密码重复使用 扎克伯格多个账户被黑

哈哈哈，其实可以理解，都是人啊

要注册多少东西，记住那么多密码真是累呀

在下推荐小扎使用 1Password XD

所以用一个安全软件来帮我们记住多个复杂密码是很大的一个需求。

所以他 2012 年以来一直没有改过密码？

因为都不是他自己注册的。

晚上就用你们推荐的 1password ！

@243205964

这才是最危险的，真正的安全人员和黑客人员都明白，根本不存在安全软件，然而再强调安全，对外界来说无非是个嘲讽，况且这个安全平台还是做密码账号管理的，就呵呵了，就成了众矢之地，所以多少年来，一直没有一个敢号称安全的账号管理软件

其实搞 IT 的都知道要有安全意识，但真正做到的其实没几个。 PS ：刚好周三要给公司全体员工做安全意识培训，感觉然并卵 T_T ～

@cylong 我一直在用 1password ，而且是花了 400+大洋买的正版，不过一般只是用来自动填充用，几乎很少使用自动生成密码功能（除非是一些敏感网站），因为你生成密码的话有时候 1password 保存不到用户名。。。

我的密码设计：前缀+后缀。
前缀：复杂度够强，只需要设计 1 到 2 个；
后缀：与登录站点或 app 相关联，方便联想；
这样我不会用到相同的密码，自己也记得住。

@dxfree 你确定后缀没规律吗? 如果泄漏了一个, 另外的很有可能猜出来吧

@script2016 回头编辑一下不就好了。

@gaolycn 那是针对我个人密码的攻击 我又不是重要人物 可以忽略这种可能

@script2016
不用 1P 自动生成密码还要用 1P 干嘛…
New Item -> 填上名称 -> 填上用户名 -> Copy 自动生成的密码 -> 填上 URL -> 点 OK 保存。

@arens 从业人员表示三年前已经把自己所有账号交给 1password 保管，所有密码均由 1p 生成，绝不重复使用并定期更新。如果对 1p 不放心可以用 keepass 这种开源的密码管理软件。如果知道它们的实现原理就不会担心自己的密码库泄露，因为主密码只要不过于简单是几乎不可能被攻破的。相关案例是 Lastpass 出现了好几次泄漏事件，但并没有出现用户密码库被攻破的案件。
从攻方角度来讲，如果是范围目标攻击，一个目标的帐户密码与其主要其他帐户密码不一样，几乎就可以放弃这个目标了。如果目标价值很大会考虑从其他方向社工，但基本不会考虑从密码这方面突破。
简而言之，如果一个人正确使用密码管理软件且主密码够坚固，可以基本保证其密码的安全性，并大幅降低其被社工的可能性，对普通用户而言几乎可以免疫黑客对其帐户的威胁。

@arens Keepass 求攻破

lastpass 明显比 1p 好用
密钥文件管理太麻烦了

his: A command-line-based password management tool

https://github.com/chenze/his

就我一个人用 enpass 吗