V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hzqim
V2EX  ›  问与答

看见大家都谈论购买软件来保管密码,真有必要吗?

  •  
  •   hzqim · 2014-12-26 08:45:08 +08:00 · 8306 次点击
    这是一个创建于 3615 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我知道,用同样的用户名和密码注册各论坛、网站安全性很低,于是我的方案是:

    1、用域名注册个免费的企业邮箱,设置不存在的邮寄地址转发到一个地址上,这样不同的网站用不同的邮件来注册。

    2、登陆密码通过自己定义的规则从网站域名生成,满足:
    1)大小写英文字母
    2)包含数字
    3)八位以上
    4)包含特殊符号

    这样我的网站就是用户名相同也相当安全了吧?
    现在已知缺点:有些网站不支持特殊符号,如虾米,12306.

    请指点不足,谢谢!
    78 条回复    2014-12-27 22:51:36 +08:00
    sigar
        1
    sigar  
       2014-12-26 08:53:52 +08:00   ❤️ 1
    我和LZ的思路相同,从网站域名生成
    不过邮箱,不知道怎么处理?“设置不存在的邮寄地址转发到一个地址上”
    是泛解析吗? *@domain.com forward to [email protected]这种?
    我用QQ邮局,是我没发现,还是不不支持?
    wadezhao
        2
    wadezhao  
       2014-12-26 08:56:28 +08:00 via Android   ❤️ 1
    没听懂你的方案…………

    第一点总之你是要有域名的不是?域名不也要有成本么?

    第二点你是用一种固定的密码生成方案来生成密码,那么总之你要记住这种方案不是?因为没看懂,所以不知道你如何确保每个密码都足够复杂、互不一样而你又能很容易记住


    想各个网站密码不一样,又有足够的强度,肯定是用专门的软件来生成和记录最好,你无非是觉得不需要花钱,那么免费的也很多。我就用keepass,免费的,通过https访问加了复杂密码的webdav存储空间(box.com支持,免费,不翻墙)可以让电脑和手机访问同一个文件,达到内容同步。webdav的密码极其复杂,因为反正只输入一次,下次连接会自动保存;keepass文件相对容易记录一点,便于每次打开。

    我赶脚我这个方案才是完美(^_^)
    ideacco
        3
    ideacco  
       2014-12-26 09:04:17 +08:00   ❤️ 1
    我用lastpass.com,效果跟楼上一样。关键是省事儿,每次不同的网站生成不同的PS,不用记。还支持硬件锁YubiKey 和谷歌双重验证等机制。
    rshun
        4
    rshun  
       2014-12-26 09:08:11 +08:00   ❤️ 1
    我现在的密码方案就是和LZ第二条完全一样,自己动手写了个小程序来实现,唯一不方便的是有两点,第一个是像12306不支持特殊字符,没办法,第二点,像支付宝或者银联这些网站,密码不能直接粘贴,只能手输
    wadezhao
        5
    wadezhao  
       2014-12-26 09:09:35 +08:00   ❤️ 1
    @ideacco lastpass的免费版不能“无限和手机同步”不知道是啥意思?

    其实我只需要一个支持PC和手机同步,完全免费的密码管理软件。
    lekai63
        6
    lekai63  
       2014-12-26 09:13:01 +08:00   ❤️ 1
    通过网站域名 估计大家都想到这条。
    我是 六位固定数字@域名 的方式。另大多数不要紧的网站使用同一个密码。
    多数情况下没问题。就是架不住个别网站(比如12306这种)不支持特殊字符。个别网站(比如苹果)要求必须有大写(我的密码方案里没设置大写)。于是这类网站多了后就既不清楚。。。
    最后就在24号前参加alfred的活动买了1password...其实挺方便的0.0~~ 41.99美金Mac+win。ios么是免费的喏~
    adeweb
        7
    adeweb  
       2014-12-26 09:13:22 +08:00   ❤️ 1
    花密(flowerpassword),不用存密码。
    wy315700
        8
    wy315700  
       2014-12-26 09:16:06 +08:00   ❤️ 1
    27美元买的1P,

    个人认为,保存的密码完全超过这个价值了
    chztv
        9
    chztv  
       2014-12-26 09:18:42 +08:00   ❤️ 1
    其实我觉得比密码更重要的是个人信息,软件除了存密码,还可以存图片、文字信息等(比如身份证照片、驾照、银行卡信息等等),虽然这些功能其他软件或者方法也能实现,但1P之类的可以实时同步到所有设备,我觉得生命短暂,花钱不折腾(一个广告语,呵呵)。
    tanyuxiang
        10
    tanyuxiang  
       2014-12-26 09:21:21 +08:00   ❤️ 1
    其实如果全部能qq登陆就好了。
    Havee
        11
    Havee  
       2014-12-26 09:22:03 +08:00   ❤️ 1
    很多人现在用 base64生成密码,殊不知,只有有规律,就存在破解的可能
    随即生成则很难破解,但随即声称的不好记忆,于是用软件来对付
    ideacco
        12
    ideacco  
       2014-12-26 09:25:53 +08:00   ❤️ 1
    @wadezhao 要收费。没说免费哦
    66beta
        13
    66beta  
       2014-12-26 09:28:48 +08:00   ❤️ 1
    keepass免费的
    你密码就算100W位长,只要对方是明文存储又有什么用呢
    v4an
        14
    v4an  
       2014-12-26 09:33:01 +08:00   ❤️ 1
    @66beta LZ的意思是每个网站生成不同的密码用password软件来保存,就算一个是明文并且泄露了也少了被撞库的可能性。
    wadezhao
        15
    wadezhao  
       2014-12-26 09:35:29 +08:00   ❤️ 1
    @ideacco 哦,收费的服务就太多了~~~
    riaqn
        16
    riaqn  
       2014-12-26 09:40:13 +08:00   ❤️ 1
    @sigar 楼主的意思是,对于v2ex注册用 [email protected]
    然后在smtp服务器上设置凡是不存在的邮箱,均转发到 [email protected]
    然后你只要查收 [email protected] 的邮件就行了.
    cattyhouse
        17
    cattyhouse  
       2014-12-26 09:40:17 +08:00 via iPhone   ❤️ 1
    楼主的意思是用不同的邮箱做用户名,但全部用同一个密码去注册。

    楼主说话真是啰嗦无比还不能说清楚。太费劲了。
    hzqim
        18
    hzqim  
    OP
       2014-12-26 09:42:31 +08:00
    @sigar 企业邮箱支持把不存在的邮件地址发到指定的邮件地址,比如 [email protected][email protected] 不存在,[email protected]存在且被设置为接受其他不存在的邮件地址,那么发往 mail1 和 mail2 的邮件就会被 mail 接收。
    @wadezhao 自己本来就有域名用来架设博客,所有就当域名利用最大化了。
    cattyhouse
        19
    cattyhouse  
       2014-12-26 09:49:50 +08:00 via iPhone   ❤️ 1
    我的做法是用同一个邮箱注册,密码用iCloud key chain自动生成。反正我的设备只有iPhone和Macbook Air,完美解决。
    kl0o
        20
    kl0o  
       2014-12-26 09:52:59 +08:00   ❤️ 1
    向来同一个邮箱注册,不同密码组合
    akeyz
        21
    akeyz  
       2014-12-26 09:55:13 +08:00   ❤️ 1
    仁者见仁,智者见智吧
    youtoshell
        22
    youtoshell  
       2014-12-26 09:56:54 +08:00   ❤️ 1
    @wadezhao lastpass 移动app 收费。每月1美元。但是手机端访问 lastpass mobile web页面免费,不过不是很方便。
    可以定期把lastpass导入到keepass中,把keepass放在网盘里面同步。android端建议使用 keepass2andrid。
    devon
        23
    devon  
       2014-12-26 09:59:09 +08:00   ❤️ 1
    一个软件就搞定的事情,要自己费这么多脑细胞多累。计算机能干的事情,绝不让人干。
    flyee
        24
    flyee  
       2014-12-26 09:59:28 +08:00   ❤️ 1
    现在也在用第二种方法生成密码,但问题是,如果要改密码该怎么办??于是就需要一列生成函数,你还需要记住每个网站是用的第几个?
    lekai63
        25
    lekai63  
       2014-12-26 09:59:58 +08:00   ❤️ 1
    @cattyhouse 那么当你偶尔需要在别人的电脑上,比如win上输入密码该咋整?
    mortal
        26
    mortal  
       2014-12-26 10:00:24 +08:00   ❤️ 1
    第一条思路值得借鉴。

    第二条我也是这样的思路,自己写了个脚本生成密码,而不是靠 1Password 生成(与此同时,密码我仍然选择保存在 1Password 里面)。代价是安全性比随机生成的有一点点降低,但其实不差这点,而可记性大大提高。
    glasslion
        27
    glasslion  
       2014-12-26 10:05:26 +08:00   ❤️ 1
    我以前也是这样,直到遇上了heartbleed这种大规模杀伤性武器, 改密码太不方便了
    akaayy
        28
    akaayy  
       2014-12-26 10:06:25 +08:00   ❤️ 1
    我想问大家,用了密码管理软件。当我要登录网站或者邮箱的时候,我还是要打开密码软件来复制密码,然后再粘贴到密码框,是吗?

    感觉这样很麻烦啊。另外,像楼上说到的有的不让粘贴密码的时候怎么办?

    @楼上全部人马
    Glisten
        29
    Glisten  
       2014-12-26 10:06:27 +08:00 via Android   ❤️ 1
    @hzqim 有什么免费企业邮箱支持把不存在的邮件地址发到指定的邮件地址吗?
    cattyhouse
        30
    cattyhouse  
       2014-12-26 10:07:23 +08:00 via iPhone   ❤️ 2
    @lekai63 打开iphone,进入设置-safari-保存的用户名密码,就能看到密码了。同样登陆某些App,也这么做。不谢。
    riotor
        31
    riotor  
       2014-12-26 10:18:25 +08:00 via Android   ❤️ 1
    @mortal 你的思路和我不谋而合!😊😃😃
    hzqim
        32
    hzqim  
    OP
       2014-12-26 10:18:31 +08:00
    ll0xff
        33
    ll0xff  
       2014-12-26 10:36:46 +08:00   ❤️ 1
    我生成随机密码,但是自己记不住。所以还是需要一个靠谱的软件来存下来。
    haisua
        34
    haisua  
       2014-12-26 10:38:21 +08:00   ❤️ 1
    我用lastpass生成随机密码,然后以前喜欢用同个ID注册帐号,后来没有这个习惯了,基本上新注册一个服务就换一个ID。
    xbug
        35
    xbug  
       2014-12-26 10:51:29 +08:00   ❤️ 1
    密码长一些即可,不需要特殊符号。
    alexyangjie
        36
    alexyangjie  
       2014-12-26 10:58:13 +08:00   ❤️ 1
    通过域名加规则的方法生成密码,只要规则不变,黑客知道了你一个密码,其他密码也能通过推导得出。只有生成完全随机的密码才行。
    happydanye
        37
    happydanye  
       2014-12-26 11:09:34 +08:00   ❤️ 1
    1、用keepass生成密码,keepass密码复杂度高,用脑子记住,不出现在任何其他地方
    2、用坚果云保存keepass数据库文件,可以多个设备同步
    RitzoneX
        38
    RitzoneX  
       2014-12-26 11:10:39 +08:00   ❤️ 1
    @akaayy 有浏览器插件的,一键搞定
    @haisua 想id也挺麻烦
    rockr
        39
    rockr  
       2014-12-26 11:25:42 +08:00   ❤️ 1
    基本上用lastpass和1p搞定这事儿
    1p前阵子刚入了
    PC端以前都是用lastpass,结果移动端这个要付费,没买
    前两天lastpass莫名送了2个月premium...
    lifechan
        40
    lifechan  
       2014-12-26 11:47:00 +08:00   ❤️ 1
    买的诺顿杀毒有密码保管箱功能
    hamsik2046
        41
    hamsik2046  
       2014-12-26 11:48:54 +08:00   ❤️ 1
    自己写了个password管理软件在用
    anubu
        42
    anubu  
       2014-12-26 11:55:17 +08:00   ❤️ 1
    楼主提供了一个新思路,以前都没想到。
    我以前用的就是 基本密码+注册网站 的方式,应该能防止简单的程序撞库,但是要人来看的话,一看就明白了,很顺利应该就能猜到其他网站的密码。从1234v2ex推导出1234qq很容易的说。
    现在可以加上楼主的方法了,应该能稍微好点,虽然从[email protected]推导出[email protected]也很容易。。。。。。
    所以说上面的方法其实是一个道理的,优点是好记且能防一般的程序撞库,当然稍微设计下程序的话也是防不住,缺点是防不住针对性的攻击者。
    昨天想了下,还是这种 基本密码+注册网站的算法太简单了,可以稍微提高点,比如1v2ex34,123064,这样的。主要还是基本密码选型和自创一个简单算法,其实不在密码里体现注册网站信息且好记的最好,暂时没想到。
    说这么多,前提还是弄好密码分级,一级账户就是核心的,其实也没几个,费费脑子死记住就可以了。其他级别的账户,自己没事瞎琢磨琢磨或者直接上软件。
    tangzx
        43
    tangzx  
       2014-12-26 12:07:57 +08:00 via iPhone   ❤️ 1
    也用lastpass,如果遇到不能复制,就分两种

    1. 低敏感性账户,如微博,家里路由器,其他设备等,用简单的,方便输入的,可以分享给朋友的密码
    2. 高敏感性且来自可信任公司的账户,如支付宝,谷歌,lastpass本身,用复杂,可记录,不能泄漏的密码
    3. 高敏感性但来自不可信任公司的账户,如QQ, 一些购物网站,还是用lastpass随机生成的密码,输入时自己用键盘再手动输入,并且尽量不使用这些服务
    nanotoybox
        44
    nanotoybox  
       2014-12-26 12:10:16 +08:00   ❤️ 1
    根据域名自己定个哈希规则就好了,每个网站都不一样的密码,不怕丢。
    lecher
        45
    lecher  
       2014-12-26 12:19:41 +08:00   ❤️ 1
    说是这么说,谁能保证lastpass不会被拖库?
    sony这种常年和黑客对抗的,也吃了亏。再往前,linode的信用卡问题。
    黑客可不是只会爆库拖库而已,直接入侵上层的服务商去窃取资料的事情也不少了。
    我觉得楼主的方式再做一次sha1或者md5,就已经和lastpass的安全系数差不多了,不会被撞库,没有任何记录,每次都要自己生成。
    没有永远的安全,付费只是省了自己的时间,实际上安全系数差不多。
    lsmgeb89
        46
    lsmgeb89  
       2014-12-26 12:21:00 +08:00   ❤️ 1
    看你 PC 端 + 移动端的组合了:
    iOS + Mac 用 1Password
    Windows + Android,用 LastPass

    像我这种懒人就 LastPass,任何记忆对我来说都是一种负担,每站一个密码,轻松。
    而且 LastPass 在 Android 上开启服务太爽了,简直任何程序的用户名和密码都可以自动填,佛挡杀佛,神挡杀神。
    DennyDai
        47
    DennyDai  
       2014-12-26 12:30:03 +08:00   ❤️ 1
    @sigar QQ企业邮箱的话进 [管理邮箱] —— [工具箱] —— [邮件转移]
    xmvagrant
        48
    xmvagrant  
       2014-12-26 12:39:27 +08:00   ❤️ 1
    @haisua “新注册一个服务就换一个ID”,这么多ID你是怎么记的?
    dallaslu
        49
    dallaslu  
       2014-12-26 12:44:50 +08:00   ❤️ 1
    @66beta 这样的话,泄露出的文件大小可能是现在的几万倍!
    wjfz
        50
    wjfz  
       2014-12-26 12:45:25 +08:00   ❤️ 1
    抄的小纸条
    BGLL
        51
    BGLL  
       2014-12-26 12:54:11 +08:00   ❤️ 1
    我的方法密码一部分根据服务\网站名决定,这样每个账号密码就不同了,泄露了还知道从哪个网站漏的
    比如根据键盘按键的排列,每个字符对应键盘下一个按键:QWER对对应ASDF,1234对应QWER,ZXCV对应ASDF

    v2ex的密码
    fwds10201020

    QQ的密码
    aa10201020

    github的密码
    bkgnjg10201020
    BGLL
        52
    BGLL  
       2014-12-26 12:56:30 +08:00   ❤️ 1
    把密码集中存放在一个软件\服务里感觉很不放心
    以前有人把不小心密码软件删了,又没备份数据,然后.....
    Crossin
        53
    Crossin  
       2014-12-26 13:10:18 +08:00   ❤️ 1
    小纸条+人肉转义
    windirt
        54
    windirt  
       2014-12-26 13:29:15 +08:00   ❤️ 1
    lastpass记忆各网站普通密码, 高级密码(gmail, livemail, alipay, lastpass)用sunyanzi的在线密码生成器,自己的网站留存了一份,所有能开google两步验证的网站都开了,两步验证恢复码存为QRCODE打印后物理保存
    haisua
        55
    haisua  
       2014-12-26 13:40:26 +08:00   ❤️ 1
    @xmvagrant 都有lastpass自动填充登录啊,我记ID干嘛哈哈哈~
    ahtsiu
        56
    ahtsiu  
       2014-12-26 14:42:12 +08:00   ❤️ 1
    软件还是不够靠谱,我决定做个小硬件,用USB-HID 做个键盘就行了。hackaday 上面有个mooltipass,也是这个路子。
    Luzifer
        57
    Luzifer  
       2014-12-26 15:03:55 +08:00   ❤️ 1
    用户名:
    v2ex
    [email protected]
    twitter
    [email protected]
    都转发到[email protected]

    密码:
    大小写数字下划线, 一般都支持 (不支持特殊符号的一般支持下划线)
    v2ex
    ChangYongMiMa_v2ex_911
    twitter
    ChangYongMiMa_twitter_911
    lekai63
        58
    lekai63  
       2014-12-26 15:14:44 +08:00   ❤️ 1
    @cattyhouse 感谢!学习了!
    peartail
        59
    peartail  
       2014-12-26 16:58:00 +08:00   ❤️ 1
    必须有必要。

    只要几百元,不仅能极大提升自己各种在线帐户的安全性,还能给自己节省下无数时间。

    什么值得买?这个就值得买!
    calon
        60
    calon  
       2014-12-26 17:32:14 +08:00   ❤️ 1
    1、把服务分等级:
    a. 最重要的服务:能够开二次验证的统统开二次验证,lastpass 这种都不能完全保险;
    b. 重要的服务:采用后面说的密码生成方式,可以由 lastpass 等管理,如果登录时支持复制粘贴也可以临时生成,除非你怕复制后内存数据泄露;
    c. 一般的服务:采用一般的可记忆的密码,由 lastpass 等管理。

    最怕就是一些重要的服务,偏偏还限制使用一些特殊字符或密码位长……

    2、复杂密码生成方式:
    使用散列函数计算工具,网页版、桌面端、手机端到处都有,自己写个脚本几行也可以搞定;
    比随机生成密码好的地方在于,万一没有 lastpass 这样的工具时,只要能够联网,或有本地散列计算程序,很快可以自己算出来。

    可以当散列函数用的选择有很多,mdx、sha-x、crc、tiger、panama……,连电驴都有自己的散列值函数;
    自己设一个源值规则,比如用户名、服务名、邮箱地址、服务 URL 地址、特殊含义字符等的固定组合;
    计算散列值得到密码串——不过这还防不住对比散列值的暴力破解。
    如果不放心,可以再加特殊字符;
    或者用特殊字符或用户名、服务名等做盐,再次计算散列值;
    如果定期更换密码,比如每年、每个季度一次,也可以用 2014、winter 或自定义词组等字符串做盐,再次计算散列值,就算忘记上次是什么时候更换的密码,只要规则不乱,自己尝试重算也不会花很久时间。

    3、简单的密码生成方式:
    这个选择就更多了,不多说。
    Showfom
        61
    Showfom  
       2014-12-26 17:44:11 +08:00 via iPhone   ❤️ 1
    @lekai63 你可以域名第一个字符大写 还有个坏处 可能这么做会超过某些网站16个密码字符的限制
    reeco
        62
    reeco  
       2014-12-26 18:27:02 +08:00   ❤️ 1
    没必要,十几个密码还是能轻松记住的
    Sharuru
        63
    Sharuru  
       2014-12-26 18:35:31 +08:00   ❤️ 1
    =.= 我用Chrome的表单填充, 用密码软件自动生成的太麻烦了, 有时候去别人电脑登陆或者手机上应急用用的时候还要从密码库里找出来.
    我的方式就是根据不同服务人肉生成一组密码...规则自己的, 怎么都不会忘记.
    pirex
        64
    pirex  
       2014-12-26 18:51:15 +08:00   ❤️ 1
    用的1password,很方便啊 自动填充什么的。
    缺陷是为了传递密码我还专门造了burn.tips ...
    bbvps
        65
    bbvps  
       2014-12-26 23:04:46 +08:00   ❤️ 2
    @Luzifer 再hash一下就更完美了
    GhostFlying
        66
    GhostFlying  
       2014-12-26 23:10:28 +08:00   ❤️ 1
    @peartail 1p 也不完美,Linux 只读硬伤


    @Showfom 我以前是碰到需要大写的第一个字母大写,但是干多了会造成不记得哪些网站第一个大写了。。然后碰到 12306 这种奇葩的特殊字符只能下划线的。。自己生成还有个如果明文外泄了,即便不考虑其它网站,怎么改那个网站的密码都很蛋疼,虽然我现在基本都靠两步验证骗自己无视这种风险
    SharkIng
        67
    SharkIng  
       2014-12-26 23:14:03 +08:00   ❤️ 1
    我觉得很有必要,因为每个网站最好不要重复密码避免泄露
    sigar
        68
    sigar  
       2014-12-26 23:47:45 +08:00   ❤️ 1
    @DennyDai 我是用QQ域名邮箱,貌似和企业邮箱不一样,没有这个功能
    DennyDai
        69
    DennyDai  
       2014-12-27 00:06:21 +08:00   ❤️ 1
    @sigar 用企业邮箱呗,免费200个用户,每个用户2G空间
    DreaMQ
        70
    DreaMQ  
       2014-12-27 00:17:46 +08:00   ❤️ 1
    邮箱设置Catch-All就行了,只有一个用户即可
    DreaMQ
        71
    DreaMQ  
       2014-12-27 00:18:12 +08:00   ❤️ 1
    然后各种订阅、广告邮件方便直接封杀
    ys0290
        72
    ys0290  
       2014-12-27 00:23:40 +08:00   ❤️ 1
    我是密码分级,论坛一类无关紧要的就一类简单密码,邮箱一类的相对复杂,跟钱相关的用户名都是相对独立的密码更复杂的密保措施更全的级别,也就那么多重要账号,刚好练练脑子防止生锈,虽然也用QQ域名邮箱,只不过是怕用免费邮箱再遇到中国雅虎之流
    peartail
        73
    peartail  
       2014-12-27 00:31:05 +08:00   ❤️ 1
    @GhostFlying

    我不需要1p完美。
    GhostFlying
        74
    GhostFlying  
       2014-12-27 00:38:34 +08:00   ❤️ 1
    @peartail 全平台用户表示需要,所以 1p 是我第一个排除的。。
    peartail
        75
    peartail  
       2014-12-27 00:46:55 +08:00   ❤️ 1
    @GhostFlying 强烈支持。
    bluu
        76
    bluu  
       2014-12-27 00:52:00 +08:00   ❤️ 1
    密码这种高度保密的东西,你们也敢用别人的在线服务?
    就不说服务商窃取,有漏洞就全丢了。
    找个脱机离线的存放,定期备份才是最安全的。比如keepass
    sigar
        77
    sigar  
       2014-12-27 21:24:12 +08:00   ❤️ 1
    @DennyDai 感觉域名邮箱方便,直接绑定QQ。以前弄过google域名邮箱,都没用给荒废了,就不打算折腾了
    DennyDai
        78
    DennyDai  
       2014-12-27 22:51:36 +08:00   ❤️ 1
    @sigar 企业可以绑定微信和qq
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1354 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:42 · PVG 01:42 · LAX 09:42 · JFK 12:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.