再说说个人密码管理问题

2014-12-26 13:19:53 +08:00
 quake0day
这几次数据库泄漏让大家越来越重视自己的密码安全。不过大家有没有考虑过一个问题:如果你的主邮箱被人入侵了(e.g. 密码泄露,手机被偷...),怎么办?

我们可以用lastpass,1password对应不同网站,生成一堆不同的密码。但是如果你的主邮箱被盗了,你用这个邮箱注册的所有网站就全部可以通过邮箱来重新设置密码了。这时候你的lastpass,1password生成的密码再怎么强大再怎么随机也都没用了。我仔细想了下,针对这种情况,貌似现在没有什么用户端好用又安全的解决方案。

目前能想到的现成的解决办法

1. 对主邮箱设置二次验证。
这种方法安全倒是安全,但是太麻烦。特别是主邮箱,每天要登陆很多次,每次都敲验证码太烦了,很不人性化。另外一点就是主邮箱被入侵不一定是密码被盗,也有可能是手机被偷,然后别人通过手机的app来读取的信件,这种情况二次验证就失效了。

2. 通过类似于yubikey的硬件实现二次验证。
这种方法安全也方便,但是手机端未必支持。而且还需要保证随时携带yubikey这类的设备。

3. 主邮箱不用来注册其他网站,而是通过其他邮箱注册其他网站,然后转发给主邮箱。
这种方法并不能防御隐秘的黑客入侵。如果不设置转发,那么每个网站对应不同的邮箱,这样做的话每注册一个网站还需要额外注册一个对应的邮箱地址(不能是邮箱别名)。非常麻烦。

上面的方法要不就不安全,要不就不方便。不知道大家有没有什么想法?能否实现一个“足够”安全,又很方便的方案呢?
2435 次点击
所在节点    问与答
6 条回复
haisua
2014-12-26 13:39:49 +08:00
不知道LZ是否用过Google的两步验证,其实在第一次登录时,你可以设置当前设备为可信的,之后一段时间(我没精确算过,记得大概是一两个月)内,在这个设备上登录就不用敲验证码。对于自己家的笔记本、公司PC来说,这么设置一下,就很方便了,安全性也没怎么打折扣。

手机被偷那是另外的话题了,如可以设置屏幕锁,远程擦除,登录Google帐号废掉那个设备的授权等来解决(已经下载到手机上的Gmail邮件如果对方手快的话还是可以看到的,这个没办法)。

对了,使用Google两步验证的话,记得打印一份纸质的备用验证码放家里或者钱包中,防止出现类似丢了手机又无法紧急登录Gmail的状况。
haisua
2014-12-26 13:43:24 +08:00
还有,lastpass本身也支持两步验证的,这样一来,使用Gmail注册一个lastpass帐号,两边都开验证,就安全多了。
mortal
2014-12-26 13:58:37 +08:00
所有高隐私的服务(Google、Evernote、Dropbox、主邮箱)全部打开二次验证。二次验证用 Authy,iPhone 指纹解锁。

稳得要死……
GhostFlying
2014-12-26 14:03:24 +08:00
主邮箱两步验证没跑,这种程度的保护都是必须的
lsmgeb89
2014-12-26 14:31:44 +08:00
@mortal 所以 iPhone 才是关键,哈哈。
vtexfan
2014-12-26 17:13:43 +08:00
roboform,这个用了几年了。最好的密码管理软件。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156856

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX