来源:蜘蛛抓取(WebSpider)
时间:2011-07-03 21:44
标签:
人活着到底为什么
查看: 8305|回复: 3
防止别人随便安装软件 电脑安装软件需要密码的设置方法
阅读权限30
相信很多朋友都有这种经历,把自己的电脑借给别人使用一段时间,当朋友将电脑还给你的时候,你的电脑里面被安装了很多原来没有的软件或者插件,非常的恼人。自己卸载的话又会很麻烦和耗时,而且可能还会被朋友弄的电脑中病毒。那么有什么办法能不让别人在自己的电脑上随便安装软件呢?
防止别人随便安装软件 电脑安装软件需要密码的设置方法今天小编就教大家运用win7系统自带的提升系统权限的简单方法来防止别人在你的电脑上随便安装软件。方法主要是修改本地粗策略,当然如果朋友是电脑高手的话,可能会自行修改回来,但知道修改的朋友基本很少,因此对于绝大多数朋友来说,还是非常实用的。
相关知识点:组策略怎么打开 使用组策略命令打开
进入电脑组策略在运行中输入gpedit.msc,打开组策略(“运行”就是开始菜单下方的“搜索程序和文件”的搜索框)
用户帐户控制:管理审批模式下管理员的提升提示行为分别打开计算机配置—Windows设置—安全设置—本地策略—安全选项—用户帐户控制—管理审批模式下管理员的提升提示行为-&修改成“提示凭据”
提示凭据然后设置系统密码,如果不希望开机时输入密码,可以设置开机时不输入密码,如下图:
设置系统密码首先同时按下“Win + R”组合快捷键调出运行命令窗口(电脑上的Win键在哪?),然后然后在窗口中输入“control userpasswords2”,如下图:
运行命令框
输入完打开命令后,我们点击下边的“确定”即可打开如下用户访问管理了。
去掉“要使用本机,必须输入用户名和密码”前的勾选。这时windows7中的用户帐号(User Accounts)窗口会自动弹出。紧接着去掉“要使用本机,必须输入用户名和密码”前的勾选。
输入密码 安装软件好了这样就设置完毕了。以后安装任何软件都需要输入正确密码,才能安装。就可以起到保护自己电脑免受垃圾软件的困扰了,防止别人随便在自己电脑上安装软件的目的了。
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
揭阳精易科技有限公司申明:我公司所有的培训课程版权归精易所有,任何人以任何方式翻录、盗版、破解本站培训课程,我们必将通过法律途径解决!
公司简介:揭阳市揭东区精易科技有限公司致力于易语言教学培训/易语言学习交流社区的建设与软件开发,多年来为中小企业编写过许许多多各式软件,并把多年积累的开发经验逐步录制成视频课程供学员学习,让学员全面系统化学习易语言编程,少走弯路,减少对相关技术的研究与摸索时间,从而加快了学习进度!
防范网络诈骗,远离网络犯罪
违法和不良信息举报电话,QQ: ,邮箱:@b.qq.com
Powered by
X3.2 揭阳市揭东区精易科技有限公司
粤公网安备 25在 SegmentFault,学习技能、解决问题
每个月,我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
点击阅读原文
后端必须了解的密码学技术
日 发布,来源:
对称加密与非对称加密
按照密钥的使用形式,加密算法可以分为对称加密和非对称加密(又叫公钥加密)。对称加密在加密和解密的过程中,使用相同的秘钥;而非对称加密在加密过程中使用公钥进行加密,解密使用私钥。
对称加密的加密和解密需要使用相同的密钥,所以需要解决密钥配送问题。
非对称加密的处理速度远低于对称密钥
密钥:一个加密算法中,输入为明文和密钥,输出为密文。在加密算法中,密钥通常是像236这样的 一串非常大的数字。
对称加密下的密钥配送问题
发送者A想要发一封邮件给接受者B,但是不想被人看到其中的内容。A决定使用对称加密的方法。但是我们知道,对称在对称加密中,加密与解密需要使用同样的密钥。B想要看到接收到的内容必须要有A的密钥。也就是说,A需要把密钥安全地送到B的手上。
那如果把加密后的密文和密钥一同通过邮件发送给B行不行呢?答案是不行的。因为一旦被加密的密文和密钥同时落在窃听者C的手中,C就可以用密钥对密文进行解密。
混合密码系统
混合密码系统,是将对称密码和非对称密码的优势相结合的方法。混合密码系统解决了对称密码的密钥配送问题,又解决了非对称密码的加密与解密速度问题。
混合密码系统中会先用快速的对称密码,对消息进行加密,这样消息就变为密文,保证消息机密性。然后,用非对称加密对对称密码的密钥进行加密,因为密钥一般比要加密的信息短,加密和解密的速度就得到保证了。这样,密码配送问题就得到了解决。
单向散列函数
单向散列函数也称为消息摘要函数(message digest function),哈希函数,适用于检查消息完整性的加密技术。
单向散列函数有一个输入和一个输出,其中输入称为信息,输出称为散列值。单向散列函数可以根据消息的内容计算出散列值,篡改后的信息的散列值计算结果会不一样,所以散列值可以被用来检查消息的完整性 。
单向散列函数输出的散列值也成为消息摘要,或者指纹。散列来源于英文”hash”一值,单向散列函数的作用,实际上就是将很长的消息剁碎,然后混合成固定长度的散列值。
无法解决的问题
使用单向散列函数可以实现完整性的检查,但有些情况下即便能检查完整性也是没有意义的。
例如,主动攻击者D伪装成发送者A发送消息和散列值给B。这时,B能够通过单向散列函数检查消息的完整性,但这只是对D发送的信息进行完整性检查,而无法识别出D的伪装。
辨别伪装需要用到认证,用于认证的技术包括消息认证码和数字签名,消息认证码可以保证信息没有被篡改,而数字签名还能向第三方做出保证。
消息认证码
消息认证码(MAC)是一种与密钥相关联的单向散列函数。
(1)发送者A与接收者B事先共享密钥。
(2)发送者A根据请求信息,计算MAC值(使用共享密钥)。
(3)发送者A将请求信息和MAC值发送给接收者B。
(4)接收者B根据接收到的信息,计算MAC值。
(5)接收者B将自己计算的MAC值与A发送过来的MAC值进行对比。
(6)如果MAC值一致,则接收者B可以断定请求来自发送者A。
依然存在密钥配送问题
在消息认证码中,发送者A与接受者B共享密钥,这个密钥不可以被攻击者获取,如果攻击者获取到这个密钥。则攻击者也可以计算出MAC值,从而可以进行伪装攻击。
因此,要解决密钥配送问题,我们需要向对称密码一样,使用一些共享密钥的方法,如公钥密码,密钥分配中心,或其他安全的方式发送密钥。
MAC与对称密码认证
MAC技术中,发送者与接受者需要使用相同的密钥进行加密;对称加密中,密文只有使用和加密时相同的密钥才能正确解密,否则将会产生看上去杂乱无章的“明文”。那么,是否可以用对称密码进行认证呢?
答案是不可以。假设我们要发送的明文就是一串随机的比特序列,我们将明文用对称密码加密之后发送出去,当接受者收到密文并进行解密时,看上去都是一串随机的比特序列,那我们怎么判断信息是否来自攻击者呢?
更准确地说,我们无法根据“是否杂乱无章”而判断认证是否通过,这不是一个可行的标准。而使用MAC则可以通过对比MAC码,得到一个明确的结果。
MAC无法解决的问题
对第三方的证明
接收者B收到了来自A的信息后,想要想第三方验证者D证明这条信息确实是A发送的。但是MAC无法进行这样的证明。
对于验证着D来说,知道密钥的人有A和B,只要知道密钥,就可以计算出正确的MAC值。因此,D不可以断定信息是由A发送的,因为也有可能是B自己伪造信息发送给自己的。
无法防止否认
接受者B收到了A发送过来的信息,里面包含有B与A共享的密钥计算出来的,因此B断定这条信息来自A。
但是,A可以声称自己并没有向B发送过这条信息。因为A与B都拥有密钥,A可以声称该信息的MAC值,是由B计算出来的,而不是自己。
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名是非对称密钥加密技术与数字摘要技术的应用。
签名的生成与验证
在数字签名技术中,涉及到两种行为:生成消息签名和验证数字签名。
生成消息签名这一行为是由消息的发送者A来完成的,也称为“对消息签名”。生成签名就是根据消息内容计算数字签名的值,这个行为意味着“我认可改消息的内容”。
验证数字签名这一行为一般由消息的接受者B来完成,也可以由消息的验证者来完成。验证的结果可以是成功或者失败,成功以为着消息属于A,失败则意味着消息不属于A 。
数字签名对签名密钥和验证密钥进行了区分,使用验证密钥是无法生成签名的。签名密钥只能有签名者持有,而验证密钥则是任何需要验证签名的人都可以持有。
在公钥密码中,密钥分为加密密钥和解密密钥,用加密密钥无法进行解密。解密密钥只能有需要解密的人持有,而加密密钥则是任何需要加密的人都可以持有。可以说,数字签名就是将公钥密码“反过来用”来实现的。
数字签名的流程
发送者A需要对消息签名,而接受者B要对签名进行验证。那么,A需要事先生成一个包括公钥和私钥的密钥对,而需要验证签名的B则需要得到A的公钥。
签名和验证的过程如下:
1. A用自己的私钥对信息进行加密。用私钥加密得到的密文就是A对这条信息的签名,由于只有A才持有自己的私钥,因此除了A以外,其他人是无法生成相同的签名的。
2. A将信息和签名发送给B
3. B用A的公钥对收到的签名进行解密。如果收到的签名确实是用Alice的私钥进行加密得到的密文,那么用A的公钥应该能够正确解密,反之,则不能正确解密。
4. B将解密得到的结余A发送的信息进行对比,两者一直,签名验证成功。两者不一致,则签名验证失败。
除了对消息进行加密得到签名,我们还可以对消息的散列值进行加密,得到签名。这样无论消息有多长,我们对消息进行加密和解密都是非常快速的。
与MAC相比下的优势
可以防止否认 。还记得为什么MAC无法防止否认吗?正是因为密钥由通信的双方共同持有,发送者A可以谎称消息认证码是由接受者B生成的。而在数字签名技术中,加密的私钥只由一方持有,只有持有密钥的一方才可以生成签名。
第三方的证明 。同理,因为私钥仅由单方面持有,签名仅能由私钥的持有者生成,所以可以实现第三方的证明。
什么是证书
公钥证书(Public-Key Certificate,PKC)由认证机构(CA)生成,用于确认公钥确实属于此人。
认证机构,就是能确认“公钥确实属于此人”并能够生成数字签名的个人或者组织。
证书的使用场景
下面通过代表性的应用场景来理解证书的作用。
我们用文字进一步说明这些步骤都做了些什么。
1. B生成密钥对
2. B在认证机构D注册自己的公钥
3. 认证机构D用自己的私钥对B的公钥施加签名并生成证书
4. A得到带认证机构D的数字签名的B的公钥
5. A使用认证机构D的公钥验证数字签名,确认B的公钥的合法性
6. A用B的公钥加密信息并发送给B
7. B用自己的私钥解密密文得到A的信息
各种密码技术对比
对称密码与非对称密码
用共享密钥加密
用公钥加密
用共享密钥加密
用私钥解密
密钥配送问题
消息认证码与数字签名
消息认证码
用共享密钥计算MAC值
用私钥生成签名
用共享密钥计算MAC值
用公钥验证签名
密钥配送问题
不存在,但是公钥需要另外验证
可保证(仅限通信双方)
可保证(可使用与第三方)
《图解密码学》
出处:https://qiuzhenyuan.github.io//常用密码学技术/
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。谢谢。
优秀人才不缺工作机会,只缺适合自己的好机会。但是他们往往没有精力从海量机会中找到最适合的那个。100offer 会对平台上的人才和企业进行严格筛选,让「最好的人才」和「最好的公司」相遇。扫描下方二维码,注册 100offer,谈谈你对下一份工作的期待。一周内,收到 5-10 个满足你要求的好机会:
我要该,理由是:
关闭理由:
删除理由:
忽略理由:
推广(招聘、广告、SEO 等)方面的内容
与已有问题重复(请编辑该提问指向已有相同问题)
答非所问,不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因(请补充说明)无线路由无线网为了防止别人蹭网怎么设置密码啊_百度知道
无线路由无线网为了防止别人蹭网怎么设置密码啊
我的跟大家的都不一样
我实在不知道怎么办了
是斐讯fr615的路由器啊求高手指点啊
我有更好的答案
设置WiFi密码可以防止蹭网现象的发生。无线网络WiFi密码的设置方法:1.打开电脑的wifi,搜索路由器默认wifi名(路由器背面铭牌有写),连接wifi网络。2.打开电脑浏览器,输入路由器背后铭牌的网关ip地址(一般是192.168.1.1),进入网关配置界面。3.进入无线设置页面-安全模式设置WP2-PSK,WPA加密规则设置成AES。4.设置秘钥实现对wifi密码的设置。
在家里使用就不要用无线网络了,这个毕竟是有辐射的,而且稳定性也差,还容易被人盗用。防止被盗用的方式有很多,原理有两个:阻止别人连接到你的无线网络和阻止别人使用你的网络。第一个方法难点,毕竟你也要使用,无线网络又没有固定的线路,它是区域覆盖的,很难防止别人连入你的网络,最基本的安全措施就是设置连接密码,不过大部分家用路由器的密码功能都比较容易被破解,毕竟是家用设备嘛,没必要考虑的太周全,保证低成本才是正道。第二种方法就比较多了,主机要想使用网络,必须获得有效的IP,且该IP未被网络阻止,我们可以通过这两方面入手。首先不要使用那些通用的局域网参数,例如路由器不要使用、或这样的配置,换个别的,比如、10002等。禁用路由器的DHCP服务,该服务会为连入网络的主机自动分配IP。禁用除你主机之外的所有其他IP使用网络。设置只有你的MAC可以使用网络。开启路由器监控选项(如果有的话),查看连入网络的客户机。等等,在研究下你的路由器还有没有其他控制选项。
我的手机有wifi所以好想要无线的
就简单设个密码就好了
心里舒服点
直接ARP防火墙
有那种破译密码的软件的,不管你设的再复杂都能破译,最好的办法还是限制MAC地址,方法网上随便一搜就有,简单地说:进入无线设置-无线MAC地址过滤然后我们运行命令CMD输入IPconfig/all查看本机MAC地址,把这个添加进去就可以了
我看了好多他们的回答怎么在我的设置里都没有
你能说的详细点不
没有么,你打开网页在地址栏里输入192.168.1.1,进得去的话就在那里面设置
其他1条回答
为您推荐:
其他类似问题
您可能关注的内容
无线路由的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。怎样更改密码,能够防止暴力破解? - 知乎529被浏览<strong class="NumberBoard-itemValue" title="3分享邀请回答9140 条评论分享收藏感谢收起42993 条评论分享收藏感谢收起常用的各种密码管理软件能信任吗?简单粗暴地撸了个密码管理的工具,求吐槽
21:36:40 +08:00 · 6270 次点击
各种常用的密码管理软件能信任吗,尤其是带云存储功能,密码存在云端就安全吗?
自己简单粗暴地撸了个密码管理的工具,欢迎大家来吐槽
目前的想法:
* 防止密码被社工
大多数人设置的密码都包含个人隐私信息(姓名,生日等),而这些信息是有限的,防止黑客获取到隐私信息后猜解密码
* 不同网站使用不同密码
防止一个网站被脱库,导致所有网站账号都被攻破
* 防止设置密码的习惯泄漏到互联网中
每次设置密码的时候都要抓耳挠腮想半天
Gayhub 地址
第 1 条附言 &·&
11:04:29 +08:00
很多人提到 LastPass 、 KeePass 这些工具
不用这些密码工具的原因,不知道有没有人有同感:
* LastPass :在服务器端集中存储所有人的密码,总感觉有哪里不对
* KeePass: 存在密码文件,设备比较多时,会很麻烦
第 2 条附言 &·&
11:16:35 +08:00
密码工具解决的痛点:
一是防止忘记密码
二是可以多网站多密码
三是不需要费力考虑如何构造密码
82 回复 &| &直到
10:38:00 +08:00
& & 21:51:55 +08:00
世界上又多了一个不懂密码学就瞎折腾出来的作品
& & 21:58:49 +08:00
瞎折腾是真的,不懂密码学是真么看出来的呢,?
& & 22:00:57 +08:00
keepass 挺好的,离线的
& & 22:01:33 +08:00
& & 22:01:37 +08:00
我也有和你一样的担心 不过我撸的是针对 lastpass 密码管理的二次加密,二次加密后再上传给第三方加密,安全性提高数倍
国内也有个花蜜的可以实现高安全因为是动态生成不存在泄露问题,不过我经常用密码管理软件记录一些个人信息所以不适合我
& & 22:01:45 +08:00
给后来者看:
shapass=$(echo -n ${username}${concat}${keyword}${concat}${passphrase} | sha256sum | awk '{print $1}')
然后后面取值的时候竟然不是进制变换, 是每两位 hex 然后取可显示的部分.
& & 22:03:03 +08:00
看了下貌似也是和花蜜一样动态生成?
& & 22:04:39 +08:00
挂在内网就不怕不懂密码学了,明文都没事。
@ 你说是吧(滑稽
& & 22:08:05 +08:00
@ 所谓&挂内网&的最终解法其实是 HSM 对吧.
& & 22:09:59 +08:00
@ 我的密码是维护在多台设备的文本上的。。 2333
在 vps 上挂个 HTTP 认证然后放密码 只开放 80 也没啥问题。
& & 22:57:55 +08:00
keepass 还是值得信任的
网站名+密码取 hash 的做法还是有些问题,要是某些要素忘记了就不好办,泄露了也不好改
& & 23:05:24 +08:00 via Android
@ 重放,至少得搞个证书吧。。
& & 23:05:49 +08:00
@ HTTP 认证是得上 HTTPS 。
& & 23:08:04 +08:00 via Android
@ 不过这种 web based 的现在有 KeeWeb ,其实就是 KeePass 的 web 客户端
& & 23:09:59 +08:00
google 下 random symbol generator ,各种大小写、数字字符都勾选了,生成十几行随机密码。打印出来,狡兔三窟,存成 txt ,放开启两步验证 googledriver/ dropbox 里,安全得很。只要记住用随机密码阵列你选取的密码的坐标即可。
& & 23:12:35 +08:00
之前也用过 keepass ,有次忘记备份数据库文件,蛋疼的改了好久的密码
& & 23:15:35 +08:00 via Android
具有同样想法的神经病一枚。
& & 23:21:27 +08:00
?,功能好多,看来花了不少心思;一对比,我这简直简陋
& & 23:30:14 +08:00
@ 进制转换指的是?最后生成密码必须要转成可打印字符,要不没法用啊
```shell
((num=16#${shapass:$i:2}))
```
& & 23:30:53 +08:00
@ 然而懒成了狗,各种扩展客户端虽然心里有想法,然而一直并没有做
所以一直被人称作坑王……
& & 23:54:49 +08:00
& & 23:57:46 +08:00
@ base64, 58, 36 之类本质是进制变换啊. 没有必要丢弃不能打印的数据
& & 23:59:09 +08:00
我看到你们说的,也在写一个页面进行加密。
& & 00:11:43 +08:00
@ 撸代码时考虑过这个问题,因为 base64 生成的字符集有限,要想构成强密码需要再添加一些特殊字符;我就用了比较 dirty 的方法,其实完全有更优雅的实现方式 ?
& & 00:13:27 +08:00
& & 00:26:31 +08:00 via Android
自己设计一条公式在不同网站有不同密码,无关紧要的网站用个简单密码。有没人像我这样?
& & 01:07:02 +08:00 via iPad
1Password 用户表示,后悔当初没买 LastPass
& & 01:27:44 +08:00
暂时没写删除功能,很垃圾的一个 PHP ,主要是在 Cookie 上傻逼了半天。
密码 testlogin
& & 01:29:13 +08:00
发现一个 bug 。。开修
& & 01:38:01 +08:00
效果如下。
加密算法是,先进行 99 次的 MD5 加密,再将其进行 99 次的 SHA1 加密,再进行 99 次的 MD5 加密,最后进行 99 次的 SHA1 加密。
& & 01:39:47 +08:00
对了,也不要试图进行 SQL 注入了。
他使用的是 txt 存储的。。
遇到空白行会直接不显示该行。
& & 02:24:59 +08:00 via iPad
楼主加油,
& & 02:36:27 +08:00 via Android
keepass 有安卓版 chrome 还有插件能帮你保存网页密码 挺不错
& & 03:33:43 +08:00
只是生成密码?命令行的 pwgen 不好用吗?
& & 06:19:55 +08:00
Gayhub
Gayhub
Gayhub
( 三遍)
& & 06:25:04 +08:00 via Android
一直用花蜜?,觉得挺好的。
& & 07:05:57 +08:00
& & 07:10:33 +08:00 via Android
为什么你们就不能协助改进 keepass ,要和你们一直骂的所谓自主产权一样?做一些破轮子!
& & 08:24:38 +08:00
his: A command-line-based password management tool
& & 08:25:45 +08:00
密码管理工具的密码都是随机生成的 12 位大小写字母+数字+特殊字符混合。
& & 08:34:57 +08:00
「世界上又多了一个不懂密码学就瞎折腾出来的作品」
1. 多次 hash 并不会增加强度
2. 同时使用 MD5 和 SHA1 ,会降低 SHA1 强度,即使你最后用的是 SHA1 ,有效空间也只有 MD5 的 128 bits
& & 08:41:49 +08:00
自己撸了一个离线版,自己用。。。一站一密,缺点是需要手机才能登陆。
& & 08:56:05 +08:00
用这种办法生成随机密码,简单
& & 08:56:12 +08:00
@ 没有 sql 注入要考虑 xss 啊, 2333
& & 08:56:35 +08:00
@ 简单测试下,勿怪
& & 09:38:33 +08:00
&1. 多次 hash 并不会增加强度 &
我不认可这条说法,虽然多次 hash 并不会改变冲撞的概率,但黑客一般都是会先尝试字典攻击,而不是随机暴力概率攻击。
进行单次 SHA1 和 99 次的 SHA1 计算,明显后者黑客的破解代价更高,也更安全。
“安全&这个概念是相对的,让破解流程和代价足够复杂,比如 D 加密,也是变相增加安全系数。
& & 10:10:23 +08:00
咦,我也撸了一个,还没发布,正在打磨中~
顺便问下各位大神,不懂密码学,直接上 bcrypt 去加密解密,这样有问题么~
& & 10:14:11 +08:00
多次 hash ,黑客一样可以使用字典攻击。
& & 10:26:01 +08:00
两者计算量不一样啊,同一份字典,多次 hash 计算量要大很多。这就是安全系数。
& & 10:32:27 +08:00
@ 哈哈,有意思
& & 10:33:07 +08:00
& & 10:41:39 +08:00
就不吐槽自己写加密算法和受迫害妄想症了。。。
我用 LastPass ,多终端同步,一个主密码,网站、应用自动填充。
感觉还好。是因为我没有被攻击过么?
& & 10:50:28 +08:00
@ KeePass 目前的功能实现已经很完善了,有能力当然会协助改进;但是各种导出导入数据库文件,在设备比较多的时候感觉特别烦啊
& & 10:52:10 +08:00
@ 而且这个应该还谈不上自主产权吧,仅仅是一个小尝试,?
& & 10:52:59 +08:00
搞得好复杂,反正我所有普通网站密码一样,网银的不太一样。。
我不担心被破解,只要不涉及到资产,就没什么。
---
很多人吐槽网站输错密码提示“账户或密码错误”,这其实就是防止暴力
& & 10:53:00 +08:00
@ 只要黑客的字典里面有你的密码,单次 HASH 和多次 HASH 是一样的,除非每次 HASH 的时候都加不同的盐。
& & 11:05:55 +08:00 via Android
密码软件主要功能是防止自己忘密码,不是为防黑客,
& & 11:13:08 +08:00
@ 同感,一是防止忘记密码,二是可以多网站多密码,三是不需要费力考虑如何构造密码
& & 11:14:49 +08:00
Hash 就不是为安全性而出现的。不过我认为每次 hash 都会丢失掉原始的信息,数学渣无法算出极限下的情况,请数学大神来推理一下。
& & 11:30:33 +08:00
老外有测试的方法,就是随机生成一亿数据,然后对数据进行 md5()或者 md5(md5()),然后看结果集里相互冲撞的数量,越少证明对原始信息的保护性越好。
老外提供了一个结果, md5 每递归一次,能保持 98%的原始数据信息。我也没验证过-_-
& & 11:46:22 +08:00
@ 页面没看到回复,没考虑 xss ,是我的失误。
个人表示,只要站不被拿下就 ok 。
& & 11:47:01 +08:00
艾错,@loca1h0st 。
没收到提醒。。
我的目的是站不被拿下,这是随手写的,懒得那么完善,
& & 11:47:08 +08:00
& & 11:49:21 +08:00
@ 是瞎折腾啊。。
但是配合上这么多层加密,也不一定能那么容易撞开吧。
& & 11:52:58 +08:00
@ 我的目的是只要密码不泄露,密码随机强度够安全,站不被拿下就 ok 。
关于密码学啥的。。瞎折腾而已,只要加密时的随机密码字符串够安全就没事。
并没考虑到 XSS ,一会给你发个感谢。
& & 11:58:01 +08:00
ok ,是我的忽疏,忘转义了。。
&del&感觉自己就像个 sb 。。&/del&
& & 12:23:08 +08:00
keepass 配合 dropbox 跨设备根本没问题。
Lastpass 是存在云端,所以跟钱相关的密码我都不用它存。它胜在方便,所以存一些网站密码。
因为密码在服务器上就担心,真有点受迫害妄想症了。
& & 12:29:48 +08:00 via Android
和钱相关的、我都自己算 hash,这种帐号也不多。安全第一。
& & 12:34:56 +08:00
KeePass 配合 dropbox 同步密码文件确实是一个很棒的解决方案
& & 12:43:25 +08:00
@ 本人?看过你的直播= = #
& & 13:45:05 +08:00
从数学上来说,多重 MD5 或多重 SHA 并没有更安全,而可能更不安全
-- MD5 算法本身就会有很多轮( 16 轮)的一个计算,这个轮数是精心挑选的,多一点其实并不会更安全
& & 13:55:38 +08:00
也来凑个热闹: , 只用了 SHA-1 加密.
一直自用, 所以设计的很简单.
& & 14:35:31 +08:00
@ 只是防止撞库应该够了吧。。就是解出来也是另一个 MD5
& & 14:36:19 +08:00
附 KeePass KDBX 文件结构
&显示 Gist 代码&
& & 14:36:40 +08:00
@ 感觉很好
& & 14:46:37 +08:00 via Android
@ 我没说你这个是主主产权,你这个是我上面话中的“轮子”…
& & 15:15:59 +08:00
@ 好像还是在访问网站的时候,需要进入密码生成页面,输入 user, app, 1pass ,生成一下密码,然后复制出来。
感觉没有改进你说的如下问题。
我依然采用自己设计的规则管理密码,如微博、 QQ 、知乎、豆瓣、百度等等,我不想每一次浏览器缓存失效时,都掏出手机,输入长长的主密码,然后翻到要找的网站,然后显示该密码。本来是一个直接登录的简单过程,却生生因为所谓的安全性,变得极其复杂。就如一台高效运转的新操作系统,偏偏要给它装上一大堆杀毒软件,各种安全卫士,让其生生变成一台“卡巴斯基”。真不知道这是否得当。
& & 15:51:54 +08:00
安全不安全, 不取决于你用了什么复杂的算法; 而在于是否会被别人轻易的知道你用的是什么算法;
所以, 在你不会加壳, 不会反反编译等等情况下; 你用 100 次各种算法的组合什么的都是徒劳
& & 15:53:29 +08:00
@ 我抱怨的问题是, **我的 1Password 仅有手机端**, 而我最经常需要密码的时刻都是在 PC 端上网时, 麻烦之处在于:
1, 掏出手机麻烦
2, 对着手机上毫无规律的字符串, 照着抄都容易出错, 还慢.
而我设计了网站之后, 可以通过收藏夹随时调出该页面, user, app, 1password 都是我极其熟悉的信息, 敲入过程非常快. 最后生成的密码, 也是一键复制, 粘贴即可. 省去了我大量的时间. 如果是手机上用密码, 也是一样, 网页的快捷方式可以直接固定在首屏, 打开之后, 输入三样信息, 然后就可以复制密码了. 某种意义上讲, 这也是一种跨平台的应用...
当然这仅仅只是针对我个人的需求, 就像上面那么多人都用了基于云的 Lastpass, 或是用了 Dropbox 同步 keepass 的方式, 也都不存在我抱怨的问题, 只不过, 方便快捷与否, 因人而异了. 至少我觉得足够了.
& & 19:11:21 +08:00
我觉得 lastpass 很安全,完全搞不懂这种折腾的意义在哪
& & 22:17:36 +08:00
keepass 是文件,但是可以用坚果云同步啊
& & 10:38:00 +08:00
我只知道我在密码学上的水平肯定没 Lastpass 里的那堆大佬强,所以对我来说当然是放在 Lastpass 上更安全。
& · & 726 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.0 · 29ms · UTC 22:36 · PVG 06:36 · LAX 15:36 · JFK 18:36? Do have faith in what you're doing.
