algorithm - 如果我开发自己的哈希算法来从简单的密码(Gmail、Skype 等)创建强密码怎么办？

Question

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它.

7年前关闭。




Improve this question




我想出了这个主意，但我不知道它是好是坏，也许你可以帮忙。
我的目标是:我想为我的主要帐户(gmail、skype 等)创建非常强大的密码。我想为所有超过 20 个字符且包含小写+大写字符、数字和特殊字符的帐户设置不同的密码。你会怎么做才能做到这一点？

即使是这样的一个密码也很难记住，所以我想出了这个想法:如果我开发一种(简单且 secret 的)散列算法，将简单的密码(甚至 3 或 4 个字符)转换为强密码会怎样？

在那种情况下，我只需要记住我的 Gmail 的“狗”，雅虎的“黑色”等等。当您必须登录时，您只需在转换它的手工脚本中处理您的简单密码，而不是复制粘贴。

我认为这种方法很棒，原因如下:

如果您的散列算法是不可逆转且保密的，则无法通过拥有(甚至很多)强密码来找出“简单密码”(无论如何，如果有人设法破解您在 gmail 上的所有主要帐户，您一定很不幸，论坛、即时通讯等)

我只需要为我的所有帐户记住非常简单的单词，而我的“最终密码”将防弹多年

如果做得好，一个简单的散列算法可以被记住并在纸上使用，而不是制作脚本(最终可能被盗)。该算法可以很简单，因为您不需要非常好的雪崩效应(您不会制作数以万计的密码，几年后可能只有 100 或 200 个？

即使破解者设法理解了您的哈希算法中的公式，您的算法也没有公开的彩虹表，我非常怀疑您的 gmail 帐户是否如此有值(value)，以至于任何人都会开始制作一个。此方法仅适用于日常密码，不适用于涉及 NSA 的高风险情况，而且它很好，因为该算法仅与您的密码相关，因为它不是公共(public)密码。 MD5 被成千上万的网站使用，这就是为什么人们开始浪费时间/金钱来破解它。我的个人算法将只是我的，所以没有人有兴趣投资金钱来破解它

你怎么看？

PS。对不起我的英语非常糟糕:)

Answer 1

你的想法不是最糟糕的，但问题很明显(你自己提到过)。

整个安全性取决于算法保持 secret 的事实。在您的情况下，这可能不是问题，但将来可能会成为问题(取决于您所保护的内容)。

如果脚本是已知的，那么“隐匿安全”就消失了，这意味着攻击者只需暴力破解弱密码即可。

在我看来，主要缺点是，您必须在需要输入密码时启动脚本(否则它更像是密码方案)。如果您每次都启动一个工具，您可以轻松启动一个密码管理器工具，例如:

http://keepass.info/

这样的工具可以放在 USB 内存棒上，并且您的优势是可以使用非常强的密码，并且您甚至不需要发明/记住弱密码。