一种安全且不容易遗忘的密码思路

你可能不知道，有一个叫花密的东西。
作者可能都忘掉了的东西，咱其实一直在用。只是作者没在 edge 上架，得用 chrome 的源。

①所有平台的账号+密码+TOTP 存储在密码管理器中

②密码管理器的主密码,由一个字符串被多次 HASH 后得到,这个过程可以写一个脚本来自动化(事实上你也不可能愿意手动执行这个过程),然后将这个脚本打印+塑封多份并且离线存储于多地,都不需要保密它

这样你只需要记住“字符串”+“迭代次数”就行了,兼顾了“守方易于记忆”和“攻方难于猜测”

③更进一步,你可以使用 SSSS 来拆分一下(不过我觉得没有必要了),这样攻方需要集齐所有分片才能召唤神龙

楼上有人提到了“慢哈希”方案,现在开发新应用,推荐至少 scrypt,优选 argon2,加入我在#62 所说得方案(其实这个方案第一次看到是在边城穗香)

密码是一组组合规则

应对社工库，肯定要按网站重要性，设定不同密码。不能一个密码走网络。

剩下的如果学过形码，一句话就变成密码，再辅以组合规则就够了。

当然发现记性不行，回忆不起来只能找回密码。

我前几天看到一个特别好的保存思路，就是把你的账号密码分开保存在互联网应用上，比如 google keep 这类应用上。这样就算两个账号都被盗，也没有概率有人能对应上你两个应用上的账号和密码

@YGHMXFAL 可以看到我上面的回复，我自己开发了一个离线密码管理器，把一部分不常用密码放在里面，但是管理器密码让我为难，所以想到了这个思路

8 位大小写字母数字特殊符号固定前缀+8 位内的应用名称或缩写
例如： P@ssw0rdv2ex
其中 P@ssw0rd 是固定前缀，v2ex 是账户所对应 app 名称
再例如:P@ssw0rd1233
其中 P@ssw0rd 是固定前缀, 1233 是 QQ 账号开头数字

你说的文件作为密码（或者说种子），KeePass 很早就支持用文件(Key File)了。

你如果是说文件、MD5 、base64/md5/sha256/自己的加密方案都属于生成主密码的前置步骤，那你加入的前置步骤越多，遗忘的概率越大。

“加密的方案只有自己知道”，从学院的角度来讲这会降低安全性，从现实的角度来讲，军用加密算法是非公开的、魔改的。但要实现类似后者的效果，你得有较深的密码学背景，不然就是前者描述的那类人。

所以 op 的实际问题是“如何保存密码管理器的主密码”吗？如果是的话建议加一条附注，不然这个讨论就有点偏了（（

我个人的做法分两方面（先套盾，这套做法我也不确定安全性高不高）：
1. 主密码是意义明确的密码短语（方便记忆和输入），我的做法是使用身边常用的单词+特殊字符。编完之后可以用 zxcvbn （ https://github.com/dropbox/zxcvbn ）这个项目测测密码强度
2. 再从 https://passwordbits.com/emergency-sheet.html 打印几份表格，用于物理记录主密码、2fa 恢复码等等。一份放在家里键盘底下，一份放保险箱。

op 的这个方法我用过，最大的问题是，各个网站对密码的要求不一样，比如有的要求有特殊符号，有的又要求不能有特殊符号

你这感觉复杂了

密钥更应该得到保护，而不是密码算法

@GeekGao #59 如果你的密码规则很多，每个都不一样，那相当于每个密码之间毫无关联，这会加重你的记忆负担，如果你的密码规则固定，那某一两个密码的泄露可能导致类推泄露其他密码，因为完全可以从你的明文密码上推算出来

@Paulownia 你完全没有看懂我的意思，我的思路是尽量摒弃掉流于存储的东西，把真正重要的只放在你自己脑海中，为什么非要有密钥呢？我们这个流程不需要解密

@euph 其实你说的没错，但是我并不是推荐大家在每个网站都这么设密码，网站密码这种不重要/频繁使用的，安全性可以略微降低，就算泄露了大不了找回账号改个密码，我感觉自己描述强调了好几遍了啊

@nerkeler 那干脆就用密码管理器吧，随机高强度密码就 100%没毛病了。干嘛要记忆？ 便于记忆与安全是矛盾的。

@GeekGao #76 你终于提到重点上了，就是要便于记忆和安全，谁说这两个就一定是矛盾的了，坦克是怎么造出来的？

@nerkeler 不矛盾的话，Google 、Facebook 、Okta 、腾讯…… 这些重视身份安全的企业不早就想到好办法了么，还主推 MFA 干啥。

经典自作聪明，随便一个市场上流行的密码管理器加密方法都比你这个更容易记住但又千百倍的安全