V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xytdj
V2EX  ›  程序员

也说个人密码保存

  •  
  •   xytdj · 2019-06-06 23:50:18 +08:00 · 5829 次点击
    这是一个创建于 1990 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天看到很多同学上车免费的 1Password
    也有人提出这个服务粘性很强,1 年后就只能续费了

    于是分享一个我常用的密码生成方式,一般不用通过专门的软件保存,也不会忘记
    这个方法就是:

    1、用户名用同一个;

    2、密码按照类似这样的规格生成: 固定的 3~5 位字母 + 网站域名

    例如我习惯用我的第一个笔记本的品牌 ibm
    所以 V2 上的密码就是 ibmv2ex
    豆瓣上的密码就是 ibmdouban
    以此类推
    只要你的固定部分自己不忘、也不告知别人,则密码每个网站都不同、也不需要特别记忆
    第 1 条附言  ·  2019-06-07 15:19:36 +08:00
    1、改密码的问题: 我现在的办公环境,也是要求改密码且不能和上次相同的。一般我的做法是连续改 3 次,前 2 次在原密码后面加数字 1 或 2,第三次改回原密码。1 分钟就搞定了。

    2、看到一个就能发现规律泄露别的的问题: 这里只是列举一个思路,并不是你只能这么做。有很多办法解决这个问题,只要你脑洞够大 —— 例如我一般用的方法就是差位法: 固定 ibm,变化网站域名 v2ex,则密码为 ivb2mex。

    3、在强调一下,只是提供一个思路,不抬杠。
    51 条回复    2019-06-13 10:50:08 +08:00
    tankren
        1
    tankren  
       2019-06-06 23:59:55 +08:00
    差不多,我是前面几位是网站或者服务的代号,后面是常用的密码,只有 Google 密码是超长超复杂的。
    way2create
        2
    way2create  
       2019-06-07 01:15:42 +08:00
    我不是记不住密码,web 的基本都就浏览器保存了,也下了 enpass,,最近经常操作服务器和某些浏览器外的软件切来切去输入密码烦了,不想老输入密码,想复制...不过输入主密码也挺烦的。。。主密码设置的太简单或者完全不锁定又感觉 B 死强迫症。。其实我就想要个方便复制的,不知道有没有更好的选择
    widewing
        3
    widewing  
       2019-06-07 01:19:15 +08:00 via Android
    泄漏一个等于全泄漏
    cnfczn
        4
    cnfczn  
       2019-06-07 01:21:51 +08:00
    哈哈,我也感觉 1password 在钓鱼,这玩意迁移成本有多大真不了解.

    如题主所说有点小问题,比如某个公司业务比较多,如 google , youtube,之类的.帐号体系相同,有可能需要个别记忆.

    mark 下,看大家的密码策略.
    duskdandelion
        5
    duskdandelion  
       2019-06-07 01:24:54 +08:00
    类似这种方法设置了密码用了几年,还是随机密码+填充最实在
    version
        6
    version  
       2019-06-07 01:27:25 +08:00
    是的.在这基础上.加些点大小写..然后数字..例如 2019 然后就是按 shift+2019 就是特殊字符.还有很多.或者键盘移位置输入 .一般破解都是批量碰撞.所以这种简单.好用.
    claysec
        7
    claysec  
       2019-06-07 01:32:26 +08:00 via iPhone
    @cnfczn 钓鱼到不会吧。重要的东西别放进去就是了
    CEBBCAT
        8
    CEBBCAT  
       2019-06-07 01:33:10 +08:00 via Android   ❤️ 1
    @widewing 撞库的多,没人琢磨你是什么规则
    jinliming2
        9
    jinliming2  
       2019-06-07 01:35:39 +08:00 via iPhone   ❤️ 1
    @widewing 除非专门针对你,不然一般都是批量撞库,不会去猜你的规则的。
    foru17
        10
    foru17  
       2019-06-07 02:11:37 +08:00   ❤️ 2
    我现在是自己写了一个 Telegram 的机器人,
    会自动根据识别网址、关键字,生成指定位数的 hash 值 ,最终生成的密码:
    {base code} + { hash } 的组合方式,Base code 就是自己记的,后面 4-5 位 hash 每次要登录直接查询一下就好了。
    楼主分享的这种,如果别人看到你几个密码,还是能分析出规则的。
    ruxuan1306
        11
    ruxuan1306  
       2019-06-07 02:18:15 +08:00
    多账号比较麻烦,并且一旦改密码,就得增加记忆特殊规则。

    事实上,密码管理软件主要方便在,可以自动填充。
    pkookp8
        12
    pkookp8  
       2019-06-07 03:03:32 +08:00 via Android
    记一个公式,记密码修改日期
    写个简单的算法,明文记日期呗。算法+日期生成密码
    Humorce
        13
    Humorce  
       2019-06-07 03:05:27 +08:00
    这样不是比记录到 txt 里面还明显?

    特征太明显
    Perry
        14
    Perry  
       2019-06-07 03:08:25 +08:00 via iPhone
    用 1Password 就是图个省事,几百个账号每次都要手动输入还要加上域名我自己是不愿意的
    说下车难的基本是没试过 export 功能
    tomato1111
        15
    tomato1111  
       2019-06-07 04:42:41 +08:00   ❤️ 4
    楼主说的这种办法我也用了很久。 使用中有两个问题:
    1.修改密码后,新规则如何记忆
    2.能对抗撞库,但无法对抗社工
    第一个问题比较常见,非常烦

    现在我完全用 lastpass 的生成密码了,没有自动填充宁愿麻烦一点复制过来
    DravenJohnson
        16
    DravenJohnson  
       2019-06-07 05:02:01 +08:00
    其实这样并不好,但也算一个办法
    比如有某个数据库泄漏,很明显能看到是一个 字母数字组合 + 网站名。
    那么这样可以按照这种组合去暴力破解
    loading
        17
    loading  
       2019-06-07 05:21:04 +08:00 via Android
    keepass 又不用钱,楼主试一下再说别的吧。
    您说的这种方式这里用密码管理器的基本都已经用过的。
    ShadyK
        18
    ShadyK  
       2019-06-07 05:23:02 +08:00 via iPhone
    你是没遇到那种 90 天必须改一次密码,还不能和之前的一样的办公环境。据说是上市公司安全审计要求的,搞不太清楚。
    msg7086
        19
    msg7086  
       2019-06-07 05:58:09 +08:00
    你就说要你改密码的时候怎么办吧。
    maxco292
        20
    maxco292  
       2019-06-07 06:55:33 +08:00 via Android
    hash 一下都比这样强,而且现在网站这么多,万一哪个网站被爆库,特征越明显的密码越是进一步挖掘的对象
    Greenm
        21
    Greenm  
       2019-06-07 08:29:53 +08:00 via iPhone
    存在的问题楼上也有人提到了,我说说其他的问题。
    重要账号的 recovery code 如何记忆?如 github,gmail 这样的给你一堆随机字母;
    软件授权 license 如何记忆?
    还有其他乱七八糟的,如安全问题,复杂的压缩密码等等。
    Jirajine
        22
    Jirajine  
       2019-06-07 08:39:40 +08:00 via Android
    用户名同一个也很危险好吧。
    用户名和密码都应该随机生成
    oneisall8955
        23
    oneisall8955  
       2019-06-07 08:48:51 +08:00 via Android
    @widewing 泄漏一个主要是泄漏给人才可怕,可以推理出来,但是泄漏给撞库的就不会泄露全部吧
    roustar31
        24
    roustar31  
       2019-06-07 09:28:21 +08:00
    keepass 这种开源免费的不行吗?
    什么?浏览器自动填充?官方网站上的扩展和插件都是看的吗?
    什么?嫌麻烦?
    hzfyjgw
        25
    hzfyjgw  
       2019-06-07 09:34:37 +08:00 via Android
    telegram bot 怎么实现的 @foru17
    botian
        26
    botian  
       2019-06-07 10:20:00 +08:00 via Android
    @ShadyK 我上一家公司就是,60 天密码自动过期,需要立刻去修改密码,如果一定时间内没改,老密码自动作废,然后你就登陆不上了,需要行政联系公司安全部门重置。
    foru17
        27
    foru17  
       2019-06-07 10:40:22 +08:00
    @hzfyjgw 自己用 node 写的,一百行不到代码就搞定啦,用上 aes 之类的加密,生成唯一 hash 就好,不做储存。
    gzzchh
        28
    gzzchh  
       2019-06-07 10:56:23 +08:00 via Android
    @roustar31 说的对,真要保护好隐私就不能嫌麻烦,应该选择开源软件
    2exploring
        29
    2exploring  
       2019-06-07 11:07:45 +08:00
    我用 pass,然后存 github 上,linux 上直接能用浏览器插件很方便,win 就用 qtpass。android 有 passwordstore,完美。
    Sapp
        30
    Sapp  
       2019-06-07 11:30:39 +08:00
    @widewing 这个玩意其实就是防止撞库。如果别人特意想搞你,你用密码库也不一定好使,比如被熟悉的人猜出来了主密码
    darmau
        31
    darmau  
       2019-06-07 11:38:11 +08:00 via iPhone
    @Perry 都以为外国产品也跟中国产品一样不能导出注销非要把你留在自己产品墙内
    trafficMGR
        32
    trafficMGR  
       2019-06-07 11:45:46 +08:00 via Android
    借楼问用 chrome 存密码可以吗
    txwd
        33
    txwd  
       2019-06-07 12:24:32 +08:00
    一两密通行,暂时没翻过车,所以没想过那些有的没的
    xiaochen3
        34
    xiaochen3  
       2019-06-07 12:31:30 +08:00
    @Sapp emmm,我的主密码是随机的,被我背下来了。一般猜不出。除非被记录键盘 copy 到。。。
    rus4db
        35
    rus4db  
       2019-06-07 14:34:46 +08:00
    钥匙链:本地存储,多份备份,绝不上网,纸质备份。→keepass
    账号安全性分级:
    核心账号(依赖众多,或价值较高,丢失代价无法承受):超长全随机密码+两步验证+官方密保全开
    一般账号(比较重要,但丢失代价可承受):规则构造,但注意避免字典和社工
    次要账号(丢了也无所谓):同一密码
    AlexEcho
        36
    AlexEcho  
       2019-06-07 14:40:24 +08:00
    「只能续费」啧啧啧,亏得各位还是从业者。
    Admstor
        37
    Admstor  
       2019-06-07 15:15:43 +08:00
    不想花钱就 keepass
    哪有你这么折腾了
    而且楼主的方法折腾半天安全性还没随机密码高,有什么意义呢
    dmql
        38
    dmql  
       2019-06-07 15:43:30 +08:00
    一个人能记住的规则就那么几种,总有一些并不重要的网站(账户丢了都无所谓)非要你搞个贼复杂的规则密码,导致我进这些网站每次都要找回重设密码(我复杂的规则密码都用在有价值的网站上)
    比如你豆瓣密码可以设置为 ibmdouban,上 p 站你人家要你有数字有大小写,说不定有的网站还要你有特殊字符你只能设成 ibmpixiv_1,等好几天重新登录结果规则给忘了又要重新找回
    换了 1password,不说找密码方不方便,用户名都不用担心忘记(有的网站还有小号)
    dingyaguang117
        39
    dingyaguang117  
       2019-06-07 15:47:32 +08:00
    好了 LZ,我知道你密码了
    KiseXu
        40
    KiseXu  
       2019-06-07 17:55:34 +08:00
    Elliota
        41
    Elliota  
       2019-06-07 18:14:35 +08:00
    简单,设置几个变量,比如年份,当前网站类型之类的。最后在加几个特殊关键字。关键字定期换一次,其他的变量也跟着换。
    我一般一年换一次
    hyyou2010
        42
    hyyou2010  
       2019-06-07 18:22:53 +08:00
    我跟楼主基本类似。
    只要密码分级了就不难:1,涉及金钱的或非常重要的,2,一般的,3,随便的
    hyyou2010
        43
    hyyou2010  
       2019-06-07 18:25:51 +08:00
    看了一下,似乎多数人都差不多:按自己的习惯规则构造密码

    没有用过 1Password,好奇一下,要是这软件出个故障怎么办?
    feelinglucky
        44
    feelinglucky  
       2019-06-07 18:57:40 +08:00
    个人用随机密码,然后自动填充 https://github.com/mingcheng/genpasswd.go
    OeuJyi
        45
    OeuJyi  
       2019-06-07 19:39:01 +08:00 via iPhone
    找个本子记下来多做几个备份🤪
    parametrix
        46
    parametrix  
       2019-06-07 19:40:07 +08:00
    按规则生成密码,也建议用工具,比如 https://lesspass.com/

    这个不联网,强度高,可以自定义强度和字符集,还可以通过计数器更新密码。

    我个人还是喜欢 1Password :)
    crella
        47
    crella  
       2019-06-08 11:49:22 +08:00 via Android
    水平太差,你们就不会内容提供商->英文名->26 个字母转 t9 键盘->三角函数变换 吗,最后把英文名和三角函数变换结果取八位小数合起来就可以了。可以几个函数一起用,比如 sin cos log 等等等等,当然 sin 用弧度制……
    shuson
        48
    shuson  
       2019-06-08 13:11:50 +08:00
    @foru17 我记得你这个头像,昨天还看了你和嫂子的 real x 开箱视频,没想到 v 站也有你
    foru17
        49
    foru17  
       2019-06-08 15:14:39 +08:00
    @shuson 我应该都是好老的用户了。
    songteng0604
        50
    songteng0604  
       2019-06-08 22:09:41 +08:00
    我用 Bitwarden,有 iOS 和 Windows10 版
    whan
        51
    whan  
       2019-06-13 10:50:08 +08:00
    推荐免费的 keepass 啊,各个平台都有,关键是免费的。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1919 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 16:26 · PVG 00:26 · LAX 08:26 · JFK 11:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.