密码安全策略

最近好像不太平啊，弹幕视频网站AcFun被黑也是上个月的事，其实每年都有各种信息泄露的大事，比如这份报告

http://www.aqniu.com/industry/30413.html
提到的2017年的网络安全大事记。服务器被黑数据被端，作为网民我们是无法避免的，我们能做的，只有最大限度地减少这些信息泄露事件中的个人损失，提高个人信息安全等级，其中比较关键的就是密码安全。
这里将从四个方面说明密码安全策略。

第一，设置强密码。
什么密码才算强密码？一是足够长，平时在各大网站注册账户或者更改密码时，使用网站允许的最长的密码，算是足够长。比如现在（2018年7月）QQ允许的密码长度最长为16位，那么我们就设置16位的密码；二是足够复杂。复杂，就是满足网站的密码设计要求，并且尽量难猜。比如QQ要求密码设计时至少包含字母、数字、字符中的2种组合，个人设计的密码，多少都是有很多共性的，真正做到难猜，推荐使用密码生成器。密码生成器oivio十分不建议使用各种来路不明的在线生成器，这里推荐一款密码生成器awesome-password-generator，该程序托管在Google Code上，Google Code已于2015年8月24日正式关闭，不过以前已被创建的项目仍可下载，awesome-password-generator下载地址
https://code.google.com/archive/p/awesome-password-generator/
考虑到不少小伙伴缺少某些姿势，这里提供awesome-password-generator最后一个版本的百度网盘链接：
https://pan.baidu.com/s/1xqaGhKXOMZ-QX9ZCgWw4jQ 密码：kq8f
apg1.4.0-portable SHA-1：A0E7E01E0E2A46F7936283C6F730DB966521EAFB
agp1.4.0-setup SHA-1：87CD9A094D7FDBECF7877A83EC86A0018DA4B3BB
该程序号称"已知宇宙最好的密码生成器"（The best password generator in known Universe!），确实是oivio使用体验最好并且最靠谱的，自带绿色免安装版apg1.4.0-portable，可在U盘运行。oivio总觉得类似n7LCL9hd74aUY6eQ或者HrATG*m{V%9A7e6#这样的密码有着无穷无尽的美感。

第二，一站一密。
相信很多人都知道一站一密的重要性。可是各种撞库的事屡见不鲜，为什么还会有大部分人在使用密码的时候，只是使用几套甚至一套密码呢？原因很简单，因为易记。确实，如果靠人脑记忆，记住十几套类似mXhNYrGez35ydUbK这样不同的密码是不经济的，并且还会混淆。有些人据此大做文章，如《密码专家14年后承认自己错了：复杂密码并不能提高安全性》
http://tech.qq.com/a/20170810/025284.htm
初看以为是复杂密码并不安全，细看才知道是有些人偷懒，定期更改密码时只是局部更改一个或几个字符甚至将密码记在电脑屏幕上的记事本上，这无疑是很危险的。

oivio前面说了这么多，难道是来给你们推荐KeePass、LastPass、1Password这类密码管理工具的吗？当然不是！！！这里oivio给大家介绍的，可能是比这些密码管理工具更为妥善更为经济的做法。对，就是用密码生成器随机生成所有的密码，密码用记事本记录，但是，再用加密软件将记事本加密，并进行云备份。oivio的加密软件用的是TrueCrypt（7.1a）,由于该软件已停止开发，官网也转移，不过可以在Github 上下载TrueCrypt的历史版本及各语言包，地址
https://github.com/DrWhax/truecrypt-archive
这里oivio也给大家提供TrueCrypt最后一个稳定版本7.1a及其中文语言包的百度网盘链接： https://pan.baidu.com/s/1CvSgFkuD1TfVOX00ueDRVQ 密码：7mia
也可以使用其继任者VeraCrypt，官网
https://www.veracrypt.fr/en/Home.html
两者使用习惯相同，可自行Google一下TrueCrypt使用方法。TrueCrypt支持使用密钥文件加密，oivio习惯将一句话输入记事本作为密钥文件（记事本文件只要编码相同，输入内容相同，格式相同，其Hash的值也是一样的），根本不用记住任何密码，如果（尽量别啊）嫌麻烦甚至可以用Winrar加密保存。oivio注册账号时，都是随手将用户名、账号、密码、验证邮箱、注册时间、网站网址等信息添加到记录账号密码的记事本上的。以后登陆账号时，除了极少网站的密码（比如百度网盘PC客户端）不能复制粘贴外，绝大部分的密码都是复制粘贴完成的，oivio感觉不到复制粘贴8个字符的密码跟16个字符的密码有什么本质的区别。

第三，定期更改密码。
定期更改密码是比较稳妥的做法。参照上面的步骤，更改密码后无非是要另外在记事本上替换一串字符而已。

第四，其他事项。
注意，一定要做好备份，云端、移动端都要备份。oivio的做法就是钥匙扣里带个U盘，里面有用TrueCrypt加密过的记事本，还有TrueCrypt的安装包，不管走到哪里，随时可以打开，也可以从云端下载，百度网盘的分享链接真要记住，比如记住
https://pan.baidu.com/s/13ItUughFKqcAwO5rVvve7w
也不是很难的事。另外，设计密码时，要考虑有很少一部分网站不支持密码复制粘贴，我们在设计这种网站的账号密码时应尽量避免辨识度较低的字符如"0Oo/Il"等，比如百度网盘PC客户端，每次对着14位的随机密码输入都觉得好可怕，毕竟oivio很少手动输入密码。

基本就是这些了，oivio是看了各种密码安全策略，觉得很多人都是在瞎说。说到一站一密，他们喜欢说什么特征码，比如QQ密码就是QQ+特征码，微信密码就是WX+特征码，毫无疑问，一旦破解了QQ密码,基本上等于同时破解了微信密码，自欺欺人，根本不是严格意义的一站一密。或者最后又都绕过来推荐密码管理工具，oivio不是说这些密码管理工具不安全（谁知道呢，万一密码管理工具服务器被黑了呢），不过密码管理工具方便倒是真的，反正oivio不怕麻烦，没有用过密码管理工具。