V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CatCode
V2EX  ›  信息安全

密码管理器 vs 密码规则?如何选择

  •  1
     
  •   CatCode · 2021-01-07 11:20:46 +08:00 · 6649 次点击
    这是一个创建于 1440 天前的主题,其中的信息可能已经有所发展或是发生改变。

    <del>可能这算是月经贴吧</del>

    目前我使用的依然是密码规则(重要的、支持两步认证的网站都开启了两步认证),在考虑要不要使用密码管理器(依然不会关闭已开启的两步认证)。但有点儿犯难。

    密码规则:某个固定的口令+网站的名称,通过一种只有自己知道的、容易操作的变换方式得到密码 密码管理器:例如 1password,keepass,bitwarden 等密码管理软件

    我使用密码规则的原因:

    1. 重要的账号有两步认证把关(也导致可以很长时间不改密码),而且密码规则也是相对复杂的一种。不重要的网站就随便了。
    2. 密码规则比较容易记住。长期使用了之后基本上不会忘记。(丢失风险小)(密码管理软件的主密码泄露或者数据库丢失损坏就很惨了)

    打算切换密码管理器的原因:

    1. 更改密码方便:因为不需要考虑新密码和原有的密码规则。(包括某些时候需要用改一个临时密码,把账号给别人操作一下,如 steam 代购)
    2. 可以用更高熵的密码,复杂密码也能“一键”输入,提高使用体验。
    3. 大多数密码管理器还能记录一些别的信息,比如密保问题。

    但是还是有一些顾虑:

    1. 担心主密码泄露
    2. 担心密码数据库损坏
    3. 担心密码管理器的服务商被土啬了,同步体验极差

    还有一些其他问题希望各位解答:

    1. 密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面?
    2. 硬盘加密(例如 Windows Bitlocker )的恢复密钥要不要放到密码管理器里?
    3. 如果密码管理器提供了两步验证码的生成功能(类似于 Google Authenticator\Authy 等),应该使用它的还是使用一个第三方的(目前用的是开源的 Tofu )?
    第 1 条附言  ·  2021-01-07 15:21:03 +08:00
    看了一下大家的回复 感觉密码管理器更有“前途”
    使用 bitwarden 之类的开源的工具自建的呼声也挺高 但考虑了一下 vps 的成本还是有点儿高
    可能我会更倾向于 bitwarden 官方的付费版吧

    至于重要密码,在考虑要不要定期(用自己的打印机)打印一份纸质版放到屋里的某本书里面夹着。
    46 条回复    2021-01-08 11:11:50 +08:00
    XINHL
        1
    XINHL  
       2021-01-07 11:34:56 +08:00
    keepass 一次搞个 20 个 key 然后其中选一个,密码用 sha3-512(常用密码+key)生成做密码,放在 OneDrive,隔一段时间直接 rar+10%恢复数据压缩备份丢到百度网盘和 google 云盘,估计不会真的有人把你 20 个 key+128 位的密码暴力破解出来
    Jirajine
        2
    Jirajine  
       2021-01-07 11:38:32 +08:00 via Android
    自建+备份
    你用规则,如果别人获得了你多个网站的明文密码,就可能导致泄露全部。
    v2tudnew
        3
    v2tudnew  
       2021-01-07 12:02:48 +08:00
    你还要担心系统是否被监视了,毕竟 win 烂大街的软件都可以截屏,复制剪贴板 😂
    yyfearth
        4
    yyfearth  
       2021-01-07 12:15:29 +08:00
    用随机密码弊端是 如果没办法用密码管理器 你就没办法了
    所以最重要的几个密码 用复杂的规则 自己可以记住的就可以了
    其他密码交给密码管理器就好了
    processzzp
        5
    processzzp  
       2021-01-07 12:21:11 +08:00 via iPhone
    都 2021 年了,快来用密码管理器啦😅
    wolfan
        6
    wolfan  
       2021-01-07 12:33:11 +08:00
    所以,花密 https://flowerpassword.com/ 应该很好用吧。
    wolfan
        7
    wolfan  
       2021-01-07 12:36:15 +08:00
    话说,两个密码走天下,其实也没感觉到啥问题啊。

    重要的账户资产,现在都有多源提示(短信、邮件、通讯工具),所以一但有异常登录也能及时处理。毕竟再强的密码都能攻破,且重要的账户系统自身也会对用户密码进行二次处理,所以为什么还要自己弄一手呐。
    lostberryzz
        8
    lostberryzz  
       2021-01-07 12:38:54 +08:00
    还是密码管理器吧,多备份
    Takuron
        9
    Takuron  
       2021-01-07 12:44:03 +08:00
    两个都在用路过,主要是有些网站要求你强制多少天改一次密码就很烦,这种规则也会搞得很麻烦还是随机密码+管理器舒服。

    规则也建议自己写个前端脚本来用,可以让规则更加多样并且方便计算。
    essethon
        10
    essethon  
       2021-01-07 12:51:14 +08:00   ❤️ 1
    我个人是无脑支持密码管理器,因为我有几百个密码。

    密码规则「容易记住」这是个伪命题,除非你满足一系列苛刻的条件:你的账号很少、95% 的不常用网站密码乃至用户名都忘了你也不在意、各种账号相关的信息(注册时间、密保问题之类的)全忘记你也不在意、你的记忆非常稳定、你的密码规则非常明确易记同时还能满足不同网站的密码要求——有的网站要求必须有特殊符号,有的网站要求不能有特殊符号等等。(最后这一条我感觉直接就是自相矛盾的)

    能满足这些,你可以继续用密码规则。

    当然你对密码管理器的规则也有点道理,如果你实在顾虑可以结合使用。使用一个同步和自动填充体验可能一般的软件,比如 KeePass + Dropbox,记录 95% 不常用网站的用户名密码,以及一些账户恢复信息。平时这个 KeePass 密码库不用频繁打开。最常用的 5% 的大网站,用密码规则记在脑子里就好了。

    (但私心觉得这样还不如直接用 1Password 之类的密码管理器,体验好太多,安全性其实没降低多少。
    chroming
        11
    chroming  
       2021-01-07 13:14:45 +08:00 via iPhone
    自己设计密码规则只能防撞库这种广泛的安全攻击,不容易防特意针对你的攻击,因为规则可能会被猜出来,另外如果你换了网站密码规则,也不能马上用新规则换所有网站密码,这样久而久之就会出现你不记得某个不常用网站是用哪套规则算的密码。

    密码管理器的最大风险就是密码库文件,密码库不同步到开发商服务器+限制本地密码库访问权限能减少风险。

    另外浏览器的记住密码就类似密码管理器了,密码都记录在本地文件里,chrome 似乎还是用系统密码加密这个密码库文件,安全性比一般密码管理软件弱。

    两步验证记在密码管理器里的风险是在本人不知道的情况下密码库泄漏并且被解开时,重要网站就可以直接登陆了,在意这个风险就不要记在里面。
    Crusader
        12
    Crusader  
       2021-01-07 13:16:17 +08:00
    我在用 enpass,密码数据是存在我 nas 本地的
    cmdOptionKana
        13
    cmdOptionKana  
       2021-01-07 13:19:25 +08:00
    密码规则有些缺点:更换密码难,调整长度难。
    proxychains
        14
    proxychains  
       2021-01-07 13:19:46 +08:00
    自建 bitwarden
    Kirie
        15
    Kirie  
       2021-01-07 13:24:46 +08:00
    密码管理器用于次要帐号,密码规则用于主要帐号
    MrOange
        16
    MrOange  
       2021-01-07 13:26:06 +08:00
    这是选择题但不一定是单选题,
    比如重要性低的密码用密码管理器。
    重要性高(支付相关)的密码用密码规则自己记住。
    至于临时密码,可以考虑把密码规则的固定口令改成 1234567 或者生日,之后再改回原密码。
    密保问题可以使用安全性高的邮箱,以邮件方式发送给自己,比如“百度账号密保,你最喜欢的明星,cxk”
    arcadia
        17
    arcadia  
       2021-01-07 13:32:33 +08:00
    高重要密码我用的是 keepass + 坚果云的方案,电脑手机上都可以很方便的自动输入
    不重要的账号会用规则,更不重要的用固定密码
    icesof
        18
    icesof  
       2021-01-07 13:37:39 +08:00
    优先就是,每个网站单独密码

    我的选择:lastpass
    *开启二步验证,密码本地解密,服务器上是加密的,保护好主密钥就好。
    *免费版的功能完全够用,数据自动同步,多设备的福音。
    *插件安装到 chrome 上,登陆省的各种工具来回切换。
    *lastpass 数据中心改到欧洲去。欧洲有 GDPR,隐私更有保护
    75er
        19
    75er  
       2021-01-07 13:54:46 +08:00
    1.老大哥在注视着你 就别扑腾了 乐呵的活他 100 岁就够了
    2.看看自己浑身上下有多少钱 有个鸡儿要加密的
    580a388da131
        20
    580a388da131  
       2021-01-07 14:09:42 +08:00
    规则
    普通人用无序密码大部分情况都只是徒增烦恼
    uncat
        21
    uncat  
       2021-01-07 15:19:41 +08:00
    goyhlol
        22
    goyhlol  
       2021-01-07 15:21:25 +08:00   ❤️ 1
    担心主密码泄露: 可以增加「密钥文件」或实体 key
    担心密码数据库损坏:多点定期备份
    担心密码被墙:自我同步,和墙关系不大,安全比体验重要

    1.密保问题,两步验证的备用访问码等恢复密钥 等都可以放进密码管理器里面
    2.硬盘加密的要不要放:随意
    3.没有听过


    来自一位 keepassXC 的用户,之前写的小文章供参考~https://anoni.sh/keepassXC
    mxT52CRuqR6o5
        23
    mxT52CRuqR6o5  
       2021-01-07 15:27:36 +08:00
    @wolfan 不是说之前某个公司在日志里明文存密码还是其他啥重要隐私来着吗
    你最后落库的方案看上去很安全,但过程可能并不安全
    charseer
        24
    charseer  
       2021-01-07 15:40:59 +08:00
    keepass 还是好啊,不只能在浏览器里自动填充,在客户端软件里也能 auto-type 真是不一样的体验.
    charseer
        25
    charseer  
       2021-01-07 15:43:32 +08:00
    bitwarden 有个很不好的点就是离线无法修改, 这个用之前最好了解下,不然实在是不方便
    Aria2Hank
        26
    Aria2Hank  
       2021-01-07 16:01:31 +08:00
    自建 bitwarden_rs 有几个月了。
    硬件用的是树莓派 zero w + 8g 内存卡( 7*24 小时开机,5v1a 电源即可)
    买了一年最便宜的.top 域名
    每周日手动备份一下数据库
    还是比较香的
    silencht
        27
    silencht  
       2021-01-07 16:27:26 +08:00
    enpass+坚果云路过
    willxiang
        28
    willxiang  
       2021-01-07 16:43:23 +08:00
    enpass+坚果云(免费版)路过 +1,四舍五入等于不要钱。
    PickMio
        29
    PickMio  
       2021-01-07 16:49:33 +08:00
    Keepass + 坚果 webdav + 脚本每天备份数据库到硬盘, 问题应该不大
    azkaban
        30
    azkaban  
       2021-01-07 17:19:27 +08:00
    keepass+坚果云,n 端同步,去网吧上 sbeam 都能把密码 copy 下来
    cjq8z
        31
    cjq8z  
       2021-01-07 17:27:02 +08:00 via Android
    小孩才做选择题,密码管理器和密码规则本来就不冲突
    inhd
        32
    inhd  
       2021-01-07 17:54:29 +08:00
    看了楼上有几位朋友是 Enpass+坚果云,想问下在 iCloud 和坚果云之间,坚果云安全性如何?
    imn1
        33
    imn1  
       2021-01-07 17:59:31 +08:00
    如果你在大白天看到一个人,拿个手电筒对着一张白纸照的,那个就是我,🐶
    我把一些不常用的简单密码,用“隐写笔”写到记事本上,那记事本上乱七八糟啥都写,用蓝光可见中间记下的一些数字,但也仅仅是提示,不会记下完整的数字密码,其他人看到是个“手机号”吧,差不多这个意思(规则我这里就不透露了)
    这些密码通常是数字,没办法用规则,也不能记在软件……最头痛就是这类密码

    不涉及手机号的,各种资源、信息站点的账密,32 位,一站一密,没法记,我扔进浏览器就算了,密码工具只做备份,不调用,没啥要紧的

    涉及个人信息的,我有个程序“算”,每次用主密码+参数算出来,不记在密码工具,只备份这个程序

    2FA/TOTP 之类用另一个工具,和存放密码的地方分开,放在一起那不叫 2FA,只是 1FA

    恢复码是权限最高的,也要单独分开

    除了前面说的放浏览器的那些,我现在基本脱离云端保存密码了,仅使用本地
    Anarchy
        34
    Anarchy  
       2021-01-07 18:11:14 +08:00 via Android
    大部分密码管理器,重要的依赖二步验证了
    littlewing
        35
    littlewing  
       2021-01-07 18:13:56 +08:00
    重要的单独设置,其他所有的都一样
    xiangyuecn
        36
    xiangyuecn  
       2021-01-07 18:17:34 +08:00
    围观一下高级玩家的做法

    xiangbohua
        37
    xiangbohua  
       2021-01-07 20:54:11 +08:00
    Apple 的 KeyChain 。非常好用
    Chobits
        38
    Chobits  
       2021-01-07 21:15:48 +08:00
    只相信自己能掌握的,所以用 KeePass,同步用坚果云。14 位的主密码,AES-256 密钥,如果要再提升,就上 U 盘+密码文件。

    以前用过 LassPass,还是不放心。
    way2create
        39
    way2create  
       2021-01-07 22:33:17 +08:00
    我 win10 商店装的 enpass 突然就用不了了 存的也不是啥重要密码就没去深究了
    flexbug
        40
    flexbug  
       2021-01-07 22:38:39 +08:00 via Android
    我用 bitwarden 官方,一年 10 刀,2fa 也都有
    taogen
        41
    taogen  
       2021-01-07 22:42:11 +08:00 via Android
    @xiangyuecn #36
    不明觉厉
    ashiamd
        42
    ashiamd  
       2021-01-07 22:44:52 +08:00
    一直用的 keepass+服务器自搭 syncthing,实现手机-电脑之间的密码数据同步。
    Lemeng
        43
    Lemeng  
       2021-01-07 22:46:45 +08:00
    重要的自己保存,一般的交给 lastpass
    PinLock
        44
    PinLock  
       2021-01-07 22:51:04 +08:00
    论坛账户:论坛邮箱,随机密码,LastPass 扩展保存; </br>
    游戏账户:游戏邮箱,规则密码,Enpass 只记规则; </br>
    金融账户:一个账户一个邮箱,规则主密码,规则支付密码,Enpass 只记主密码,支付密码大脑记; </br>
    </br>
    </br>
    总的来说,非常重要的但是无规则用纸记,非常重要有规则的用大脑记,比较重要的有规则的用 Enpass 记规则,一般重要用 Enpass 记随机密码,无所谓只考虑便利的用 LastPass 记。
    totoro625
        45
    totoro625  
       2021-01-08 09:52:21 +08:00
    @inhd 32# Enpass+坚果云走的是 webdav,主要是方便同步,icloud 的话除非都是 Apple 全家桶,不然 Win10 下使用体验很蛋疼的
    Apple 的 KeyChain 我曾经碰到过 bug,所用密码都恢复不了,也没有本地备份文件,客服让我抹掉数据重新来过
    LassPass 的同步服务器一度拉胯,同步体验极差,久而久之就不用了
    自建 bitwarden_rs 主要需要注意的是服务器别折腾炸了
    1password 基本上每年感恩节送 10 个月,剩下两个月冻结账户 /或者付费就好了,官方同步服务也很好用,就一直用下来了

    同样做了账户分级:

    个人 /小公司账户 /不常用的小号:随机密码,因为安全性无保障,做好信息泄露的心理准备
    阿里巴巴 /腾讯 /Apple/Google/Microsoft/密码管理器 主账户:超长规则密码,因为可能要频繁输入,有两步验证能保护
    锁屏 /金融级别账户:6 位数字,用的多个前女友 /前基友生日组合规则,既能牢记生日,又能减少信息相关性

    最后点名批评腾讯 qqWin10 版本不支持密码填充,腾讯微信不支持密码登录
    leekafai
        46
    leekafai  
       2021-01-08 11:11:50 +08:00
    密码规则管理器
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3429 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:43 · PVG 19:43 · LAX 03:43 · JFK 06:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.