密码管理器 vs 密码规则?如何选择

2021-01-07 11:20:46 +08:00
 CatCode

<del>可能这算是月经贴吧</del>

目前我使用的依然是密码规则(重要的、支持两步认证的网站都开启了两步认证),在考虑要不要使用密码管理器(依然不会关闭已开启的两步认证)。但有点儿犯难。

密码规则:某个固定的口令+网站的名称,通过一种只有自己知道的、容易操作的变换方式得到密码 密码管理器:例如 1password,keepass,bitwarden 等密码管理软件

我使用密码规则的原因:

  1. 重要的账号有两步认证把关(也导致可以很长时间不改密码),而且密码规则也是相对复杂的一种。不重要的网站就随便了。
  2. 密码规则比较容易记住。长期使用了之后基本上不会忘记。(丢失风险小)(密码管理软件的主密码泄露或者数据库丢失损坏就很惨了)

打算切换密码管理器的原因:

  1. 更改密码方便:因为不需要考虑新密码和原有的密码规则。(包括某些时候需要用改一个临时密码,把账号给别人操作一下,如 steam 代购)
  2. 可以用更高熵的密码,复杂密码也能“一键”输入,提高使用体验。
  3. 大多数密码管理器还能记录一些别的信息,比如密保问题。

但是还是有一些顾虑:

  1. 担心主密码泄露
  2. 担心密码数据库损坏
  3. 担心密码管理器的服务商被土啬了,同步体验极差

还有一些其他问题希望各位解答:

  1. 密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面?
  2. 硬盘加密(例如 Windows Bitlocker )的恢复密钥要不要放到密码管理器里?
  3. 如果密码管理器提供了两步验证码的生成功能(类似于 Google Authenticator\Authy 等),应该使用它的还是使用一个第三方的(目前用的是开源的 Tofu )?
6657 次点击
所在节点    信息安全
46 条回复
XINHL
2021-01-07 11:34:56 +08:00
keepass 一次搞个 20 个 key 然后其中选一个,密码用 sha3-512(常用密码+key)生成做密码,放在 OneDrive,隔一段时间直接 rar+10%恢复数据压缩备份丢到百度网盘和 google 云盘,估计不会真的有人把你 20 个 key+128 位的密码暴力破解出来
Jirajine
2021-01-07 11:38:32 +08:00
自建+备份
你用规则,如果别人获得了你多个网站的明文密码,就可能导致泄露全部。
v2tudnew
2021-01-07 12:02:48 +08:00
你还要担心系统是否被监视了,毕竟 win 烂大街的软件都可以截屏,复制剪贴板 😂
yyfearth
2021-01-07 12:15:29 +08:00
用随机密码弊端是 如果没办法用密码管理器 你就没办法了
所以最重要的几个密码 用复杂的规则 自己可以记住的就可以了
其他密码交给密码管理器就好了
processzzp
2021-01-07 12:21:11 +08:00
都 2021 年了,快来用密码管理器啦😅
wolfan
2021-01-07 12:33:11 +08:00
所以,花密 https://flowerpassword.com/ 应该很好用吧。
wolfan
2021-01-07 12:36:15 +08:00
话说,两个密码走天下,其实也没感觉到啥问题啊。

重要的账户资产,现在都有多源提示(短信、邮件、通讯工具),所以一但有异常登录也能及时处理。毕竟再强的密码都能攻破,且重要的账户系统自身也会对用户密码进行二次处理,所以为什么还要自己弄一手呐。
lostberryzz
2021-01-07 12:38:54 +08:00
还是密码管理器吧,多备份
Takuron
2021-01-07 12:44:03 +08:00
两个都在用路过,主要是有些网站要求你强制多少天改一次密码就很烦,这种规则也会搞得很麻烦还是随机密码+管理器舒服。

规则也建议自己写个前端脚本来用,可以让规则更加多样并且方便计算。
essethon
2021-01-07 12:51:14 +08:00
我个人是无脑支持密码管理器,因为我有几百个密码。

密码规则「容易记住」这是个伪命题,除非你满足一系列苛刻的条件:你的账号很少、95% 的不常用网站密码乃至用户名都忘了你也不在意、各种账号相关的信息(注册时间、密保问题之类的)全忘记你也不在意、你的记忆非常稳定、你的密码规则非常明确易记同时还能满足不同网站的密码要求——有的网站要求必须有特殊符号,有的网站要求不能有特殊符号等等。(最后这一条我感觉直接就是自相矛盾的)

能满足这些,你可以继续用密码规则。

当然你对密码管理器的规则也有点道理,如果你实在顾虑可以结合使用。使用一个同步和自动填充体验可能一般的软件,比如 KeePass + Dropbox,记录 95% 不常用网站的用户名密码,以及一些账户恢复信息。平时这个 KeePass 密码库不用频繁打开。最常用的 5% 的大网站,用密码规则记在脑子里就好了。

(但私心觉得这样还不如直接用 1Password 之类的密码管理器,体验好太多,安全性其实没降低多少。
chroming
2021-01-07 13:14:45 +08:00
自己设计密码规则只能防撞库这种广泛的安全攻击,不容易防特意针对你的攻击,因为规则可能会被猜出来,另外如果你换了网站密码规则,也不能马上用新规则换所有网站密码,这样久而久之就会出现你不记得某个不常用网站是用哪套规则算的密码。

密码管理器的最大风险就是密码库文件,密码库不同步到开发商服务器+限制本地密码库访问权限能减少风险。

另外浏览器的记住密码就类似密码管理器了,密码都记录在本地文件里,chrome 似乎还是用系统密码加密这个密码库文件,安全性比一般密码管理软件弱。

两步验证记在密码管理器里的风险是在本人不知道的情况下密码库泄漏并且被解开时,重要网站就可以直接登陆了,在意这个风险就不要记在里面。
Crusader
2021-01-07 13:16:17 +08:00
我在用 enpass,密码数据是存在我 nas 本地的
cmdOptionKana
2021-01-07 13:19:25 +08:00
密码规则有些缺点:更换密码难,调整长度难。
proxychains
2021-01-07 13:19:46 +08:00
自建 bitwarden
Kirie
2021-01-07 13:24:46 +08:00
密码管理器用于次要帐号,密码规则用于主要帐号
MrOange
2021-01-07 13:26:06 +08:00
这是选择题但不一定是单选题,
比如重要性低的密码用密码管理器。
重要性高(支付相关)的密码用密码规则自己记住。
至于临时密码,可以考虑把密码规则的固定口令改成 1234567 或者生日,之后再改回原密码。
密保问题可以使用安全性高的邮箱,以邮件方式发送给自己,比如“百度账号密保,你最喜欢的明星,cxk”
arcadia
2021-01-07 13:32:33 +08:00
高重要密码我用的是 keepass + 坚果云的方案,电脑手机上都可以很方便的自动输入
不重要的账号会用规则,更不重要的用固定密码
icesof
2021-01-07 13:37:39 +08:00
优先就是,每个网站单独密码

我的选择:lastpass
*开启二步验证,密码本地解密,服务器上是加密的,保护好主密钥就好。
*免费版的功能完全够用,数据自动同步,多设备的福音。
*插件安装到 chrome 上,登陆省的各种工具来回切换。
*lastpass 数据中心改到欧洲去。欧洲有 GDPR,隐私更有保护
75er
2021-01-07 13:54:46 +08:00
1.老大哥在注视着你 就别扑腾了 乐呵的活他 100 岁就够了
2.看看自己浑身上下有多少钱 有个鸡儿要加密的
580a388da131
2021-01-07 14:09:42 +08:00
规则
普通人用无序密码大部分情况都只是徒增烦恼

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/742474

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX