社工庫密碼已經過億，如何管理密碼才能方便又安全？

01-03

前段時間發生了微博被盜事件。密碼太簡單就被盜取，複雜了又記不住。如何管理自己的密碼，才能便捷又安全？
暴庫及社工庫詳見此文：http://hi.baidu.com/caoz/blog/item/edcc36d3f812891e3af3cf28.html

舉一個例子：我有個站長朋友做過一個小工具，把隨便什麼字元轉換成高強度的密碼，二輸入一輸出，輸入的是簡單密碼和密鑰，這個密鑰可以理解成個人的轉換準則，可以固定，輸出符合要求的密碼——這種小工具技術含量太低了，卻很有效。長度夠隨機區分大小寫帶符號的密碼對於破解來說是很麻煩的，而如果你用簡單的方法去記憶（比如上什麼網就用它網址輸入，輸出的是複雜密碼），總之只要是不同又記得住的方法就能防社工庫。這樣做的代價是你得隨身帶著那個小工具或者把它放到網頁、網路硬碟上，輸密碼過一遍它，用戶體驗非常差，我想只有「大戶」才有價值這麼做，比如我的知乎號被盜了，並不能對我的實際生活產生太大影響。最後感謝一下那篇文，它非常有意思

首先，給自己常去的網路服務和應用按重要（危害）程度分級。

最低級別的網站、應用（小站、圖片站、資源站、視頻站等等）可以全部使用同樣的帳號密碼，弱口令也無妨。不重要，只是有個帳號更方便的使用服務罷了。默認可以承受丟失風險。

中級別的網站、應用（社交網站、佔用時間精力多的網站）使用具有一定強度的密碼，8位以上包含字母符號數字。密碼可一致也可根據網站不同按規律分別設置，手動加鹽。類似弱口令：abc123456，新浪：siabc123456na，搜狐：soabc123456hu等等。

高級別網站、應用、遊戲。需分別設置高強度的獨立密碼。8位以上包含不是片語的字母、數字和符號。網銀金融類分別設置獨立且具有強度的登錄、支付密碼。有動態令牌、能手機驗證的也設置上。遊戲分別設置高強度密碼；有動態令牌的，買。以上各高強度密碼最好不要重複。

最後，在使用網路服務時請評估當時的物理環境。特別提醒注意的是謹慎使用公共熱點！養成不使用非加密熱點的習慣。以上可基本保證無虞。

PS.如果覺得這些密碼已經超越自己腦力的話，可以考慮使用離線密碼管理軟體：Keepass，各平台均有app。密碼存在本地資料庫。只需記憶一個高強度Keepass密碼，就能從容管理各種變態密碼。軟體自身也能生成高強度變態密碼。

PSS.可以使用Dropbox同步各平台加密資料庫文件。

一站一密

個人不用keepass，其實就是給自己的密碼制定一個公式，你記住自己公式根據不同的站點推出不同的密碼，這樣你只要記住一個公式就行，密碼什麼的無所謂，而且保證不同網站不同密碼，關鍵是不要讓別人知道你的密碼推倒公式就行

普通網站別設置太複雜的密碼，賬號丟了就丟了。重要的站點一定要有線下的驗證方式，別信任密碼密碼。

LastPass