看见大家都谈论购买软件来保管密码,真有必要吗?

2014-12-26 08:45:08 +08:00
 hzqim
我知道,用同样的用户名和密码注册各论坛、网站安全性很低,于是我的方案是:

1、用域名注册个免费的企业邮箱,设置不存在的邮寄地址转发到一个地址上,这样不同的网站用不同的邮件来注册。

2、登陆密码通过自己定义的规则从网站域名生成,满足:
1)大小写英文字母
2)包含数字
3)八位以上
4)包含特殊符号

这样我的网站就是用户名相同也相当安全了吧?
现在已知缺点:有些网站不支持特殊符号,如虾米,12306.

请指点不足,谢谢!
8351 次点击
所在节点    问与答
78 条回复
hamsik2046
2014-12-26 11:48:54 +08:00
自己写了个password管理软件在用
anubu
2014-12-26 11:55:17 +08:00
楼主提供了一个新思路,以前都没想到。
我以前用的就是 基本密码+注册网站 的方式,应该能防止简单的程序撞库,但是要人来看的话,一看就明白了,很顺利应该就能猜到其他网站的密码。从1234v2ex推导出1234qq很容易的说。
现在可以加上楼主的方法了,应该能稍微好点,虽然从v2ex@domain.com推导出qq@domain.com也很容易。。。。。。
所以说上面的方法其实是一个道理的,优点是好记且能防一般的程序撞库,当然稍微设计下程序的话也是防不住,缺点是防不住针对性的攻击者。
昨天想了下,还是这种 基本密码+注册网站的算法太简单了,可以稍微提高点,比如1v2ex34,123064,这样的。主要还是基本密码选型和自创一个简单算法,其实不在密码里体现注册网站信息且好记的最好,暂时没想到。
说这么多,前提还是弄好密码分级,一级账户就是核心的,其实也没几个,费费脑子死记住就可以了。其他级别的账户,自己没事瞎琢磨琢磨或者直接上软件。
tangzx
2014-12-26 12:07:57 +08:00
也用lastpass,如果遇到不能复制,就分两种

1. 低敏感性账户,如微博,家里路由器,其他设备等,用简单的,方便输入的,可以分享给朋友的密码
2. 高敏感性且来自可信任公司的账户,如支付宝,谷歌,lastpass本身,用复杂,可记录,不能泄漏的密码
3. 高敏感性但来自不可信任公司的账户,如QQ, 一些购物网站,还是用lastpass随机生成的密码,输入时自己用键盘再手动输入,并且尽量不使用这些服务
nanotoybox
2014-12-26 12:10:16 +08:00
根据域名自己定个哈希规则就好了,每个网站都不一样的密码,不怕丢。
lecher
2014-12-26 12:19:41 +08:00
说是这么说,谁能保证lastpass不会被拖库?
sony这种常年和黑客对抗的,也吃了亏。再往前,linode的信用卡问题。
黑客可不是只会爆库拖库而已,直接入侵上层的服务商去窃取资料的事情也不少了。
我觉得楼主的方式再做一次sha1或者md5,就已经和lastpass的安全系数差不多了,不会被撞库,没有任何记录,每次都要自己生成。
没有永远的安全,付费只是省了自己的时间,实际上安全系数差不多。
lsmgeb89
2014-12-26 12:21:00 +08:00
看你 PC 端 + 移动端的组合了:
iOS + Mac 用 1Password
Windows + Android,用 LastPass

像我这种懒人就 LastPass,任何记忆对我来说都是一种负担,每站一个密码,轻松。
而且 LastPass 在 Android 上开启服务太爽了,简直任何程序的用户名和密码都可以自动填,佛挡杀佛,神挡杀神。
DennyDai
2014-12-26 12:30:03 +08:00
@sigar QQ企业邮箱的话进 [管理邮箱] —— [工具箱] —— [邮件转移]
xmvagrant
2014-12-26 12:39:27 +08:00
@haisua “新注册一个服务就换一个ID”,这么多ID你是怎么记的?
dallaslu
2014-12-26 12:44:50 +08:00
@66beta 这样的话,泄露出的文件大小可能是现在的几万倍!
wjfz
2014-12-26 12:45:25 +08:00
抄的小纸条
BGLL
2014-12-26 12:54:11 +08:00
我的方法密码一部分根据服务\网站名决定,这样每个账号密码就不同了,泄露了还知道从哪个网站漏的
比如根据键盘按键的排列,每个字符对应键盘下一个按键:QWER对对应ASDF,1234对应QWER,ZXCV对应ASDF

v2ex的密码
fwds10201020

QQ的密码
aa10201020

github的密码
bkgnjg10201020
BGLL
2014-12-26 12:56:30 +08:00
把密码集中存放在一个软件\服务里感觉很不放心
以前有人把不小心密码软件删了,又没备份数据,然后.....
Crossin
2014-12-26 13:10:18 +08:00
小纸条+人肉转义
windirt
2014-12-26 13:29:15 +08:00
lastpass记忆各网站普通密码, 高级密码(gmail, livemail, alipay, lastpass)用sunyanzi的在线密码生成器,自己的网站留存了一份,所有能开google两步验证的网站都开了,两步验证恢复码存为QRCODE打印后物理保存
haisua
2014-12-26 13:40:26 +08:00
@xmvagrant 都有lastpass自动填充登录啊,我记ID干嘛哈哈哈~
ahtsiu
2014-12-26 14:42:12 +08:00
软件还是不够靠谱,我决定做个小硬件,用USB-HID 做个键盘就行了。hackaday 上面有个mooltipass,也是这个路子。
Luzifer
2014-12-26 15:03:55 +08:00
用户名:
v2ex
v2ex@domain.com
twitter
twitter@domain.com
都转发到yourname@domain.com

密码:
大小写数字下划线, 一般都支持 (不支持特殊符号的一般支持下划线)
v2ex
ChangYongMiMa_v2ex_911
twitter
ChangYongMiMa_twitter_911
lekai63
2014-12-26 15:14:44 +08:00
@cattyhouse 感谢!学习了!
peartail
2014-12-26 16:58:00 +08:00
必须有必要。

只要几百元,不仅能极大提升自己各种在线帐户的安全性,还能给自己节省下无数时间。

什么值得买?这个就值得买!
calon
2014-12-26 17:32:14 +08:00
1、把服务分等级:
a. 最重要的服务:能够开二次验证的统统开二次验证,lastpass 这种都不能完全保险;
b. 重要的服务:采用后面说的密码生成方式,可以由 lastpass 等管理,如果登录时支持复制粘贴也可以临时生成,除非你怕复制后内存数据泄露;
c. 一般的服务:采用一般的可记忆的密码,由 lastpass 等管理。

最怕就是一些重要的服务,偏偏还限制使用一些特殊字符或密码位长……

2、复杂密码生成方式:
使用散列函数计算工具,网页版、桌面端、手机端到处都有,自己写个脚本几行也可以搞定;
比随机生成密码好的地方在于,万一没有 lastpass 这样的工具时,只要能够联网,或有本地散列计算程序,很快可以自己算出来。

可以当散列函数用的选择有很多,mdx、sha-x、crc、tiger、panama……,连电驴都有自己的散列值函数;
自己设一个源值规则,比如用户名、服务名、邮箱地址、服务 URL 地址、特殊含义字符等的固定组合;
计算散列值得到密码串——不过这还防不住对比散列值的暴力破解。
如果不放心,可以再加特殊字符;
或者用特殊字符或用户名、服务名等做盐,再次计算散列值;
如果定期更换密码,比如每年、每个季度一次,也可以用 2014、winter 或自定义词组等字符串做盐,再次计算散列值,就算忘记上次是什么时候更换的密码,只要规则不乱,自己尝试重算也不会花很久时间。

3、简单的密码生成方式:
这个选择就更多了,不多说。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156775

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX