密码管理器 vs 密码规则?如何选择

2021-01-07 11:20:46 +08:00
 CatCode

<del>可能这算是月经贴吧</del>

目前我使用的依然是密码规则(重要的、支持两步认证的网站都开启了两步认证),在考虑要不要使用密码管理器(依然不会关闭已开启的两步认证)。但有点儿犯难。

密码规则:某个固定的口令+网站的名称,通过一种只有自己知道的、容易操作的变换方式得到密码 密码管理器:例如 1password,keepass,bitwarden 等密码管理软件

我使用密码规则的原因:

  1. 重要的账号有两步认证把关(也导致可以很长时间不改密码),而且密码规则也是相对复杂的一种。不重要的网站就随便了。
  2. 密码规则比较容易记住。长期使用了之后基本上不会忘记。(丢失风险小)(密码管理软件的主密码泄露或者数据库丢失损坏就很惨了)

打算切换密码管理器的原因:

  1. 更改密码方便:因为不需要考虑新密码和原有的密码规则。(包括某些时候需要用改一个临时密码,把账号给别人操作一下,如 steam 代购)
  2. 可以用更高熵的密码,复杂密码也能“一键”输入,提高使用体验。
  3. 大多数密码管理器还能记录一些别的信息,比如密保问题。

但是还是有一些顾虑:

  1. 担心主密码泄露
  2. 担心密码数据库损坏
  3. 担心密码管理器的服务商被土啬了,同步体验极差

还有一些其他问题希望各位解答:

  1. 密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面?
  2. 硬盘加密(例如 Windows Bitlocker )的恢复密钥要不要放到密码管理器里?
  3. 如果密码管理器提供了两步验证码的生成功能(类似于 Google Authenticator\Authy 等),应该使用它的还是使用一个第三方的(目前用的是开源的 Tofu )?
6657 次点击
所在节点    信息安全
46 条回复
uncat
2021-01-07 15:19:41 +08:00
goyhlol
2021-01-07 15:21:25 +08:00
担心主密码泄露: 可以增加「密钥文件」或实体 key
担心密码数据库损坏:多点定期备份
担心密码被墙:自我同步,和墙关系不大,安全比体验重要

1.密保问题,两步验证的备用访问码等恢复密钥 等都可以放进密码管理器里面
2.硬盘加密的要不要放:随意
3.没有听过


来自一位 keepassXC 的用户,之前写的小文章供参考~https://anoni.sh/keepassXC
mxT52CRuqR6o5
2021-01-07 15:27:36 +08:00
@wolfan 不是说之前某个公司在日志里明文存密码还是其他啥重要隐私来着吗
你最后落库的方案看上去很安全,但过程可能并不安全
charseer
2021-01-07 15:40:59 +08:00
keepass 还是好啊,不只能在浏览器里自动填充,在客户端软件里也能 auto-type 真是不一样的体验.
charseer
2021-01-07 15:43:32 +08:00
bitwarden 有个很不好的点就是离线无法修改, 这个用之前最好了解下,不然实在是不方便
Aria2Hank
2021-01-07 16:01:31 +08:00
自建 bitwarden_rs 有几个月了。
硬件用的是树莓派 zero w + 8g 内存卡( 7*24 小时开机,5v1a 电源即可)
买了一年最便宜的.top 域名
每周日手动备份一下数据库
还是比较香的
silencht
2021-01-07 16:27:26 +08:00
enpass+坚果云路过
willxiang
2021-01-07 16:43:23 +08:00
enpass+坚果云(免费版)路过 +1,四舍五入等于不要钱。
PickMio
2021-01-07 16:49:33 +08:00
Keepass + 坚果 webdav + 脚本每天备份数据库到硬盘, 问题应该不大
azkaban
2021-01-07 17:19:27 +08:00
keepass+坚果云,n 端同步,去网吧上 sbeam 都能把密码 copy 下来
cjq8z
2021-01-07 17:27:02 +08:00
小孩才做选择题,密码管理器和密码规则本来就不冲突
inhd
2021-01-07 17:54:29 +08:00
看了楼上有几位朋友是 Enpass+坚果云,想问下在 iCloud 和坚果云之间,坚果云安全性如何?
imn1
2021-01-07 17:59:31 +08:00
如果你在大白天看到一个人,拿个手电筒对着一张白纸照的,那个就是我,🐶
我把一些不常用的简单密码,用“隐写笔”写到记事本上,那记事本上乱七八糟啥都写,用蓝光可见中间记下的一些数字,但也仅仅是提示,不会记下完整的数字密码,其他人看到是个“手机号”吧,差不多这个意思(规则我这里就不透露了)
这些密码通常是数字,没办法用规则,也不能记在软件……最头痛就是这类密码

不涉及手机号的,各种资源、信息站点的账密,32 位,一站一密,没法记,我扔进浏览器就算了,密码工具只做备份,不调用,没啥要紧的

涉及个人信息的,我有个程序“算”,每次用主密码+参数算出来,不记在密码工具,只备份这个程序

2FA/TOTP 之类用另一个工具,和存放密码的地方分开,放在一起那不叫 2FA,只是 1FA

恢复码是权限最高的,也要单独分开

除了前面说的放浏览器的那些,我现在基本脱离云端保存密码了,仅使用本地
Anarchy
2021-01-07 18:11:14 +08:00
大部分密码管理器,重要的依赖二步验证了
littlewing
2021-01-07 18:13:56 +08:00
重要的单独设置,其他所有的都一样
xiangyuecn
2021-01-07 18:17:34 +08:00
围观一下高级玩家的做法

xiangbohua
2021-01-07 20:54:11 +08:00
Apple 的 KeyChain 。非常好用
Chobits
2021-01-07 21:15:48 +08:00
只相信自己能掌握的,所以用 KeePass,同步用坚果云。14 位的主密码,AES-256 密钥,如果要再提升,就上 U 盘+密码文件。

以前用过 LassPass,还是不放心。
way2create
2021-01-07 22:33:17 +08:00
我 win10 商店装的 enpass 突然就用不了了 存的也不是啥重要密码就没去深究了
flexbug
2021-01-07 22:38:39 +08:00
我用 bitwarden 官方,一年 10 刀,2fa 也都有

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/742474

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX