都说没有绝对安全的系统,像 1password 这类密码管理软件致命缺点有什么?又怎么来保护自己的账号?

2015-12-14 00:04:42 +08:00
 vtea

现在使用各类服务,注册的账号密码多的自己都记不清了,稍微整理下有一大页。Σ( ° △ °|||)

想使用密码管理软件,又不怎么太敢用我能想到的缺点

  1. 1password 的主密码被盗,或是忘了,直接全部账号完蛋。

  2. 想必黑客更垂涎这类管理软件的密码,或是攻击服务器,或是利用木马网页钓鱼。

  3. 太依赖这类管理软件的话,处处都要使用它们的服务,网速啊,墙啊都是问题。

一直想自己写个算法,加密自己的账号密码,感觉又太烦,手头没东西的时候输入也麻烦。

Life is short. Play more? 太麻烦不去管了? 各位 v2er 都是怎么管理自己密码的呢?

3360 次点击
所在节点    问与答
22 条回复
Trim21
2015-12-14 00:06:14 +08:00
无所谓的用社交帐户登录,重要的写纸上锁抽屉
way2explore2
2015-12-14 00:20:01 +08:00
我用 keepass ,不仅有主密码还有密钥。
密钥多处备份,密码库网盘同步,主密码记住。

我知道有针对 kp 的读内存的 keepass
way2explore2
2015-12-14 00:21:14 +08:00
@way2explore2 工具,

但如果读了内存了,你的几乎所有信息都可能会被泄露了,到时你的密码可能已经不重要了

这是续
hging
2015-12-14 00:21:26 +08:00
1password 都在本地 没有墙这一说
MajestySolor
2015-12-14 00:25:44 +08:00
lastpass 用了好多年了,方便好用
其实自己仔细梳理一下思路并不麻烦
我是一个 gmail 做自己的主地址,这个 gmail 绝对不泄漏,然后再一个次级 gmail 作为国外网站的注册用地址一个 qq 邮件注册国内网站,这 2 个次级地址的邮件 forward 到主地址
每次注册的时候用 lastpass 生成 14 位强密码,然后自动保存,点 2 下鼠标而已很方便
邮件列表之类的服务注意使用 blur 的服务,它会提供一个 masked email 地址,并把邮件转到你的真正地址
这些东西一次性设置好以后全自动,一点也不烦
Daddy
2015-12-14 00:40:56 +08:00
就用 LastPass ,方便方便方便,简单密码+两步验证,不用担心主密码会忘记。

至于有人说担心 LastPass 网络储存方案不安全,怕被脱裤,非要做本地储存,嗯,这很好,然而,连全家桶都防不住,对安全认知都不多的,非要强调本地储存,就好矛盾了。

多年都不中病毒,并且自己能自查是否中病毒,并且还能手工去除病毒,或者本身也是安全领域的,或者本身专业防火墙工具还自写规则调教得满满的,更别说什么全家桶了,技能满满的,自信满满的,那就本地储存吧;不那么在行,那就交给专业公司吧。

安全本身就是相对的,自取最大安全值。
kikyous
2015-12-14 00:54:12 +08:00
lastpass ,用着方便
没有绝对的安全
imn1
2015-12-14 01:19:04 +08:00
我不保存密码,每次都用程序算出来
ryd994
2015-12-14 01:59:59 +08:00
kwallet gpg+智能卡
不用网,不存在密码被盗
dump 内存当然没办法,不过如 3 楼说, dump 内存了也就全部拉倒了
唯一要担心的是智能卡丢失,所以私钥要保留冷备份
cxbig
2015-12-14 02:00:15 +08:00
1Password
主密码 20 位有特定组合规律,忘不了。
所有的东西都在本地保存,只通过 wifi 在设备间加密同步
自己的本子和公司的电脑都开了 FileVault 被盗也不怕破解文件。
手机有长密码,平时用指纹解锁。
每个月置换所有帐号密码,能开两步验证的都开
可以通过手机号码或 email 找回的帐号绝不在同一设备
lightening
2015-12-14 07:14:24 +08:00
1Password 本来就是加密后数据库存在本地,同步是用 Dropbox 或 iCloud 的,都是客户端加密, Vault 被别人获取了也解不开。

LastPass 之所以这么难用,就是因为他做了基于 Web 的客户端加密,这样上传的数据也都是在你的浏览器里加密的, LastPass 自己也解不开这些数据。但是这样造成了 LP 的用户体验出奇的烂,如果个人使用,我是肯定不用 LP 的。但是 LP 的优势就是可以团队内分享。实现方式就更麻烦了,每个人都会有一对公钥、私钥,再用每个用户的 master password key 加密私钥。每次要 share 密码,都要把那个密码用分享对象的公钥加密一遍。

结论就是主流密码管理软件的安全性都很高,不必担心。 1p 没有库,当然脱裤也就无从说起。 LP 即使被脱裤了,你的密码们也不会泄露。
paradoxs
2015-12-14 09:25:45 +08:00
1password 是不开源的,怎么能称得上安全?
要用就用 keepass ,大家都来审核。

不过这两个都没办法阻止截屏和键盘记录,只要系统被黑就一定完蛋。
vtea
2015-12-14 13:04:23 +08:00
@Trim21 感觉这样也很麻烦呐

@way2explore2 嗯,我去看看

@hging 不是要网络备份吗

@MajestySolor 嗯,这样也不错,现在国内有些邮箱长时间不登陆,自动关闭邮件转发功能

@Daddy 是的,着实是件很矛盾的事,把全部密码交一个 app 保管,心理上有点接受不了

@kikyous 嗯,我去看看

@imn1 起初我也这么想的,但是手头没法用软件,自己又记不得密码就麻烦了

@ryd994 哈,有时候想,与其技术上保密,不如技巧上保密,就如俗话说的最危险的地方最安全

@cxbig 我再研究研究

@lightening 主要心理不太能接受

@paradoxs 电脑一直裸奔好多年了,确实担心木马钓鱼等恶意软件,像某去广告的软件,据说后台也在截屏
imn1
2015-12-14 13:12:08 +08:00
@vtea
什么叫“手头没法用软件”?有电脑和手机就能用了
没电脑的话,你是说银行卡的密码什么的?那个只能自己死记
hging
2015-12-14 13:20:21 +08:00
@vtea 你想备份就备份. 不想备份就一直本地. 用 U 盘来回考也行.
vtea
2015-12-14 14:09:56 +08:00
@imn1 额,我意思是如果在一公共电脑上登陆某个帐号,如果记不得密码不是会很麻烦吗
@hging 恩,这样也挺好
imn1
2015-12-14 14:48:19 +08:00
@vtea
公共电脑就手机算啊
ryd994
2015-12-14 21:32:25 +08:00
@vtea "最危险的地方最安全" 根本就是逗比。银行怎么没把钱放我家呢?
安全性不能由算法隐秘性保证,而应当基于算法本身的复杂度。
vtea
2015-12-14 21:46:33 +08:00
@imn1 。。这也可以,技术要求太高了,我还达不到

@ryd994 不是这么理解的,就如张麻子把自己的钱藏到全县人家里,但全县人都不知道在哪,也没人敢拿
ryd994
2015-12-14 21:55:10 +08:00
@vtea 你当全县人是傻的么?安全应当遵循短板原理。你这样做,短板就是万一有人发现了,那就是全灭。把钥匙藏门口地毯下的人也是。平时似乎没事,但是被人看见了呢?
其实按这个讨论,用密码本身也不是很靠谱的行为,这才出现了智能卡。
智能卡要出问题,那就只能考虑厂商后门和芯片级解密了,以我的个人信息的价值来看,哪个都不可能。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/243301

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX