密码密钥放哪里安全
1. 手机里的密码怎样设置才安全
上一篇我们讲到如何选择安全的网站,直观的方法就是网站开头前缀是HTTPS://的更安全一些。
随着生态环境的改变,手机成为了我们生活的主角。
那么,怎样设置手机密码才更安全一点呢?
在这个前提下,我们有必要先来了解一下,手机密码的相关知识。
手机上的密码为什么一定是六位数呢?
其实这样做,更多的是出于使用方便的角度来考虑的。人们在无压力的时候,轻松记住一串数字的长度,大约就是五到七位,所以就取了中间值的六位,做为密码的长度。
有一种说法,黑客可以用一些软件对你的密码进行暴力破解,那么只有六位长度的密码,不是比较容易被攻破吗?
这个大可放心,现在我们用的一切带有支付功能的软件,比如支付宝,微信,他的支付环节都是做过加密的,而且移动端一般使用的都是经过RSA加密的,安全性非常高。
RSA:就是使用不同的加密密钥与解密密钥,由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。
这是一段晦涩难懂的文字,又牵扯到公钥和私钥概念,不太好理解。但接触过区块链的人一般能够有些认识,因为在创建钱包的时候必须要有自己的公钥和私钥,他的加密程度更高,需要谷歌的二次验证码。
并且银行对安全性又增加了一些物理上的限制,比如连续五次密码输入错误,银行卡就会被锁住,只能用主人的身份证到柜台上去解锁,所以黑客的暴力破解是不可能的。
那么,这又牵扯到了一个问题,既然这么安全,为什么还会有人密码泄露呢?
这个问题跟上一篇讲到的如何找到一个更安全的网站,但最终还是不安全的问题一样,都是人性的弱点所致。
我们手机上九个点位的图形解锁,虽然提供了40万种的图案可能,但有经验的贼离很远就能通过你的动作趋势,判断出你的划屏动作。
然后再通过手段窥探到你的密码。一层层的叠加,最终那个结果就出现了。
当然你会有一个意识,怎么就那么巧合呢?
而这些事情为什么偏偏会落到我身上呢?
我们小区前天被盗了五家,最高一家损失了六万余元,
你能想象的到吗?
19楼,大白天,门禁,监控,密码门,物业巡视,阳台的窗户。
所以,你认为输密码时是一个微小的动作,但都抵不有心人的聚焦,他的目的在哪,注意力就会在哪,他会用一切辅助设备和可能性达到目的。你一个看似漫不经心的动作,通过层层的叠加,成为了他通向“胜利”的片砖片瓦。
那么问题来了,怎样设置密码,而使我们的安全性更高些呢?
一:最好把密码改成网站允许的最大长度。
但这也是矛盾的地方,因为在实际的应用当中,由于各种原因不可能耗费这么大的精力。这样是增强了安全,但同时也增强了安全成本,首先长密码很难记住,尤其是老人。再有那么多的应用,如果每一个都使用长密码,反复的操作会让人产生极度的厌恶感。虽然和安全比孰轻孰重不用说,但这也是不容忽视的现实。
二:可以利用工具。
就是一些密码管理类的软件,它可以保存所有密码,而且软件本身安全系数很高,也能按个人需求自动生成新密码,这样定期统一更换出高质量的密码需求,就不难解决了。
但我想即便这样,也依然只会有少数人使用,收费不说,这相当于让人们又重新培养一个习惯,而路径依赖是很难改变的。
三:你可以保持当前的密码和用户名作为新密码的主体不变,然后前后加一些前缀和后缀。
比如淘宝在你的印象当中是“省”,那么你就在淘宝的用户名和密码前加上一个“省”字的拼音,这样长度不但增加了,从意识上,只要想到“省”的时候,就会想到密码,并且这样也更不容易忘掉。
而其他的应用也可以根据这个思路复制,这样,多套完全不同的用户名和密码就修改出来了。
总结一下:
1:手机密码原则上是安全的,但操作上的漏洞就会让它失守。
2:实际生活中,我们选择第三种密码的设置,是比较合理和实际的。
其实首先从我的思想意识当中,没有把密码和用户名看得那么重要,因为我知道,只要掌握了核心一点,不泄露验证码,便会万无一失。
但小区的失窃事件改变了我的这些想法,未雨绸缪还是必要的。
但最重要的一点,在你看来永远是别人的事的事,终究有一天会在你的疏忽大意中成为你自己的事。
所以重视这些问题,让生活更完美些吧!
2. 如何使用Vault安全的存储密码和API密钥
InfoQ:安全是恒久的话题,对于基于WSDL和SOAP的Web Service,我们有WS-Security这样的安全规范来指导实现认证、授权、身份管理等安全需求。那么,RESTful API有无成熟可用规范或实现框架呢?如何保证RESTful API的安全性呢?
李锟:保证RESTful API的安全性,主要包括三大方面:
a) 对客户端做身份认证
b) 对敏感的数据做加密,并且防止篡改
c) 身份认证之后的授权
对客户端做身份认证,有几种常见的做法:
在请求中加签名参数
1.为每个接入方分配一个密钥,并且规定一种签名的计算方法。要求接入方的请求中必须加上签名参数。这个做法是最简单的,但是需要确保接入方密钥的安全保存,另外还要注意防范replay攻击。其优点是容易理解与实现,缺点是需要承担安全保存密钥和定期更新密钥的负担,而且不够灵活,更新密钥和升级签名算法很困难。
使用标准的HTTP身份认证机制
HTTP Basic身份认证安全性较低,必须与HTTPS配合使用。HTTP Digest身份认证可以单独使用,具备中等程度的安全性。
HTTP Digest身份认证机制还支持插入用户自定义的加密算法,这样可以进一步提高API的安全性。不过插入自定义加密算法在面向互联网的API中用的不是很多。
这个做法需要确保接入方“安全域-用户名-密码”三元组信息的安全保存,另外还要注意防范replay攻击。
优点:基于标准,得到了广泛的支持(大量HTTP服务器端、客户端库)。在服务器端做HTTP身份认证的职责可以由Web Server(例如Nginx)、App Server(例如Tomcat)、安全框架(例如Spring Security)来承担,对应用开发者来说是透明的。HTTP身份认证机制(RFC 2617)非常好地体现了“分离关注点”的设计原则,而且保持了操作语义的可见性。
2.缺点:这类基于简单用户名+密码机制的安全性不可能高于基于非对称密钥的机制(例如数字证书)。
使用OAuth协议做身份认证
OAuth协议适用于为外部应用授权访问本站资源的情况。其中的加密机制与HTTP Digest身份认证相比,安全性更高。需要注意,OAuth身份认证与HTTP Digest身份认证之间并不是相互取代的关系,它们的适用场景是不同的。OAuth协议更适合于为面向最终用户维度的API提供授权,例如获取隶属于用户的微博信息等等。如果API并不是面向最终用户维度的,例如像七牛云存储这样的存储服务,这并非是OAuth协议的典型适用场景。
3. 密码放在哪里最安全
前言
目前随着银行卡,信用卡,网络账号,会员卡的增多,密码管理实在让人头疼。把密码放在哪里最安全,当然是记在脑子里,但是这多的的密码,难免搞错,所以最好有个密码本,但这个密码本放在哪里又是最安全的呢?那就是让人想不到的地方?
方法
第一步:
新建一个存放密码的TXT文件,最好空出两行,再写密码:如下图所示:
第二步:
找一张照片,把它和密码本放在同一个文件夹内,如下图所示:
第三步:
在这个文件夹中,再新建一个TXT文件,如:密码隐藏.txt,并在文件中输入下列指令,并保存:
钻井平台.JPG/b+密码本.txt/a 重要.jpg
第四步
将密码隐藏.txt的后缀名改为bat格式,即修改后的文件名为"密码隐藏.bat"
第五步:双击"密码隐藏.bat"文件,此文件夹内会多出一个图片文件,即"重要.jpg"
验证
双击"重要.jpg"文件,打开后是一张原来的照片:
密码在哪里?肯定在照片后面啊?
我们改一下后缀名,把"重要.jpg"改为"重要.txt",用记事本打开,前面是一堆乱码,拖到最后一页,你的密码在这里:
最后把后缀名再改为去,重新变成图片格式,这样你的密码就不会有人知道了,同学们快回去试试吧!
知识点
文件合成命令:
a+b c
同样可以合成两个音乐,两个视频等,大家不妨试试!
4. 帐号、密码太多,记不住,应放在哪里安全。(我家里没电脑)
其实我的记性也不是太好,都存在自己的邮箱,但是我家有电脑我一般都存在电脑桌面上,然后我有一个小本子上面记一些我在网上申请的游戏号,密码,和密保卡资料什么的,这样就算我不是用家里的电脑上网或是记不住我的邮箱都不用怕,带上我的小本子就可以了。
5. 帐号、密码保存在哪里最安全
我觉得你们为什么会觉得这样就安全了,试着想想看其实有多种方法可以让你们现在认为安全的高墙完全倒塌!真不知道上面的朋友竟然会用“绝对安全”这几个字,只要是电脑上的东西,只要是电脑程序,没有一个是完美的,没有一个是没有漏洞的。假如我是个顶级电脑高手,黑客高手,真心的想要得到你放置于QQ记事本或者其他任何你认为安全的电脑或者服务器平台中的账号,密码,重要资料等内容,经过较长时间的攻关,终有一天全部到我手里,如果你有银行卡账号或者密码你的麻烦就大了,当然了,实际生活中那些顶级高手出于各种原因是不会去做这样损人害己的事儿的,但全世界那么多在各个领域和行业从事电脑顶尖工作的高手,说不定哪天哪个高手脑子出问题突然想做些损人不利己的事儿呢?
说不定你就中枪了。就像美国出了个斯诺登,美国政府想得到吗?结果把美国的很多顶级机密全部公之于众。我的一点点话不可能说的很全面,只能说一点点边。棱镜门事件,美国监视了那么多世界上主要的国家,为什么?难道那些被监视或者被窃听的国家政府都是傻瓜,都是技不如人。还是回到刚才的话,这些科技的东西哪一个都是有漏洞存在的。棱镜门事件中还说美国的那些机构或工作人员竟然可以做到无网入侵电脑。就是你的电脑或者服务器没有通过网线连接互联网情况下,他都可以通过另一种技术把你电脑中的资料全部盗走。恐怖吧!所以还是那句话,科技的东西,就因为是科技,人类在不断的进步,新科技不断被更新更先进的科技所突破,科技也在不断的与时俱进,所以真正可靠的还是记录在纸张上最安全。对了,还有另外一个重要的渠道来偷盗你认为安全的资料,那就是你把这些重量资料交付保管的那些所谓的网络公司,你的重要资料放在某某记事本里,内容又传承到网络公司的服务器,呵呵,我想说的是,万一网络公司负责用户重要资料的工作人员正好是个干坏事的料呢(领导平时没有看出来他的为人)或者他平时为人不错但出于某种变故他要去做些损人害己的事儿呢?那你的资料就是他的囊中之物,还何来安全。所以网络是没有安全地的,现在国家也没有在这方面去好好的全面的去立法,那些所谓的大公司都干着很多见不得人的勾当,表面光鲜亮丽,背地里污垢不堪。停了,不说了。