最頂尖的黑客用什麼方法管理自己的重要密碼？

01-02

以前在微軟裡面混的時候，許可權大的密碼都是每90天一換，且之前使用過的都不能在使用。密碼的記憶都是口頭告訴，沒有落實在文檔里，就是怕被黑了。

就單獨說密碼的管理的話，考慮雙因子或者多因子方法吧。單一密碼很容易出現問題。

比如，密碼+動態密碼+數字證書+生物信息等。

或者就乾脆麻煩點，每次不記憶密碼，計算出來，比如自己的身份證號異或老婆的身份證號等。

我認識的頂尖黑客們答案基本一致：密碼長度足夠長，並且加入一些特殊字元，並且，很短的周期就更換一次密碼。

感謝邀請，稍後會抽時間寫篇文章談談如何在現有互聯網認證體系下管理個人密碼。

更新：

我不是黑客，也不知道頂尖黑客如何管理他們的密碼，如果知道的話那個傢伙一定也不算頂尖黑客。我想對於大家更有意義的是，作為普通用戶，如何在保證自己密碼安全的同時又能做到方便使用，易於記憶。我寫了一篇文字，權作拋磚引玉。《普通青年互聯網賬號密碼設置不完全指南》 http://www.unclejoey.com/?p=538

一直沒回答這個問題，因為我不是頂尖黑客，嚴格來講黑客都不是。但是這個問題問的其實是安全策略，我只比較認同劉晴的回答（手機無法投票，如有機會補上）。Rio曾經回答過一個類似的問題「如何管理自己的賬戶信息」，提供了一個與接下來很相似的答案，即依靠Mac自帶的密碼工具。我的答案基於Windows，是一個很簡單的小程序，這個小程序二輸入一輸出，誰都能寫：輸入一為簡單密碼，輸入二為密鑰即演算法，輸出為複雜密碼。如果只是自己用，輸入二可以省略，固定一個演算法，為了給不同用戶使用並提供記住密鑰的服務才設定了輸入二。輸入一可以很白痴，比如市場佔有率最高的123456789，哪怕0都可以，也可以以域名作為輸入，最終輸出一個長度為16的隨機包含大小寫字母數字及符號的高強度密碼。當然它還能改進——比如有的網站會不支持符號或很長的密碼，密碼演算法也能換。這個密碼要去破解它實在是太噁心了，如果你不同的地方所用密碼不同，那也不怕社工——這很關鍵。重要的地方定期換密碼是個好主意，就怕網站2給你來個明文保存密碼，不過大量更換還是不現實，因為你也不記得哪裡換過了哪裡沒換過。這個工具可以本地使用也能掛在自己的網站上或郵箱里，登錄時經手演算犧牲些用戶體驗即可。我個人覺得這種小工具非常好用，寫起來也不難，08年用的，也曾試過一次推廣，當然被當成了釣魚工具質疑——非常有道理，就一直在小圈子裡用了。不用工具時，記住一串高強度密碼+域名特性也很好，例如zhiQ9iYa_nWbhu，coolQ9iYa_nWbshell等，一般做社工都是機器做，也沒人針對你除非你是牛神，酷殼網第一篇CSDN事件里有個管理自己的密碼的介紹，方法就挺地道

不是黑客，但算個頂級騙子吧，Frank Abagnale 曾說並推薦說喜歡用街道地址做密碼。選對自己特別有意義但一般人很難知曉的事件發生地，比如初次約會的地方什麼的。

他們估計都很少用真實信息的，SNS肯定不碰，最多用別人的賬號看東西。上次看到說他們從來不用硬碟，都是把系統裝到sd卡上，出事了也好處理，畢竟1張sd卡，要銷毀還是比較容易的

Jeffery Deaver有部小說叫The Blue Nowhere，裡面那個黑客Phate用的就是最複雜的密碼，包含各種大小寫字母、數字、特殊字元，位數好像是16位。純用腦子記，蹲監獄的時候他每天背一遍，也當是練習自己的記憶力。

最頂尖黑客的重要密碼？最頂尖的黑客智商一定很好，長度長點沒問題。同時重要密碼的數量肯定極少，大腦絕對是最好的選擇。

用腦子記最安全

比較重要的密碼我是用系統生成的隨機數，再選幾個特殊字元，字母。改下大小寫。輸多幾次就記得了

我來說明一下我見過的好的（定義為一般不太會出問題，此外也方便記憶或者使用）的密碼管理策略。

首先，將你所有需要訪問的網站和伺服器分級。高中低三級。比如公司伺服器就是高，支付寶等金融相關的也是高，保存有你身份信息的比如email也是高。中的比如你自己的vps，或者較為重要個人信息的網站，例如微博、人人等社交網站。低的就是隨便註冊玩玩的網站，比如知乎、豆瓣、等。

當然等級根據你覺得重要性進行排序。

高的，最好設置最複雜的密碼，每一個網站網站密碼都不一樣。也盡量不要保存在介質上，自己記住。如果覺得無法記憶，有個好方式：背句古詩，例如「三千里路雲和月。」，記成「3qllYhy.」這樣有數字有字元有大小寫（根據讀的重音確定大小寫。）這樣就方便記憶了。當然我看到之前回帖有根據這個網站名字融合進密碼規則的也是個好辦法。但是無論如何，高等級的網站，密碼必須不同，複雜，不要保存在介質上。
中等級的網站，密碼也最好複雜些，但要求就沒這麼高了。可以直接用上個人生日信息+網站信息做規則，做一些密碼。方便記憶，如果記不住，就隨機生成，然後可以保存在密碼管理器或者記事本中。但是注意一點：在密碼前後隨機加入固定長度的隨機字元串。但是你得記住你前後加了多長，或者前沒加後加了。這樣你在使用時，就可以只截取你中間那部分複製黏貼即可。別人即使獲取了你的密碼文檔，也只會以為全字元串才是你的密碼，而不會知道，也不會想到，到底其中那個子字元串才是真正的密碼
低等級的網站，用一個通用密碼好了。就算泄露了，也無所謂，本來就當是馬甲用的。都是些不重要的站點，影響也小。

PS：

當然，如果你願意使用1password，lastpassword等在線雲密碼管理工具，也隨你，但是我是不太信任這些雲的存儲服務的。雞蛋都在一個籃子里，一旦出事就不得了。畢竟，他要存儲你的明文密碼就不可能保存成不可逆的模式，而只要可逆，就可能被黑客找到方法破解。
ssh之類的推薦用key方式登陸。你的私鑰保存好，或者系統有條件支持的話臨時申請許可權臨時分配key。
最好的密碼策略，就是以後不再有密碼的存在，等這麼一天吧。哪天openid之類的或者oauth之類的技術普及了，密碼安全就不會如同現在這麼讓人談虎色變了。

沒接觸過頂尖黑客。密碼只要稍微長一點，比如10位數，以現在的個人電腦速度37年才能窮舉出來，而如果別人能用非暴力方法得到你的密碼，你設100位也沒有任何意義。密碼適當長度就可以了。

這是個很複雜的問題，而且密碼多了自己也很難記住。

我不知道黑客是這麼保存密碼的。但是我介紹一下我自己的經驗，我的每個網站密碼都不一樣，但是生成規則一樣，這樣方便了記憶。也不會因為一個密碼泄露，導致全部密碼曝光。如果考慮個人隱私。用戶名也可以每個網站不一樣。這樣就能防止一些人肉的搜索。

不如某某網站的用戶名密碼可以這樣設置：比如http://zhihu.com 密碼：ATzhihu-LoveYou1314 其中AT(xx)-LoveYou1314你自己的規則然後括弧裡面的和網站聯繫起來就可以了。這樣每個網站都可以生成一個不一樣的密碼。而且方便記憶。

如果Mac和Apple方面，用1password這個應用的人比較多。

如果不願意用第三方來保管自己的密碼。

那麼最安全的情況應該是每一個登錄帳號的密碼都不同，

即每一個論壇，信用卡，郵件帳號，都使用不同密碼。

技巧可以是利用不同網站名字域名的後兩個字母編碼後加入自己一個基礎密碼裡面。

頂級黑客沒見過

一些重要的地方的人倒是見過

很簡單

靠腦子記

黑客應該不用記密碼，需要的話自己也能把自己的密碼破解開。

或者是每次都找回密碼！這樣只需要記住自己的郵箱密碼就可以了

用馬甲，不用真身，就用不到密碼了

丟了就再搞個賬號