讨论：为什么现在存个人文件/密码这么复杂？

前情提要：

被 Microsoft Authenticator 坑惨了，所有 2FA 全丢了（ https://www.v2ex.com/t/989278 ）

我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论（ https://www.v2ex.com/t/989309 ）

现在这些东西暴露给用户的逻辑这么复杂/自以为是，连上 v2 的程序员都搞不清，别说普通人了。普通人遇上这种情况，根本就是束手无策：以往用电脑、nas 存个照片，还能拆硬盘找找，也可以用很简单（普通人能看懂）的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ，或者是云备份被删除的 2fa ，只能认栽了。

个人目前照片文档是存 onedrive 的，ios 端，安卓端，mac 端都可以自动上传，暂时也没有文件损坏的大新闻。2fa 十几个，都通过 google auth app 同步，bitwarden 官方 app 存密码（不是自建）。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了，而且自家 nas 理论上保证率不如云服务高（实际上 emmm ），到头来只是存个照片、密码而已。

个人是没法不用 vault 的，现在每个 app 、网站 id 、密码要求千奇百怪，如果不用 vault ，唯一的结果就是用一次找回一次（（

欢迎大家随便聊聊

caomu

2023-11-07 09:48:05 +08:00

也有另一种可能，小白用户完全不折腾这些，就随手保存随手删。像我家人从来不说手机储存小了，因为他们时不时就会删旧照片啥的，操作逻辑与数码相机/功能手机时代比较接近。所以厂商的思路也是隐藏细节。像我们这种懂一点，但又没有充足的时间精力去折腾个彻底的，就会去各种操作然后触发 bug ，相当于志愿测试员了。

testonly

2023-11-07 09:49:29 +08:00

我在你连接里那楼回复过了。
密码只需要靠问题和邮箱能拿回的年代我从没丢过账号密码，至今也没被 HACK 过账号，但自从那些狗平台搞一大堆安全东西后，就在我密码，问题，邮箱都对情况下，以怀疑我不是我为理由将我的不活跃账号一个一个拿走，根本这些狗平台就是在害人。
而且现在还已经用手机号代替邮箱，根本有手机号情况下，最多能短时 HACK 掉你账号，想长期拿走根本就没可能。

manasheep

2023-11-07 10:11:41 +08:00

我一直建议程序员自己写个不可逆的密码算法，只记住一个主密码，然后主密码+应用名作为参数传入函数（比如“abc123”+“微软”），生成密码，这样你每个平台的密码都是不一样的，而且主密码是不在任何场合出现的，算法是只有你自己有且不可逆的，就完全不担心泄露。
PS：如果希望单独平台泄露后修改为新密码，可以考虑再加一个版本号作为参数，比如：“abc123”+“163.com”+“v3”

yvescheung

2023-11-07 10:45:35 +08:00

我的理解是，这些安全措施更多是为了提高迁移成本，将用户困在自己的软件里
而这些安全措施有时候反而会更不安全，前段时间 Fortress Trust 被盗了 1500 万美元的加密货币，罪魁祸首就是谷歌验证器云端同步被攻击

totoro625

2023-11-07 10:53:31 +08:00

银行 App 真的是用一次找回一次密码，后来我把密码都记在密码管理器内了
再然后发现不管密码对不对，第一次登录都要人脸识别来一遍，发现朋友用弱密码也没任何安全问题，不怕被盗

PS:google auth app 可能也不靠谱，任何不方便转移到另一个软件的东西都不靠谱

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/989358

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.