正在加载...

大辉提出过一个关于密码提示的“愚蠢设计”的问题。其实,我也非常有同感。而且大辉提到的关于“正确答案其实就是暴露安全隐患”,我很早就认同:想当年QQ刚出“密码保护”功能的时候,为了保护自己的“安全”,我基本上都喜欢在“正确答案”上面做点手脚。然而,最终真的忘记密码了,还真是狼狈,完全记不住。

后来许多审核机制都需要设置一个“安全提问”,对此我起初觉得非常的不自然。一来,填写正确的答案人家迟早会猜到。尤其是那些“大学在哪读的”之类,人家一看我的简历岂不是瞬间就知道了;另一方面,过于复杂的答案,尤其是与问题毫不相关的答案只会给自己造成麻烦。我现在就忘记了自己QQ号码的安全问题:想了将近一年了,也想不起来。QQ丢了还有Facebook和校内、海内,我并不担心。但是,淘宝、支付宝这些关键账号怎么办呢?

后来我想了一个办法:

不论是什么网站,随便选择一个安全问题,但所有的答案保持一致,或者以某种“算法”来转译这个安全提问应用的上下文(Context)。

例如:在taobao.com和alipay.com都注册了账号。安全提问分别是“你的父亲的生日是什么”和“你最喜欢的演员”(这都是随便选的)。然后回答分别是taobaondfqdsrssm和alipaynzxhdyy。这样的规则一方面有很好的保密性,另一方面也不容易忘记。

这只是我的个人经验,你的“密码提示、安全提问”怎么用的呢?

还没找到您要的东西?Google试试看吧,
Google更注重原创、时效性好的文章:


本文相关评论: 才 31 条评论
  1. 大猫 2008-03-23 11:02:42

    Q: 你爱洗衣服
    A: 你才爱洗衣服,你全家都爱洗衣服

    • 大猫 2008-03-23 11:03:40

      中午11点就看着一堆衣服发呆…发呆…发呆
      现在晚上11点了…继续发呆…发呆…发呆…

    • 胡戈戈 2008-03-23 11:14:11

      猫组织无处不在

  2. qiaoka 2008-03-23 11:20:00

    妈的,告诉你,老子的加密不就歇菜了吗!绝不上当.

  3. 涌泉 2008-03-23 11:25:59

    呵呵,我比较变态。密码和问题都分别用一些函数进行转换,相当于公钥和私钥。

  4. 综合铸造 2008-03-23 11:40:43

    我以后不用了就。

  5. Cat Chen 2008-03-24 12:14:50

    我也觉得这类功能本身就是一个security flaw,怎么能够在有密码的基础上,又要别人暴露一个更容易给第三方得知的信息作为解密途径呢?真实弱智的设计。

  6. TanCee 2008-03-24 12:20:11

    你不知道。我早就用了。
    你猜猜我的密码保护。。。

  7. 藏乐 2008-03-24 01:17:39

    选择“你的宠物的名字”(一般都会有的),然后填上一个朋友的名字。

  8. xxx 2008-03-24 09:11:23

    我觉得最恶心是没有自定义问答那种~

    一般问题和答案都对不上号~不然给来个社会工程学你的密码就丢了

  9. 111 2008-03-24 09:47:31

    我从来不用密码提示问题这个功能(一定要填的话我都是随便在键盘上敲一堆字符)。当然要是真的忘记了确实比较麻烦。。。

  10. Robin 2008-03-24 10:25:43

    嗯, 确实是这样的. 我建议那个”随便选的问题”, 不要随便选, 都选第一个或者最后一个. 因为有些网站密码取回的时不会告诉你问题, 问题还要你来选.
    还有记住密码这个功能, 觉得会给人惯上坏毛病, 总在一台电脑上登录, 它已经给你记住了. 每次登陆都不用输入密码帐号. 时间长了自然会忘掉, 如果重做系统或者换其它电脑登录就麻烦了. 很难做到安全和方便的均衡吧.

  11. Allen 2008-03-24 10:41:06

    填了就忘···

  12. etng 2008-03-24 11:13:10

    问题是一段代码
    答案是代码运行结果。
    可惜,很多网站他Ma的不支持自己定义问题,那么多公开的问题,太好猜了,麻烦。
    比如:你最喜欢的运动员是谁?能有多少啊?有名的运动员又不多,随便猜解。
    所以,还是自定义的好,呵呵。

  13. petcon 2008-03-24 11:34:50

    qq的不记得了

    反正是相当变态的回答 自己也记不清了

    现在淘宝的什么的写在纸上 纸上还写了很多假密码和假答案

    现在自己都要试好几遍

    要是纸丢了 就完蛋了

    • 赞同 2008-03-24 12:23:29

      纸上还写了很多假密码和假答案 ,结果最后都把自己迷糊了
      和我一样啊!

  14. eskimo 2008-03-24 01:23:20

    按顺序选择一个安全问题,所有的答案保持一致,而且要很BT

  15. Jason Ng 2008-03-24 03:28:01

    好了,我知道你的密码提示答案了。

  16. fisio 2008-03-24 05:20:45

    我的密码提示由键盘上两个左右相邻的字母组成,比如

    r?
    er

    v?
    vb

  17. andegg 2008-03-25 01:25:36

    真是碰见惺惺相惜之人了,这样子简单好记而且不容易被猜出来,哈哈

  18. 猴子 2008-03-26 01:03:09

    所有地方都用同一个答案……

  19. Evance 2008-03-26 12:27:58

    一直使用着这种方法..
    一个极端复杂和变态的密码格式的说…

  20. eclipse 2008-03-27 01:58:20

    我是提示问题能自定义的话就乱写,不能就乱选,回答都是同一个,是某次同学间玩笑是产生的- -谁能猜到啊。

  21. immy 2008-04-01 12:58:24

    我的密码问题答案就是我另一个密码>_

  22. MaoMen 2008-04-03 01:20:34

    这确实是个聪明的做法,但是,如果什么时候网站抽风,改了这个问题的问法,岂不是苦恼

  23. 简单 2008-06-16 08:36:06

    偶然看到的,挺有意思~
    我原来用的:
    Q:2的20次方?
    A:6758401 输一个数退一格啊!

  24. donoiz 2009-03-21 11:28:49

    嘿嘿 记住了

  25. Xander 2009-04-20 08:36:58

    如果某个网站比较邪恶,用你那个答案就可攻破所有账户。

[支持Ctrl+Enter]为了我们大家和家人的安全,留言请慎重!
声明:
1、本站仅与见过面的个人博客交换链接,见此文
2、留言时的头像是Gravatar提供的服务。如果您有兴趣并且有闲暇时间,可以看看这里的介绍