推荐一下自己用的密码管理方案

2019-10-16 11:06:46 +08:00
 smilzman

所有网站密码都一样

一开始所有网站的密码都是一样的,但是期间发生了一件事,爱奇艺密码泄露了,于是花了一天修改了所有网站的密码,这酸爽谁试谁知道。

这里要吐槽下爱奇艺,早些年只要开通会员,账号百分百被别人异地登录,甚至被修改手机号,我一直觉得是内部搞的鬼...

密码分级

经历爱奇艺事件后,心想不能把鸡蛋放在一个篮子里,于是把密码分成 2 部分:基础密码+密码扩展字符,并根据账号 zhong,比如:

password-generator+Enpass

这样也有一个坏处,qq 等不能黏贴的,每次要手动输入真的是愁人啊,要是各位大佬有什么更好的方式,可以在下面回复哦。

16683 次点击
所在节点    信息安全
102 条回复
youngxu
2019-10-16 19:16:53 +08:00
1 楼问头像是什么意思?
aoe2ex
2019-10-16 19:31:09 +08:00
lastpass
Cabana
2019-10-16 20:18:10 +08:00
Keepass + owncloud
mageemeng
2019-10-16 20:32:10 +08:00
最开始 1password + Dropbox、后来用 1password+iCloud
shingoxray
2019-10-16 21:25:40 +08:00
KeePass+iCloud,目前 iPhone+Mac+Windows 用的挺好的。
jqtmviyu
2019-10-16 22:12:56 +08:00
公司办公密码用 bitwarden
私人账号密码用 keepass
Awes0me
2019-10-16 22:50:02 +08:00
@shingoxray 用的都是哪几个客户端呢
GoTop
2019-10-16 23:25:30 +08:00
我用 lastpass 会不会被鄙视?
augustpluscn
2019-10-17 08:32:45 +08:00
google 自带就很好用呀,能解决 90%的问题.剩下的 10%不用解决.因为那有所有问题都解决的
695975931
2019-10-17 08:33:15 +08:00
lastpass-->bitwarden-->lastpass
UncleCat01
2019-10-17 08:48:24 +08:00
@zhenzinian 谷歌 autofill,国产小米现在带这个框架,别的不知道,一加应该也有
smilzman
2019-10-17 09:56:54 +08:00
@augustpluscn #89 google 之前在用,后面基本上用的少了,怕哪一天变成局域网或者 google 停止大中华的服务呢=。=
lllllliu
2019-10-17 10:01:16 +08:00
-.-除了谷歌用的最多的,也是最好用的我感激 就是 iCloud 的钥匙串。
AN3O
2019-10-17 10:48:31 +08:00
@klgd https://hub.docker.com/r/bitwardenrs/server 对配置要求低,无需 Installation Key
FantasyPupil
2019-10-17 11:12:46 +08:00
KeePass 开源,免费。 可以借助坚果云同步保存。有历史记录 80150348
klgd
2019-10-17 15:50:16 +08:00
@AN3O #94 谢谢,bitwarden_rs 这个看到过,没试,晚上回去了试试
rbforelle
2019-10-17 19:05:50 +08:00
为啥大家不用 keepass ?开源免费,各个平台上的客户端都很好用,密码自动填充啥的都没问题,安全性也更高,自己解决同步问题就好了
shingoxray
2019-10-17 22:17:02 +08:00
@Awes0me KeePass for Windows | Strongbox for macOS | KeePassium for iOS
smilzman
2019-10-18 10:16:19 +08:00
@rbforelle #97 这个也看过,不用可能因为丑吧。。。
shansing
2019-10-18 21:57:29 +08:00
楼主竟然在代码里投毒!

因为基于花密做了自己的修改版( https://shansing.com/read/477/ ),我看到楼主也是记忆密码+区分代号的形式(之后也从代码看出借鉴花密的地方),想稍微看看优缺点(其实主要是看缺点的,逃)。花一会儿工夫看懂代码以后,却怎么也调试不出预期结果。费了好几番心思才发现,楼主提供的 .js 和 .min.js 不一致!我调试时用网页加载的 .min.js ,然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。

然后来说说我的拙见。

楼主的可选项确实比我的丰富一些:我的沿袭花密,没有让用户决定更多东西。让我感兴趣的是,楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码,原来是使用了可改变的字母表( alphabet 变量)。然后根据 hash hex 每个字符的 ASCII 码,每次累加,索引字母表。初看我觉得这个想法很好,不过越想越觉得不优雅。

现在讨论 .min.js 那一套,也就是网页上使用的算法;默认设置,即使用标点,字母区分大小写。根据 hash hex 的特性,每个字符只有 16 种可能,加上大小写的指定,有 22 种。那么对应的 ASCII 码也是 22 种可能( 48~57,65~70,97~102 )。由此得出,最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加,也只有 22 种特定分布的步长,也许会造成最终密码中一些字符比另一些更可能出现。话说回来,即使步长是均匀分布的,也会造成类似情况。当然这不是硬伤,只是最终密码没有看上去那么强壮。

我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值,在我看来这既没必要(除非坚持可变字母表)也增加安全风险,好似篡改了 hash 算法。而密码学最佳实践要求,不要自造加密算法。我想 hash 算法是类似的道理吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/609821

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX