账号被盗恶意登录，现在密码改成了 100 位强密码并启用了双重认证，这下安全了吧？

其实两步验证就能避免大部分的盗窃。

用了密码管理器后，别说 100 位，1024 位我都敢设置
只要是不能复制粘贴密码的网站，我就不用了

按照你的描述，和密码强度没有关系，哪怕两步验证也没用

@aoeui #19 win 电脑不是一直都裸奔吗

😂 有些应用服务商很奇葩，他会在本地把你的密码使用 md5 进行计算，然后传给后端，后端再对这个 32 位的 hash 进行 hash 然后保存，这时候，你的密码即使有 100 位的数字英文符号组合，在服务器看来，也就只是 32 个字母而已了

越来越多的网站和 app 采用了国密算法，密码输入框是不能复制和粘贴的，密码保存软件不知道以后如何应对

@faqqcn 那其实也是有区别的。暴力破解也不可能枚举那个 32 位的 hash 值。

@felixlong google 账号不是本地密码，这些云端账号本来就不能暴力破解。

100 位？牛了，不过有了两步验证不就很安全了？
如果两步都能破，100 位，估计也没啥问题了

Google 账号启用 TOTP 就够了，实际上所有重要的账号都需要 2FA

看了下 1Password 里储存的密码，近 600 个网站中只有不到 30 个使用了特定规则生成的密码用于手工输入，其余网站全部使用随机生成的强密码
国内网站绝大多数都支持手机验证码登录，密码随便设置一个就够了

@shakoon 不能复制可以理解，不能粘贴是什么毛病....

@pkoukk 可以粘贴等于可以复制

登入凭证=cookie

你打开自己电脑游览器，不需要登入，就能打开自己的 fb，ig 等等。这是因为有登入凭证。
这些登入凭证是可以窃取的。并且有些人被窃取了登入凭证都不知道。
更夸张的是，很大部分的登入凭证都不会过期。
能窃取你登入凭证的同时，也都会窃取游览器的密码，游览记录。
登入凭证大约 2kb 。
储存于游览器的密码大约 50kb
近期游览记录大约 100kb 。
这些文件在不需要 1 秒的时间里就会被传出去。


什么情况在被窃取的呢？
1. 太爱用破解软件。比如 kms 激活工具, adobe 破解等等。
2. 点击来历不明的 email 。
3. 游览奇怪的网页，比如黄色网站。
4. 打开来历不明的图片，虽然是图片，但是是个 spyware 。


怎么防?
1. 打开两步验证。可以的话，用 security keys，别用 TOTP 。
2. 时常更换密码。
3. 清楚游览器的 cookie，data 等等。

@shakoon 国密算法跟不可粘贴有联系吗？

@shakoon KeePass 那个自动填充是啥原理，就是按快捷键自动打出密码的，这个能否一战

@xieqiqiang00 不行，你网页整一个 input type=password 就是只能粘贴没法复制的

@dingwen07 #16
对于高级保护计划，补充一点，根据木桶原理，添加完密钥之后，需要删除掉“不太强”的两步验证渠道(例如短信、auth app)。

@ivanor auth app 为何会"不太强" 动静结合不应该会更好么。

@amirobotics 所以说 1pass 这种密码管理软件能自动填充登录应该来说是一件很好的事情，我就习惯每次都登录。然而某些国产 app 、页面总是要禁掉这块。