求问一些关于密码管理的问题

2023-12-05 04:50:44 +08:00
 gransh

最近被 github 强制开启了 2FA ,突然想到一串的密码管理问题,干脆攒一起问问大佬:

1.本人一直用的 chrome 的管理密码,想查看的时候电脑端输入开机密码或者手机端输入解锁密码就能看明文了。这种方式安全吗?如果 google 账号被盗 or 电脑丢失(电脑密码很容易解) or 手机密码泄露,存在 chrome 中的所有密码不就被一锅端了?

2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗?

3.用 microsoft authenticator 存了 2FA ,以防万一需要登录备份,这样话微软账户密码泄露了是不是同样等于一锅端?

1952 次点击
所在节点    信息安全
18 条回复
weazord
2023-12-05 05:14:40 +08:00
> 2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗?

2FA 的话恢复密钥泄露只是等同于那个验证码泄露,不掌握密码/邮箱这些的话还是没法登录的,开启 2FA 至少不会让账户安全性变差。

> 针对 1/3 Google/Microsoft 账号被盗的概率还是挺低的,毕竟都有验证,别密码手机一起掉就行了。 “电脑丢失(电脑密码很容易解)” 这确实是是一个风险,Windows 在登录状态可以很轻松的拿到 Chrome 存的密码,直接在 Windows 用户已登录用 Win 的一个公开 API 就可以解密: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d
msg7086
2023-12-05 05:29:03 +08:00
电脑丢失的问题可以 bitlocker 加密。
另外如果 2FA 用 TOTP 不放心的话也可以考虑用 FIDO 。当然 FIDO 也是要保护好的,丢了一样会有问题。
NnMmOo
2023-12-05 05:42:19 +08:00
经典自己没做的事情就不重要,什么叫你可以记复杂密码?你可以做到每个网站都用类似 3p70RzkZbBBp6Bu5KgMk 这样的密码还不重复吗?如果不行,就不叫可以记复杂密码。而且目前来说,加了 2fa 的账号一定是比没加的要更安全的。况且微软 2fa 你可以设置无密码登录,也就不存在密码泄露这个说法了,只要做好 2fa 的备份,完全没任何问题。
weazord
2023-12-05 05:48:55 +08:00
@msg7086 现在 BitLocker 默认都是开着的,OP 应该担心的是 Windows 用户被别人登录,那种情况下 BitLocker 防不住的
totoro625
2023-12-05 09:19:36 +08:00
1. 任何软件都可以轻易盗取你的 Chrome 内保存的密码
非常不安全
2. 你打开 edge 浏览器,看看你 Chrome 内的密码在不在

3. 安全设计人员考虑的比一般人多得多,不用考虑你自己比他们强
如果你的恢复密钥泄露了,你的密码应该也泄露了
你要解决的是泄露的事情,而不是担心密码安全了
建议的做法是把恢复密钥打印出来,夹在一本书里,而不是保存在电脑里
恢复密钥是最后的保障
Dukec
2023-12-05 09:21:53 +08:00
Microsoft Authenticator 存 2FA 有一定风险,这个 APP 的逻辑有些问题。建议换成其他 2FA 工具,而且鸡蛋别放在一个篮子里面就行了。
tool2d
2023-12-05 09:44:05 +08:00
@totoro625 Chrome 密码逻辑设计不对,应该把 masterkey 保存到云上的,就和 metamask 一样,那样本地就完全没办法盗取密码。

保存到本地,是为了节省服务器资源? google 服务器那么多,搞不懂。
forvvvv123
2023-12-05 10:24:14 +08:00
重要的,我一般弄个复杂密码,然后写纸上
codehz
2023-12-05 18:28:39 +08:00
@tool2d 主要问题是不能让用户打开浏览器就输入一次密码,这个体验会劝退大多数人
zuotun
2023-12-05 23:28:59 +08:00
使用自建或者第三方密码管理器, 我用 Bitwarden 一个快捷键自动填充账号密码, 密码长度取决于网站上限.
对于 2FA 再用另一个软件负责管理, 对于管理员密码这种高危密码我在长度上能够保证不会想去手打一遍.
duke807
2023-12-06 10:18:28 +08:00
@NnMmOo

完全可以只记一个复杂密码,即邮箱密码

然后,所有其它网络服务都应该免密码登录

免密码登录的方法是:发送一条验证登录的邮件,点击邮件中的链接即可完成登录
(登录一次可以保持一段时间,譬如一小时、一天、一周、一个月等)
NnMmOo
2023-12-06 14:22:02 +08:00
@duke807 又不是所有账号都支持,你这个完全属于是理想方案
reg66sun
2023-12-06 16:52:41 +08:00
1.用第三方密码管理工具,比如 1Passward 或 Bitwarden 。设定一个主密码即可。如果电脑丢失或被别人使用,不知道你的住密码同样无法获取你的其他密码。

2.恢复密钥放密码管理器里,还担心的话就用自己才能看懂的加密方式写(比如所有字母递进一位之类)。

3.同上。实在担心就买个带指纹的 passkey ,丢了也不怕。
duke807
2023-12-06 18:47:34 +08:00
@NnMmOo 我是说,这些大厂可以按照我说的方法来增加安全,而不是强迫用户用 2FA

至于这些大厂为何不用我说的这种方案,因为它们又蠢又坏
NnMmOo
2023-12-06 22:35:01 +08:00
@duke807 性价比
NnMmOo
2023-12-06 22:35:31 +08:00
@duke807 公司的本质是为赚钱而不是将你的体验放在第一位
uuhhme
2023-12-14 07:57:25 +08:00
推荐 ente auth ,界面美观,ios 和 Android 可以云同步,可以导出二维码,完美!
poteken
280 天前
@Dukec 是的,之前使用该软件存储 2fa ,误删后无法恢复,一个密码软件没有垃圾桶

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/997640

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX