明年起实施密码法,提醒各位葱油请修改自己墙外网站的密码(港台朋友也请注意)

明年1月1日中国大陆开始实行密码法。具体来说,就是你在墙内网站所用的密码,有可能会被共产党掌握。

这里有必要向各位葱油普及一下这个法律可能带来的风险:

首先,如果共产党想查你墙内社交网站的账号信息,实际上不需要密码,只要网站方面配合就行了。但这里的风险是,墙内网站有可能在注册时,出于各种目的偷偷用明文保存你的密码。这样的话,一旦你被查,密码就有可能被共产党拿到手。此时如果你的其他墙内外账号都使用同样密码,很有可能被一起攻破。

这里普及一下黑客“撞库”的概念。简要地说,就是黑客会有一个庞大的密码库,在想要破解某人账户的时候,会用这个库里面的密码进行暴力破解。而且,如果你的身份范围比较小,实际上大大缩小了你可能使用密码的范围,暴力破解会变得更简单。

当然,如果你只是个小虾米,不是编程随想那种名人的话,一般情况下共产党的黑客是懒得理你的。不过相信你也不想被黑客登进自己的账号,把你的隐私看得一清二楚吧?

那么可能有人会问:如果我的密码在网站是加密保存,那么会不会被破解呢?

其实也是有可能的。例如,如果使用SHA加密你的密码,理论上是不可破解的。但是,SHA算法加密后的结果是一个稳定的值,换句话说只要知道你的这个加密后的值,就相当于知道了你的密码,同样只要使用这个值去尝试其它网站就可以了。

所以,一般网站在保存密码的时候都要经过“加盐”(add-salt)

@hallo

加盐是指生成随机数据然后和原密码合在一起做哈希,不是对密码做个变换。
https://en.wikipedia.org/wiki/Salt_(cryptography)

科普一下,密码学中的哈希函数有这么一个特点,即你无法通过哈希后的值来计算哈希前的值,换句话说,如果y=hash(x),那么你没办法从y反推出x。这个单向的性质通常被用来保存密码。你登录的时候,网站只要对你输入密码计算一下哈希,然后和数据库里的哈希值比较来验证密码的正确性。

一般来说,在注册的时候也不会直接存密码的哈希(因为我们可以提前算好一些常见密码的哈希),而是生成一段随机数据,叫做盐,然后存储加盐后的密码的哈希和盐。比如123456这种简单密码,加上注册时随机生成的数据dsdfj,数据库保存hash(123456+dsdfj)和dsdfj。这样的话,即使是简单密码,在不同的数据库里最终的哈希值其实都是不一样的。当然这里只是用简单密码举个例子,并不是说简单密码也安全。虽然没办法通过哈希推测出简单密码,但是简单密码可以直接枚举。


也就是说,只要不同网站使用不同的算法进行加盐,最后实际存储的值每个网站都不一样,那么就大大降低了一个网站被破解以后,其它网站跟着全部沦陷的风险。

当然,每个网站加盐的算法,实际上是固定的。一旦黑客通过各种方式知道了加盐的算法,同样可以用撞库的方式,把库里的密码全部用算法修改以后再暴力破解。所以,假设Twitter今天出现安全漏洞,加盐算法泄露,Twitter就会强制要求用户更改密码。

总之,这里建议各位葱油在注册墙外网站时,一定不要使用跟任何墙内网站相同的密码。无论肉身在墙内还是墙外,都要特别注意。这里也提醒海外华人和港澳台的朋友,在注册中国大陆网站时用新的密码。

更稳妥一点的做法,是使用密码管理软件,比如说1Password。谷歌现在也推出了在浏览器里自动生成密码并存储的功能。但关键还是,敏感网站请一定使用不容易破解的密码。品葱有多次登录失败后锁定账号30分钟的设定,相对不容易被暴力破解。

最后,密码保护做得再好,也有可能会因为身份暴露被发现。请各位千万注意安全,不要在推特和这里暴露自己的信息。
46
分享 2019-12-25

43 个评论

有没有比较好用的密码管理软件?1Password我也用过,感觉跟浏览器集成不太方便。
补充一点,看这个法律,国内网站存储密码的手段可能会被统一?那这样就等于所有国内网站的密码都是可逆的了。
有没有比较好用的密码管理软件?1Password我也用过,感觉跟浏览器集成不太方便。

这个网站有各种隐私保护软件,包括密码:
https://www.privacytools.io/
路德社最新一期末尾讲了,中共已经要明抢了:

https://www.youtube.com/watch?v=-W7dA2PwiOg
补充一点,看这个法律,国内网站存储密码的手段可能会被统一?那这样就等于所有国内网站的密码都是可逆的了...

看来是的,这次要求各种用途的加密手段全部归党指挥,实行之后中国所有暗文在党眼里都是明文
阔怕,仔细一想,自己的密码一直都设的很简单
???????
所以我該去把我的微博扣扣跟百度註銷嗎
註銷有用嗎?
???????所以我該去把我的微博扣扣跟百度註銷嗎註銷有用嗎?

你的国外帐号和墙内网站帐号的密码分开
    怎么越来越邪恶了?胡温时期怎么没这些破事?
请问原文经过诸如Base64、ROT47等手段编码后是否达到加盐的要求?
谢谢提醒
构造自己的密码策略:混合网站域名得出密码,这样每一个网站都是不同的密码。
甚至复杂一点可以混合:注册年份、网站用途缩写、账号名部分位等页面上可以直观获得的信息,方便回忆密码时快速得到结果
广泛落实很难,小公司很难做到。但像主流的,阿里、腾讯,这种大公司,很可能是会做到的。
目前最好就是国内外的账号密码彻底分开,不要有任何关联。
人家说的密码是 Cryptography(密码学),而你说的密码是 password(口令)。这不是在逗我吗。
人家说的密码是 (密码学),而你说的密码是 (口令)。这不是在逗我吗。


这个是科普文章,作为普通人不可能要求了解技术细节,讲一讲平时怎么防范才更重要吧?
???????所以我該去把我的微博扣扣跟百度註銷嗎註銷有用嗎?


不需要注销,只要保证和你的脸书Twitter用的不是同一个密码就行了。
请问原文经过诸如Base64、ROT47等手段编码后是否达到加盐的要求?


可以,只要经过任何方式的编码后再加密(或编码)就能达到要求。但这个对于普通人意义不大,没必要把自己的密码去编码一次,经常修改就行了。
把密碼改成乳製品密語就好了
所以我的密碼都是多樣的

簡單的有某種官方文件的號碼(非身份證)和某些其他數字(如好友/暗戀女生的生日,已過期的某些會藉會員編號)
例:官方文件號碼123456,有時就是123456,但有時又會變成1234561225(聖誕),有時又是123456788964(某過期會藉號碼)

有時直接是數字笑話,有時是文字換符號(iamsiuming變成!@ms!um!ng)等

我最佩服某家人,她用的密碼都是某她喜歡的詞用倉頡輸入法輸入時的碼
如: 大奶,大=大 奶=女弓竹尸,所以密碼是kvnhs,再和其他數字的搭配)

來互相傷害啊(怒
不愧是加速大师 

死猪不怕开水烫,生怕别人反应不过来

这下全世界的青蛙都要跳了
也就是说
中共能拿到我的微信密码
如果我的品葱用的是同一个密码
中共能登入我的品葱账号?
已隐藏
也就是说中共能拿到我的微信密码如果我的品葱用的是同一个密码中共能登入我的品葱账号?


是的,如果你的身份范围比较小的话,可以通过撞库登录。但现在品葱有登录多次失败后账号锁定30分钟的设定,所以被试出密码的概率暂时不大。
已经把微信密码改了。😁
上面有人说过了,这个管的是“密码”,平时登录用的应该叫“口令”。所以你登录的时候用什么,和这个是没有关系的。
    怎么越来越邪恶了?胡温时期怎么没这些破事?

感觉已经快退到毛邓时期了
以前是墙内的账号跟墙外的账号不能相同或相似,现在可好,连密码都不能相同或相似。
也就是说中共能拿到我的微信密码如果我的品葱用的是同一个密码中共能登入我的品葱账号?

多个账户同一个密码是很不安全的....如果你哪个帐号的密码被攻破,或者哪个你注册过的防卫级别低一点的网站被黑客攻击,导致用户密码泄露的话,理论上可以直接把你所有的账号橄榄(有手机短信验证的或许除外)
多个账户同一个密码是很不安全的....如果你哪个帐号的密码被攻破,或者哪个你注册过的防卫级别低一点的...

是啊,我也知道,但是我记忆力不好,常常忘记密码。。。
我们这种记性不好的经常是所有社交平台密码都用一样的。。。
这个是科普文章,作为普通人不可能要求了解技术细节,讲一讲平时怎么防范才更重要吧?

您这可算是造谣了啊,脸皮也太厚了吧,还普通人无法了解细节,求证一下细节很难吗。
已删除
加盐这一点其实说错了。
加盐是指生成随机数据然后和原密码合在一起做哈希,不是对密码做个变换。
https://en.wikipedia.org/wiki/Salt_(cryptography)

科普一下,密码学中的哈希函数有这么一个特点,即你无法通过哈希后的值来计算哈希前的值,换句话说,如果y=hash(x),那么你没办法从y反推出x。这个单向的性质通常被用来保存密码。你登录的时候,网站只要对你输入密码计算一下哈希,然后和数据库里的哈希值比较来验证密码的正确性。

一般来说,在注册的时候也不会直接存密码的哈希(因为我们可以提前算好一些常见密码的哈希),而是生成一段随机数据,叫做盐,然后存储加盐后的密码的哈希和盐。比如123456这种简单密码,加上注册时随机生成的数据dsdfj,数据库保存hash(123456+dsdfj)和dsdfj。这样的话,即使是简单密码,在不同的数据库里最终的哈希值其实都是不一样的。当然这里只是用简单密码举个例子,并不是说简单密码也安全。虽然没办法通过哈希推测出简单密码,但是简单密码可以直接枚举。
在兲朝連密碼也是屬於共匪的。
总加速师又是一波灵车漂移
上面有人说过了,这个管的是“密码”,平时登录用的应该叫“口令”。所以你登录的时候用什么,和这个是没有...


不矛盾啊,民用加密方式和算法本来就不应当让国家掌握和立法,这个法律本身就是有越权嫌疑,更不要说是共产党做的,到时候所有大小网站的民用算法都让共产党知道了,下一步是什么?大概就是强制要求统一算法了吧?
加盐这一点其实说错了。加盐是指生成随机数据然后和原密码合在一起做哈希,不是对密码做个变换。https...


感谢指正!
写日记本上就行了

早该这样
改密码有用吗,只能期望暴政倒台。
kill_ccp 黑名单
连《密码法》都有了。
流氓ccp,管天管地,管人拉屎放屁。
那条推里粉蛆五毛横行(呕)
已隐藏

要发言请先登录注册

要发言请先登录注册