密碼密鑰放哪裡安全
1. 手機里的密碼怎樣設置才安全
上一篇我們講到如何選擇安全的網站,直觀的方法就是網站開頭前綴是HTTPS://的更安全一些。
隨著生態環境的改變,手機成為了我們生活的主角。
那麼,怎樣設置手機密碼才更安全一點呢?
在這個前提下,我們有必要先來了解一下,手機密碼的相關知識。
手機上的密碼為什麼一定是六位數呢?
其實這樣做,更多的是出於使用方便的角度來考慮的。人們在無壓力的時候,輕松記住一串數字的長度,大約就是五到七位,所以就取了中間值的六位,做為密碼的長度。
有一種說法,黑客可以用一些軟體對你的密碼進行暴力破解,那麼只有六位長度的密碼,不是比較容易被攻破嗎?
這個大可放心,現在我們用的一切帶有支付功能的軟體,比如支付寶,微信,他的支付環節都是做過加密的,而且移動端一般使用的都是經過RSA加密的,安全性非常高。
RSA:就是使用不同的加密密鑰與解密密鑰,由已知加密密鑰推導出解密密鑰在計算上是不可行的密碼體制。
這是一段晦澀難懂的文字,又牽扯到公鑰和私鑰概念,不太好理解。但接觸過區塊鏈的人一般能夠有些認識,因為在創建錢包的時候必須要有自己的公鑰和私鑰,他的加密程度更高,需要谷歌的二次驗證碼。
並且銀行對安全性又增加了一些物理上的限制,比如連續五次密碼輸入錯誤,銀行卡就會被鎖住,只能用主人的身份證到櫃台上去解鎖,所以黑客的暴力破解是不可能的。
那麼,這又牽扯到了一個問題,既然這么安全,為什麼還會有人密碼泄露呢?
這個問題跟上一篇講到的如何找到一個更安全的網站,但最終還是不安全的問題一樣,都是人性的弱點所致。
我們手機上九個點位的圖形解鎖,雖然提供了40萬種的圖案可能,但有經驗的賊離很遠就能通過你的動作趨勢,判斷出你的劃屏動作。
然後再通過手段窺探到你的密碼。一層層的疊加,最終那個結果就出現了。
當然你會有一個意識,怎麼就那麼巧合呢?
而這些事情為什麼偏偏會落到我身上呢?
我們小區前天被盜了五家,最高一家損失了六萬余元,
你能想像的到嗎?
19樓,大白天,門禁,監控,密碼門,物業巡視,陽台的窗戶。
所以,你認為輸密碼時是一個微小的動作,但都抵不有心人的聚焦,他的目的在哪,注意力就會在哪,他會用一切輔助設備和可能性達到目的。你一個看似漫不經心的動作,通過層層的疊加,成為了他通向「勝利」的片磚片瓦。
那麼問題來了,怎樣設置密碼,而使我們的安全性更高些呢?
一:最好把密碼改成網站允許的最大長度。
但這也是矛盾的地方,因為在實際的應用當中,由於各種原因不可能耗費這么大的精力。這樣是增強了安全,但同時也增強了安全成本,首先長密碼很難記住,尤其是老人。再有那麼多的應用,如果每一個都使用長密碼,反復的操作會讓人產生極度的厭惡感。雖然和安全比孰輕孰重不用說,但這也是不容忽視的現實。
二:可以利用工具。
就是一些密碼管理類的軟體,它可以保存所有密碼,而且軟體本身安全系數很高,也能按個人需求自動生成新密碼,這樣定期統一更換出高質量的密碼需求,就不難解決了。
但我想即便這樣,也依然只會有少數人使用,收費不說,這相當於讓人們又重新培養一個習慣,而路徑依賴是很難改變的。
三:你可以保持當前的密碼和用戶名作為新密碼的主體不變,然後前後加一些前綴和後綴。
比如淘寶在你的印象當中是「省」,那麼你就在淘寶的用戶名和密碼前加上一個「省」字的拼音,這樣長度不但增加了,從意識上,只要想到「省」的時候,就會想到密碼,並且這樣也更不容易忘掉。
而其他的應用也可以根據這個思路復制,這樣,多套完全不同的用戶名和密碼就修改出來了。
總結一下:
1:手機密碼原則上是安全的,但操作上的漏洞就會讓它失守。
2:實際生活中,我們選擇第三種密碼的設置,是比較合理和實際的。
其實首先從我的思想意識當中,沒有把密碼和用戶名看得那麼重要,因為我知道,只要掌握了核心一點,不泄露驗證碼,便會萬無一失。
但小區的失竊事件改變了我的這些想法,未雨綢繆還是必要的。
但最重要的一點,在你看來永遠是別人的事的事,終究有一天會在你的疏忽大意中成為你自己的事。
所以重視這些問題,讓生活更完美些吧!
