千万不能贪小便宜购买 1Password 家庭版，后果很严重

这东西也合租，真是心大。
不开源都不敢用。

用不着，自己定个密码规则，将网站 /APP 产品首字母作为变量加入计算，就可以实现每个产品密码不同，但是又不会记不得。

唯一麻烦的是有的网站密码不支持某些字符，个别时候可能需要试两次。

@namesc #2 那改名了不就很尴尬

@namesc 那你怎么每隔半年一年更换一次密码呢？

@janssenkm 删掉还算好的，没把你密码都偷了。

@just1 很少改名的，几乎没有。
@msg7086 改规则或者改常量。

举个例子。

电脑手机键盘都是同样的 QWERY 布局，每个字母在上面都有第几行第几个，我们可以把这个也加入变量，就得到首字母、坐标 XY 共 3 个变量，代入规则计算。

比如规则是：（首字母大小写）（=）（ X*Y，结果不足两位直接用 XY 两个数字）（如果前面个位数是奇数补一个 0，否则略过）（数字常量 1949 ）

已知 V2EX 首字母是 V，坐标是第 3 行第 4 个，得到密码就是 Vv=121949
已知 QQ 首字母是 Q，坐标是第 1 行第 1 个，那么密码就是 Qq=1101949

以此类推。

刚开始会感觉算公式有点麻烦，过一段时间就习惯了，每次输入密码看下首字母坐标最多思考两三秒就知道密码了。定期修改密码时，如果怀疑密码泄露了就简单改下规则，如果觉得没泄露就改最后的常量。

其实很多东西都支持二次验证了，不需要半年修改一次密码那么频繁。

@namesc 好吧。

举个例子，我一般用的密码是类似这样的：

(Du/A#5nUo7h48m8AWvU
密码强度大概是 125 bit。

你的 Vv=121949 密码强度大概是 36 bit。如果曾经泄露过另一个密码，被人猜出固定文本部分的话，就只有 v 1 2 是有效密码部分，只有 14 bit 甚至更低。如果 V 站数据库被人脱了，有人又正好要针对你进行攻击的话，暴力轮出你的密码连一秒钟都不用。

另外你上面记的这个密码实在太容易猜了。一个能当场推算出来的密码，无非是
- 数学计算
- 词语联想
- 固定文本
的组合。如果真的有人有心去社工你的账号密码，只要从两个网站拿到样本（甚至是特意伪造两个羊毛让你撸一下），简单猜测一下就可以遍历出你所有网站的密码了。

这样低复杂度的密码对你（或者一般人来说）可能足够了，但是对需要安全性的场合，例如公司生产服务器的管理后台，存着所有公司源代码的 Git 平台组织管理员账号等等，有一个强密码来配合 2FA 还是很重要的。（更何况有些管理后台连 2FA 都不太支持。对，说的就是你 VMware vCenter，每次只能靠着仅仅 20 位的密码苟且偷生。）

而且现在都有现成的（而且是免费的）密码记忆方案可以用了。登录的时候只要让软件自己填密码就好了，何必再去记忆和推算公式呢。

@msg7086 你的假设不存在的，普通账号密码只要做到不小心泄露一个的时候不影响到其他账号就够了，其他担心都是多余的。

首先，穷举是不可能的，现在哪有平台允许你穷举。我甚至不介意告诉你，根据我的 V 站密码规则 E 开头的密码是 Ee@16201805，你来暴力轮我的密码试试。

至于说上钓鱼网站的钩，还上钩两次，要是小白到这程度人家也不用费劲专门做两个网站来钓你然后破解你密码了，想盗你哪个直接钓你哪个就好了。

不过就算碰巧有两个小站被脱库，又碰巧这两个小站都是明文存储密码，我也不怕，因为我在大厂密码规则是一套，在小站密码规则是另一套，而且大厂都开了二次验证。所以你也可以放心轮我 V 站密码试试，不会波及我其他账号。

关于生产服务器密码，这方面我很久没用过文本密码了，都是用 RSA 密钥。这方面还是按公司要求做，我说的仅仅是个人账号问题。

@msg7086 忘了回答最后一个问题，为什么不用密码记忆软件呢？因为我用公式可以全平台通用，看着 QWERTY 键盘就能立即打出来，不用装多一个软件插件，也不用担心保存的密码会不会泄露。

@msg7086 你永远叫不醒一个装睡的人。

@loading 你要是也觉得我的密码简单，你也可以来穷举试试嘛。

说得难听点，你们杞人忧天而已。

bf3000z 找个古诗 白发三千丈
my3000l mysql 哈哈

@msg7086 还能偷密码？

@namesc 巧了，我的密码方案跟你的很像，不过加入了会跟随时间变化的变量，以应对需要修改密码的时候。

楼主可以将密码同步到 Dropbox 上，应该即使删除账号，密码也不会丢的。

为什么不用 Keepass 呢，同步方案可以用 OneDrive 啊

说得好，我用 lastpass

说得好，我也用 lastpass

@wdv2ly 反正就这个套路，具体用什么变量自己决定。我刚开始不用坐标，用 26 个字母位置做乘法加法，后来感觉中间偏后的几个字母要数手指太麻烦了，改成一部分用键盘坐标一部分字母位置。然后根据厂商规模给产品分成一流二流，用不同规则，防止同一个字母冲突。反正我是有自信泄露一个密码之后对方通过一百几十次的尝试破解不出其他密码，有足够的失败次数让他放弃破解。

@namesc 你这种主要是没有一种通用方案的，和几个常用密码并没有特别大区别。

很多六位数银行卡等密码，你肯定是独立的
有些不支持特殊字符，有些只能数字，每个网站要求都不同，你得设计一套
有些限制密码长度，你的规则长度过长过短都不合适，肯定得记不同规则，而且登陆的时候一般不验证，你怎么记得住长度和规则

最后发现还好那么几个固定密码，又或者不重要的都忘记了。

之前也这么想过，即使现在用了密码管理软件，很多网站还得调整密码生成规则。所以，个人认为还是软件来记忆更可靠安全

@namesc 如果脱裤，一秒钟就可以尝试几十万次哈希，不太明白一百几十次就放弃是什么情况。
不过我也不多说了，各人有各人的想法吧。