1
yeyeye OP https://www.zhihu.com/question/21551410/answer/18616365
据说知乎的数据库连接密码是 buyaoyongroot ,这人还把用户表结构发出来了 神评论: "小李,跟你说了多少遍了,数据库密码不要用 root !" |
2
designer 2016-01-16 22:30:56 +08:00 via iPhone 1
未来密码交给未来人吧。楼主最好当前密码保护就行。
|
3
miyuki 2016-01-16 23:49:40 +08:00 1
量子计算机: 你说啥
|
4
yeyeye OP |
5
yeyeye OP 现在密码管理软件确实不错 不过跨平台似乎不美 所以某些场合还是要自己输入才好 密码管理软件不是万能的啊……
|
6
jybox 2016-01-17 02:10:42 +08:00 1
我觉得还是应该彻底抛弃「密码」这种设计,而转用高强度的密钥来进行身份认证,现在密钥无法投入使用的原因我觉得主要有两个:一是容易泄露,密钥也需要作为一个文件被存储在电脑或手机(下面简称设备)中,这意味着设备上的第三方程序也可以访问你的密钥,如果为密钥设置密码的话,就不符合前面抛弃密码的初衷了;二是容易丢失,按照一般的原则,密钥不应当在设备之间传输,因此一旦设备故障,就彻底失去了其中存储的密钥,如果设备丢失则密钥将会落入他人手中。
我也有一些想法来解决这两个问题:一是操作系统甚至硬件来提供密钥相关的基础设施,例如将密钥存储在难以复制的设备上(例如类似 SIM 卡的芯片),操作系统提供访问密钥的接口,密钥自始至终不经过用户空间,硬件上提供指示灯或物理按键,以便用户确认访问密钥的行为是否是操作系统发出的。 至于丢失的问题,我觉得现在很多人都有至少两个以上的设备了,甚至我有五个智能设备,用户可以将这些设备(也可以关联家人和朋友的设备)关联起来,设置「同时使用我的手机和电脑可以吊销 iPad 的密钥」、「同时使用我父母和某个朋友的设备可以重置我的某个帐号的密钥」之类的。 当然我这个脑洞开得有点大,其中涉及到软件和硬件的重新设计、标准的建立之类的,基本希望不大了。 |
7
kchum 2016-01-17 02:50:12 +08:00 1
同时用几个加密软件,记录不同的内容。支持自定义生成密码方式就最好拉。
|
8
ryd994 2016-01-17 08:09:38 +08:00 via Android 1
@jybox 你这个想法其实一直都有,但是麻瓜们不会用而已
这种硬件叫智能卡,自己可以生成密钥,储存密钥,进行加解密计算。因为是不对称加密,公钥可以导出。私钥从生成到销毁,完全不离开卡。卡可以设置密码,输错一定次数,卡就会自毁。 是不是听起来很像 SIM 卡? SIM 卡也是一种智能卡 至于丢失的问题,可以用冷密钥解决。主密钥代表唯一身份,平时冷储存(保险箱大法好)。鉴权,加密,签名,使用不同的子密钥。使用主密钥对子密钥进行签名,或者吊销 其实还有很多问题你没有注意到,比如首次会话的中间人问题。这个实际上 ssh 也没有很好的解决(除非你现场去看服务器公钥) PGP 的解决是,相互签名,建立一个信任网络。 这就是 PGP 体系。 |
9
loading 2016-01-17 09:16:43 +08:00 via Android 1
不要提指纹 DNA 这些,还不如密码呢~
|
11
JamesRuan 2016-01-17 22:38:54 +08:00 via Android
未来密码的存在感会非常低,因为你根本不用记忆它,就像现在的手机号码一样。
|