现在登录的某系统 2 个月强制更新一次密码,整得我很烦躁

2023-07-26 15:44:25 +08:00
 hanlin85

我手上有 3 个账号,每 2 个月都要强制更新一次密码,搞得我不胜其烦。 你密码规则强度高一点我都没意见,2 个月强制更新一次真的很难受,常常不知道自己现在的密码改成啥了。 现在能想到就是预生成全年的密码记录在笔记上,每次到要求改密码的时候就打开笔记复制填进去。 有类似问题的大大们是如何高效又优雅的解决的?

3071 次点击
所在节点    程序员
37 条回复
dingwen07
2023-07-26 15:46:13 +08:00
我记得 NIST 已经说了定时改密码对提升安全没有作用,不清楚为什么那么多学校和企业就是喜欢这个……
mineralsalt
2023-07-26 15:46:51 +08:00
用密码管理器啊, 我早就放弃人脑和手抄的方式记录密码了, 各个网站都是随机生成的密码, 主要也是为了安全, 网站太多了, 用同样的密码容易被撞库.
cairnechen
2023-07-26 15:48:06 +08:00
@dingwen07

为啥?改密码不允许重复,不是把一段时间社工暴露的风险重置了吗?
wheat0r
2023-07-26 15:48:13 +08:00
@dingwen07 等保要求
brader
2023-07-26 15:48:17 +08:00
他不会记住历史密码的话就还好。我也是用有个网站,要求定时修改密码,我在记事本,就记 2 个密码,每次改就这 2 个之间换来换去,反正我登录的时候,试完这 2 个密码总有一个对的
brader
2023-07-26 15:50:31 +08:00
@mineralsalt 你用的什么密码管理器啊。我都没这么用过这类产品,使用场景方便么,有手机、电脑、家里、公司等等,平时同步、输入方便不
arvinsilm
2023-07-26 15:51:55 +08:00
密码前部分固定,最后几位用年份+1/2/3/4/5/6 ,这还需要用本子记下来?
muunala10221
2023-07-26 15:52:10 +08:00
把改密码的所在月份改成密码的末尾数字就可以了, 如果校验还是提示和旧密码相似,就英文当前月份 + 数字
mineralsalt
2023-07-26 15:53:47 +08:00
@brader #6 我是自建 Bitwarden , 很多 v 友也是这个, 综合来说, 这算是最好用的免费开源全平台密码管理器了
brader
2023-07-26 15:55:45 +08:00
@mineralsalt 谢谢,一会去看下这个软件。这些密码管理器生成的密码都是复杂不方便输入的,请问在手机、电脑都支持自动填充吗
zidian
2023-07-26 15:58:05 +08:00
固定部分+4 位的年月。只要记住固定部分就行。
mineralsalt
2023-07-26 16:01:49 +08:00
@brader #10 浏览器, ios, 安卓的 app 都可以自动填充, 其他系统没试过, 就是不能自动填充, 手动粘贴复制也不麻烦啊
xuanbg
2023-07-26 16:10:12 +08:00
哪有那么多不可以泄漏的密码。。。一般的网站,譬如 v2 ,我都是用同一个密码,谁爱扒就扒去好了。重要的密码,譬如 github ,那就一定要独立的密码且双因素认证才行了。
dingwen07
2023-07-26 16:14:57 +08:00
@cairnechen #3
NIST 就是这么写的
https://pages.nist.gov/800-63-FAQ/#q-b05


Q-B05:
Is password expiration no longer recommended?
A-B05:
SP 800-63B Section 5.1.1.2 paragraph 9 states:

“Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

Users tend to choose weaker memorized secrets when they know that they will have to change them in the near future. When those changes do occur, they often select a secret that is similar to their old memorized secret by applying a set of common transformations such as increasing a number in the password. This practice provides a false sense of security if any of the previous secrets has been compromised since attackers can apply these same common transformations. But if there is evidence that the memorized secret has been compromised, such as by a breach of the verifier’s hashed password database or observed fraudulent activity, subscribers should be required to change their memorized secrets. However, this event-based change should occur rarely, so that they are less motivated to choose a weak secret with the knowledge that it will only be used for a limited period of time.
hanlin85
2023-07-26 16:19:14 +08:00
@muunala10221 这个可以,用数字的月份被提示和原密码相同了
brader
2023-07-26 16:31:40 +08:00
@mineralsalt 有些 APP 就是这么狠,不给复制粘贴的
GeorgeGalway
2023-07-26 16:37:05 +08:00
苹果改密码的话,不能和近期的相同,我真是吐血🥵
leonshaw
2023-07-26 16:41:45 +08:00
@dingwen07 确实,上面几楼就给出了几个 common transformation 的例子。。
DefoliationM
2023-07-26 17:16:54 +08:00
vaultwarden 很好用
vivisidea
2023-07-26 17:52:54 +08:00
所有历史密码都不能使用么?如果没有这个限制,那可以准备 3 个密码,轮流来就行。。

或者说服你们领导改成双因子,安全性也更高

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959918

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX