一致,或者以某种“算法”来转译这个安全提问应用的上下文(Context)。
例如:在taobao.com和alipay.com都注册了账号。安全提问分别是“你的父亲的生日是什么”和“你最喜欢的演员”(这都是随便选的)。然后回答分别是taobaondfqdsrssm和alipaynzxhdyy。这样的规则一方面有很好的保密性,另一方面也不容易忘记。
这只是我的个人经验,你的“密码提示、安全提问”怎么用的呢?
Advertisements
Q: 你爱洗衣服
A: 你才爱洗衣服,你全家都爱洗衣服
中午11点就看着一堆衣服发呆…发呆…发呆
现在晚上11点了…继续发呆…发呆…发呆…
爱洗衣服的大猫。
猫组织无处不在
妈的,告诉你,老子的加密不就歇菜了吗!绝不上当.
qiaoka,真聪明,妈的。
神童!!
呵呵,我比较变态。密码和问题都分别用一些函数进行转换,相当于公钥和私钥。
我以后不用了就。
我也觉得这类功能本身就是一个security flaw,怎么能够在有密码的基础上,又要别人暴露一个更容易给第三方得知的信息作为解密途径呢?真实弱智的设计。
你不知道。我早就用了。
你猜猜我的密码保护。。。
选择“你的宠物的名字”(一般都会有的),然后填上一个朋友的名字。
我觉得最恶心是没有自定义问答那种~
一般问题和答案都对不上号~不然给来个社会工程学你的密码就丢了
我从来不用密码提示问题这个功能(一定要填的话我都是随便在键盘上敲一堆字符)。当然要是真的忘记了确实比较麻烦。。。
嗯, 确实是这样的. 我建议那个”随便选的问题”, 不要随便选, 都选第一个或者最后一个. 因为有些网站密码取回的时不会告诉你问题, 问题还要你来选.
还有记住密码这个功能, 觉得会给人惯上坏毛病, 总在一台电脑上登录, 它已经给你记住了. 每次登陆都不用输入密码帐号. 时间长了自然会忘掉, 如果重做系统或者换其它电脑登录就麻烦了. 很难做到安全和方便的均衡吧.
填了就忘···
问题是一段代码
答案是代码运行结果。
可惜,很多网站他Ma的不支持自己定义问题,那么多公开的问题,太好猜了,麻烦。
比如:你最喜欢的运动员是谁?能有多少啊?有名的运动员又不多,随便猜解。
所以,还是自定义的好,呵呵。
qq的不记得了
反正是相当变态的回答 自己也记不清了
现在淘宝的什么的写在纸上 纸上还写了很多假密码和假答案
现在自己都要试好几遍
要是纸丢了 就完蛋了
纸上还写了很多假密码和假答案 ,结果最后都把自己迷糊了
和我一样啊!
按顺序选择一个安全问题,所有的答案保持一致,而且要很BT
好了,我知道你的密码提示答案了。
我的密码提示由键盘上两个左右相邻的字母组成,比如
r?
er
v?
vb
真是碰见惺惺相惜之人了,这样子简单好记而且不容易被猜出来,哈哈
所有地方都用同一个答案……
一直使用着这种方法..
一个极端复杂和变态的密码格式的说…
我是提示问题能自定义的话就乱写,不能就乱选,回答都是同一个,是某次同学间玩笑是产生的- -谁能猜到啊。
我的密码问题答案就是我另一个密码>_
这确实是个聪明的做法,但是,如果什么时候网站抽风,改了这个问题的问法,岂不是苦恼
偶然看到的,挺有意思~
我原来用的:
Q:2的20次方?
A:6758401 输一个数退一格啊!
嘿嘿 记住了
如果某个网站比较邪恶,用你那个答案就可攻破所有账户。