一种安全且不容易遗忘的密码思路

固定字符串+软件名缩写/英文名 哈哈哈感觉很容易被盗

最好的颁发是建立自己的专属密码体系

参考： https://jiangxueqiao.com/post/737594544.html

@0o0O0o0O0o 第一个问题，首先我描述的是思路，具体安全性可以有你自己的算法把控，所以别拿其他方案对比，要对比说思路，第二我说加密等级高很容易实现，你下面说的确是安全性，这两个不能划等号，加密算法不提，（还需要记忆密钥，而且我们不需要解密） ，举个简单例子，我现在要生成一个密码，我的原始数据是 88888888 ，我现在要把这个数据 md5 后 base64 ，重复 10 遍得出密码，这个密码你感觉容易破解吗？这个加密过程如果你不告诉第二个人，我相信是没人知道的。
第二个问题，你觉得是你随意凑的几个字母容易记还是数据本身的某个特征容易记？

那为什么不用 firefox 记密码呢？自动按要求生成密码，全平台有自动填充功能

@mioktiar56 其实是这样的，我自己写了个离线的密码管理器，把最重要的密码放在里面，但是我要给这个密码管理器设定一个只有我知道且不会忘的密码，所以才有了这个问题，文章里 固定格式的密码有类比泄露的风险，虽然我普通账号也是这么设置的

@nerkeler “你只需要保证自己能找到这个初始数据就行了，比如手机 sn 号，出厂日期，某个文件初始值或者就拿一个不会更改的文件，你不需要保存转化后的密码，只需要保留这个原始数据，然后很多密码管理器需要联网/或者是某个公司的产品，私以为安全性差点意思，当然一些常用账号也没有多大价值，还有很多开源自建的也能保证不会外露，另一方面我觉得对于某些账号密码需要以更加隐秘但是又要方便安全的方式存储，比如我有个保险柜放了我很多隐私文件，我并不希望把这个密码像其他的一样放在一个电脑，手机上的 app 上。这个就是我感觉这种思路存在的意义。” 刚刚没看到这段，确实，记住可复现的密码生成方法比记住密码重要得多

@xiaoguai945yeah 我说的不是所有密码，日常密码无所谓你怎么记，chrome firefox 1password keepass......你总有些密码不想放在这些上面吧

把简单的问题搞复杂 把复杂的问题搞的更复杂 👍👍

@nerkeler #23

> 具体安全性可以有你自己的算法把控

这就非常贴近我在 #3 发的链接里提到的 "roll your own crypto"，属于密码学家们强烈不建议的。

> 举个简单例子，我现在要生成一个密码，我的原始数据是 88888888 ，我现在要把这个数据 md5 后 base64 ，重复 10 遍得出密码，这个密码你感觉容易破解吗

这就是我在 #20 说你的思路是弱化版的 KDF 的原因，或者你可以先了解一下这个词，再点进 #20 的链接看一下 slow KDFs 为什么没有增加弱密码的安全性。

> 这个加密过程如果你不告诉第二个人，我相信是没人知道的。

这就是我在 #3 发的链接里提到的 obscurity ，可以再认真看一遍为什么它在你的场景中提供的是虚假的安全性。

我不打算与你继续讨论了，因为我觉得你不但很主观，而且在讨论时的语气还很差。

我所有密码都是一个，从初中到现在。当然也有例外，比如说要求定期更新的公司的安全密码。那种例外。

我的密码 一般都是 xxx 应用名称+某个特殊符号+一串数字

@0o0O0o0O0o 你说的这几个才是一点说服力都没有

我一般选取我的一个重要的 GitHub 仓库，拿指定的某个 tag 或者分支（自己记住就好了）的 SHA 值

lastpass ，bitwarden 试一下？都是免费的

@skuuhui 赶紧查查有没有泄漏吧

有个东西叫花密 可以自己修改一下 把你常用的密码+助记词组合输入 输出一组复杂密码

我个人把密码为三类，1 类偶尔注册小网站，使用简单口令。1 类阿里京东邮箱等主要网站，使用复杂口令。再就是内网办公系统，使用一套口令。

我差不多是这种方法

@shortawn #14 有些时候根本没有给你调用密码管理器的机会吧。

@xiaoguai945yeah #24 firefox 账号掉了怎么办呢? 用别人的手机需要输入自己的密码时呢？（防杠：娃苹果手机下载 app 要求我输入家长密码批准，我手机不在手边）