2. 如何使用Vault安全的存儲密碼和API密鑰
InfoQ:安全是恆久的話題,對於基於WSDL和SOAP的Web Service,我們有WS-Security這樣的安全規范來指導實現認證、授權、身份管理等安全需求。那麼,RESTful API有無成熟可用規范或實現框架呢?如何保證RESTful API的安全性呢?
李錕:保證RESTful API的安全性,主要包括三大方面:
a) 對客戶端做身份認證
b) 對敏感的數據做加密,並且防止篡改
c) 身份認證之後的授權
對客戶端做身份認證,有幾種常見的做法:
在請求中加簽名參數
1.為每個接入方分配一個密鑰,並且規定一種簽名的計算方法。要求接入方的請求中必須加上簽名參數。這個做法是最簡單的,但是需要確保接入方密鑰的安全保存,另外還要注意防範replay攻擊。其優點是容易理解與實現,缺點是需要承擔安全保存密鑰和定期更新密鑰的負擔,而且不夠靈活,更新密鑰和升級簽名演算法很困難。
使用標準的HTTP身份認證機制
HTTP Basic身份認證安全性較低,必須與HTTPS配合使用。HTTP Digest身份認證可以單獨使用,具備中等程度的安全性。
HTTP Digest身份認證機制還支持插入用戶自定義的加密演算法,這樣可以進一步提高API的安全性。不過插入自定義加密演算法在面向互聯網的API中用的不是很多。
這個做法需要確保接入方「安全域-用戶名-密碼」三元組信息的安全保存,另外還要注意防範replay攻擊。
優點:基於標准,得到了廣泛的支持(大量HTTP伺服器端、客戶端庫)。在伺服器端做HTTP身份認證的職責可以由Web Server(例如Nginx)、App Server(例如Tomcat)、安全框架(例如Spring Security)來承擔,對應用開發者來說是透明的。HTTP身份認證機制(RFC 2617)非常好地體現了「分離關注點」的設計原則,而且保持了操作語義的可見性。
2.缺點:這類基於簡單用戶名+密碼機制的安全性不可能高於基於非對稱密鑰的機制(例如數字證書)。
使用OAuth協議做身份認證
OAuth協議適用於為外部應用授權訪問本站資源的情況。其中的加密機制與HTTP Digest身份認證相比,安全性更高。需要注意,OAuth身份認證與HTTP Digest身份認證之間並不是相互取代的關系,它們的適用場景是不同的。OAuth協議更適合於為面向最終用戶維度的API提供授權,例如獲取隸屬於用戶的微博信息等等。如果API並不是面向最終用戶維度的,例如像七牛雲存儲這樣的存儲服務,這並非是OAuth協議的典型適用場景。
3. 密碼放在哪裡最安全
前言
目前隨著銀行卡,信用卡,網路賬號,會員卡的增多,密碼管理實在讓人頭疼。把密碼放在哪裡最安全,當然是記在腦子里,但是這多的的密碼,難免搞錯,所以最好有個密碼本,但這個密碼本放在哪裡又是最安全的呢?那就是讓人想不到的地方?
方法
第一步:
新建一個存放密碼的TXT文件,最好空出兩行,再寫密碼:如下圖所示:
第二步:
找一張照片,把它和密碼本放在同一個文件夾內,如下圖所示:
第三步:
在這個文件夾中,再新建一個TXT文件,如:密碼隱藏.txt,並在文件中輸入下列指令,並保存:
鑽井平台.JPG/b+密碼本.txt/a 重要.jpg
第四步
將密碼隱藏.txt的後綴名改為bat格式,即修改後的文件名為"密碼隱藏.bat"
第五步:雙擊"密碼隱藏.bat"文件,此文件夾內會多出一個圖片文件,即"重要.jpg"
驗證
雙擊"重要.jpg"文件,打開後是一張原來的照片:
密碼在哪裡?肯定在照片後面啊?
我們改一下後綴名,把"重要.jpg"改為"重要.txt",用記事本打開,前面是一堆亂碼,拖到最後一頁,你的密碼在這里:
最後把後綴名再改為去,重新變成圖片格式,這樣你的密碼就不會有人知道了,同學們快回去試試吧!
知識點
文件合成命令:
a+b c
同樣可以合成兩個音樂,兩個視頻等,大家不妨試試!
4. 帳號、密碼太多,記不住,應放在哪裡安全。(我家裡沒電腦)
其實我的記性也不是太好,都存在自己的郵箱,但是我家有電腦我一般都存在電腦桌面上,然後我有一個小本子上面記一些我在網上申請的游戲號,密碼,和密保卡資料什麼的,這樣就算我不是用家裡的電腦上網或是記不住我的郵箱都不用怕,帶上我的小本子就可以了。
5. 帳號、密碼保存在哪裡最安全
我覺得你們為什麼會覺得這樣就安全了,試著想想看其實有多種方法可以讓你們現在認為安全的高牆完全倒塌!真不知道上面的朋友竟然會用「絕對安全」這幾個字,只要是電腦上的東西,只要是電腦程序,沒有一個是完美的,沒有一個是沒有漏洞的。假如我是個頂級電腦高手,黑客高手,真心的想要得到你放置於QQ記事本或者其他任何你認為安全的電腦或者伺服器平台中的賬號,密碼,重要資料等內容,經過較長時間的攻關,終有一天全部到我手裡,如果你有銀行卡賬號或者密碼你的麻煩就大了,當然了,實際生活中那些頂級高手出於各種原因是不會去做這樣損人害己的事兒的,但全世界那麼多在各個領域和行業從事電腦頂尖工作的高手,說不定哪天哪個高手腦子出問題突然想做些損人不利己的事兒呢?
說不定你就中槍了。就像美國出了個斯諾登,美國政府想得到嗎?結果把美國的很多頂級機密全部公之於眾。我的一點點話不可能說的很全面,只能說一點點邊。棱鏡門事件,美國監視了那麼多世界上主要的國家,為什麼?難道那些被監視或者被竊聽的國家政府都是傻瓜,都是技不如人。還是回到剛才的話,這些科技的東西哪一個都是有漏洞存在的。棱鏡門事件中還說美國的那些機構或工作人員竟然可以做到無網入侵電腦。就是你的電腦或者伺服器沒有通過網線連接互聯網情況下,他都可以通過另一種技術把你電腦中的資料全部盜走。恐怖吧!所以還是那句話,科技的東西,就因為是科技,人類在不斷的進步,新科技不斷被更新更先進的科技所突破,科技也在不斷的與時俱進,所以真正可靠的還是記錄在紙張上最安全。對了,還有另外一個重要的渠道來偷盜你認為安全的資料,那就是你把這些重量資料交付保管的那些所謂的網路公司,你的重要資料放在某某記事本里,內容又傳承到網路公司的伺服器,呵呵,我想說的是,萬一網路公司負責用戶重要資料的工作人員正好是個干壞事的料呢(領導平時沒有看出來他的為人)或者他平時為人不錯但出於某種變故他要去做些損人害己的事兒呢?那你的資料就是他的囊中之物,還何來安全。所以網路是沒有安全地的,現在國家也沒有在這方面去好好的全面的去立法,那些所謂的大公司都干著很多見不得人的勾當,表面光鮮亮麗,背地裡污垢不堪。停了,不說了。