一种安全且不容易遗忘的密码思路

153 天前
 nerkeler

对于某个很重要且不频繁打开的账号密码,可以找取这个文件的md5值或者其他特征(一串字符),然后 使用 base64/md5/sha256 进行加密(编码可能更准确)或者你自己指定一个固定的、属于自己的加密方案,这样保证了密码自己不会遗忘,同时加密等级又很高。

最主要一个点,加密的方案只有自己知道,而且要固定下来。

PS:只针对特别敏感的密码

6073 次点击
所在节点    信息安全
89 条回复
ZENGQH
152 天前
固定字符串+软件名缩写/英文名 哈哈哈感觉很容易被盗
mioktiar56
152 天前
最好的颁发是建立自己的专属密码体系

参考: https://jiangxueqiao.com/post/737594544.html
nerkeler
152 天前
@0o0O0o0O0o 第一个问题,首先我描述的是思路,具体安全性可以有你自己的算法把控,所以别拿其他方案对比,要对比说思路,第二我说加密等级高很容易实现,你下面说的确是安全性,这两个不能划等号,加密算法不提,(还需要记忆密钥,而且我们不需要解密) ,举个简单例子,我现在要生成一个密码,我的原始数据是 88888888 ,我现在要把这个数据 md5 后 base64 ,重复 10 遍得出密码,这个密码你感觉容易破解吗?这个加密过程如果你不告诉第二个人,我相信是没人知道的。
第二个问题,你觉得是你随意凑的几个字母容易记还是数据本身的某个特征容易记?
xiaoguai945yeah
152 天前
那为什么不用 firefox 记密码呢?自动按要求生成密码,全平台有自动填充功能
nerkeler
152 天前
@mioktiar56 其实是这样的,我自己写了个离线的密码管理器,把最重要的密码放在里面,但是我要给这个密码管理器设定一个只有我知道且不会忘的密码,所以才有了这个问题,文章里 固定格式的密码有类比泄露的风险,虽然我普通账号也是这么设置的
xiaoguai945yeah
152 天前
@nerkeler “你只需要保证自己能找到这个初始数据就行了,比如手机 sn 号,出厂日期,某个文件初始值或者就拿一个不会更改的文件,你不需要保存转化后的密码,只需要保留这个原始数据,然后很多密码管理器需要联网/或者是某个公司的产品,私以为安全性差点意思,当然一些常用账号也没有多大价值,还有很多开源自建的也能保证不会外露,另一方面我觉得对于某些账号密码需要以更加隐秘但是又要方便安全的方式存储,比如我有个保险柜放了我很多隐私文件,我并不希望把这个密码像其他的一样放在一个电脑,手机上的 app 上。这个就是我感觉这种思路存在的意义。” 刚刚没看到这段,确实,记住可复现的密码生成方法比记住密码重要得多
nerkeler
152 天前
@xiaoguai945yeah 我说的不是所有密码,日常密码无所谓你怎么记,chrome firefox 1password keepass......你总有些密码不想放在这些上面吧
rekulas
152 天前
把简单的问题搞复杂 把复杂的问题搞的更复杂 👍👍
0o0O0o0O0o
152 天前
@nerkeler #23

> 具体安全性可以有你自己的算法把控

这就非常贴近我在 #3 发的链接里提到的 "roll your own crypto",属于密码学家们强烈不建议的。

> 举个简单例子,我现在要生成一个密码,我的原始数据是 88888888 ,我现在要把这个数据 md5 后 base64 ,重复 10 遍得出密码,这个密码你感觉容易破解吗

这就是我在 #20 说你的思路是弱化版的 KDF 的原因,或者你可以先了解一下这个词,再点进 #20 的链接看一下 slow KDFs 为什么没有增加弱密码的安全性。

> 这个加密过程如果你不告诉第二个人,我相信是没人知道的。

这就是我在 #3 发的链接里提到的 obscurity ,可以再认真看一遍为什么它在你的场景中提供的是虚假的安全性。

我不打算与你继续讨论了,因为我觉得你不但很主观,而且在讨论时的语气还很差。
skuuhui
152 天前
我所有密码都是一个,从初中到现在。当然也有例外,比如说要求定期更新的公司的安全密码。那种例外。
txzh007
152 天前
我的密码 一般都是 xxx 应用名称+某个特殊符号+一串数字
ivvei
152 天前
@0o0O0o0O0o 你说的这几个才是一点说服力都没有
Wxh16144
152 天前
我一般选取我的一个重要的 GitHub 仓库,拿指定的某个 tag 或者分支(自己记住就好了)的 SHA 值
CodingNaux
152 天前
lastpass ,bitwarden 试一下?都是免费的
feiyan35488
152 天前
@skuuhui 赶紧查查有没有泄漏吧
liduoduo
152 天前
有个东西叫花密 可以自己修改一下 把你常用的密码+助记词组合输入 输出一组复杂密码
Z1R0
152 天前
我个人把密码为三类,1 类偶尔注册小网站,使用简单口令。1 类阿里京东邮箱等主要网站,使用复杂口令。再就是内网办公系统,使用一套口令。
pharsalia
152 天前
我差不多是这种方法
moudy
152 天前
@shortawn #14 有些时候根本没有给你调用密码管理器的机会吧。
moudy
152 天前
@xiaoguai945yeah #24 firefox 账号掉了怎么办呢? 用别人的手机需要输入自己的密码时呢?(防杠:娃苹果手机下载 app 要求我输入家长密码批准,我手机不在手边)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1058424

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX