这是一个创建于 3622 天前的主题,其中的信息可能已经有所发展或是发生改变。
我知道,用同样的用户名和密码注册各论坛、网站安全性很低,于是我的方案是:
1、用域名注册个免费的企业邮箱,设置不存在的邮寄地址转发到一个地址上,这样不同的网站用不同的邮件来注册。
2、登陆密码通过自己定义的规则从网站域名生成,满足:
1)大小写英文字母
2)包含数字
3)八位以上
4)包含特殊符号
这样我的网站就是用户名相同也相当安全了吧?
现在已知缺点:有些网站不支持特殊符号,如虾米,12306.
请指点不足,谢谢!
1、用域名注册个免费的企业邮箱,设置不存在的邮寄地址转发到一个地址上,这样不同的网站用不同的邮件来注册。
2、登陆密码通过自己定义的规则从网站域名生成,满足:
1)大小写英文字母
2)包含数字
3)八位以上
4)包含特殊符号
这样我的网站就是用户名相同也相当安全了吧?
现在已知缺点:有些网站不支持特殊符号,如虾米,12306.
请指点不足,谢谢!
 |
1
sigar 2014-12-26 08:53:52 +08:00  1
我和LZ的思路相同,从网站域名生成
不过邮箱,不知道怎么处理?“设置不存在的邮寄地址转发到一个地址上” 是泛解析吗? *@domain.com forward to [email protected]这种? 我用QQ邮局,是我没发现,还是不不支持? |
 |
2
wadezhao 2014-12-26 08:56:28 +08:00 via Android 1
没听懂你的方案…………
第一点总之你是要有域名的不是?域名不也要有成本么? 第二点你是用一种固定的密码生成方案来生成密码,那么总之你要记住这种方案不是?因为没看懂,所以不知道你如何确保每个密码都足够复杂、互不一样而你又能很容易记住 想各个网站密码不一样,又有足够的强度,肯定是用专门的软件来生成和记录最好,你无非是觉得不需要花钱,那么免费的也很多。我就用keepass,免费的,通过https访问加了复杂密码的webdav存储空间(box.com支持,免费,不翻墙)可以让电脑和手机访问同一个文件,达到内容同步。webdav的密码极其复杂,因为反正只输入一次,下次连接会自动保存;keepass文件相对容易记录一点,便于每次打开。 我赶脚我这个方案才是完美(^_^) |
 |
3
ideacco 2014-12-26 09:04:17 +08:00 1
我用lastpass.com,效果跟楼上一样。关键是省事儿,每次不同的网站生成不同的PS,不用记。还支持硬件锁YubiKey 和谷歌双重验证等机制。
|
 |
4
rshun 2014-12-26 09:08:11 +08:00 1
我现在的密码方案就是和LZ第二条完全一样,自己动手写了个小程序来实现,唯一不方便的是有两点,第一个是像12306不支持特殊字符,没办法,第二点,像支付宝或者银联这些网站,密码不能直接粘贴,只能手输
|
|
5
wadezhao 2014-12-26 09:09:35 +08:00 1
|
 |
6
lekai63 2014-12-26 09:13:01 +08:00 1
通过网站域名 估计大家都想到这条。
我是 六位固定数字@域名 的方式。另大多数不要紧的网站使用同一个密码。 多数情况下没问题。就是架不住个别网站(比如12306这种)不支持特殊字符。个别网站(比如苹果)要求必须有大写(我的密码方案里没设置大写)。于是这类网站多了后就既不清楚。。。 最后就在24号前参加alfred的活动买了1password...其实挺方便的0.0~~ 41.99美金Mac+win。ios么是免费的喏~ |
 |
7
adeweb 2014-12-26 09:13:22 +08:00 1
花密(flowerpassword),不用存密码。
|
 |
8
wy315700 2014-12-26 09:16:06 +08:00 1
27美元买的1P,
个人认为,保存的密码完全超过这个价值了 |
 |
9
chztv 2014-12-26 09:18:42 +08:00 1
其实我觉得比密码更重要的是个人信息,软件除了存密码,还可以存图片、文字信息等(比如身份证照片、驾照、银行卡信息等等),虽然这些功能其他软件或者方法也能实现,但1P之类的可以实时同步到所有设备,我觉得生命短暂,花钱不折腾(一个广告语,呵呵)。
|
 |
10
tanyuxiang 2014-12-26 09:21:21 +08:00 1
其实如果全部能qq登陆就好了。
|
 |
11
Havee 2014-12-26 09:22:03 +08:00 1
很多人现在用 base64生成密码,殊不知,只有有规律,就存在破解的可能
随即生成则很难破解,但随即声称的不好记忆,于是用软件来对付 |
 |
13
66beta 2014-12-26 09:28:48 +08:00 1
keepass免费的
你密码就算100W位长,只要对方是明文存储又有什么用呢 |
 |
14
v4an 2014-12-26 09:33:01 +08:00 1
@66beta LZ的意思是每个网站生成不同的密码用password软件来保存,就算一个是明文并且泄露了也少了被撞库的可能性。
|
 |
16
riaqn 2014-12-26 09:40:13 +08:00 1
@sigar 楼主的意思是,对于v2ex注册用 [email protected]
然后在smtp服务器上设置凡是不存在的邮箱,均转发到 [email protected] 然后你只要查收 [email protected] 的邮件就行了. |
 |
17
cattyhouse 2014-12-26 09:40:17 +08:00 via iPhone 1
楼主的意思是用不同的邮箱做用户名,但全部用同一个密码去注册。
楼主说话真是啰嗦无比还不能说清楚。太费劲了。 |
 |
18
hzqim OP @sigar 企业邮箱支持把不存在的邮件地址发到指定的邮件地址,比如 [email protected] 和[email protected] 不存在,[email protected]存在且被设置为接受其他不存在的邮件地址,那么发往 mail1 和 mail2 的邮件就会被 mail 接收。
@wadezhao 自己本来就有域名用来架设博客,所有就当域名利用最大化了。 |
|
19
cattyhouse 2014-12-26 09:49:50 +08:00 via iPhone 1
我的做法是用同一个邮箱注册,密码用iCloud key chain自动生成。反正我的设备只有iPhone和Macbook Air,完美解决。
|
 |
20
kl0o 2014-12-26 09:52:59 +08:00 1
向来同一个邮箱注册,不同密码组合
|
 |
21
akeyz 2014-12-26 09:55:13 +08:00 1
仁者见仁,智者见智吧
|
 |
22
youtoshell 2014-12-26 09:56:54 +08:00 1
@wadezhao lastpass 移动app 收费。每月1美元。但是手机端访问 lastpass mobile web页面免费,不过不是很方便。
可以定期把lastpass导入到keepass中,把keepass放在网盘里面同步。android端建议使用 keepass2andrid。 |
 |
23
devon 2014-12-26 09:59:09 +08:00 1
一个软件就搞定的事情,要自己费这么多脑细胞多累。计算机能干的事情,绝不让人干。
|
 |
24
flyee 2014-12-26 09:59:28 +08:00 1
现在也在用第二种方法生成密码,但问题是,如果要改密码该怎么办??于是就需要一列生成函数,你还需要记住每个网站是用的第几个?
|
|
25
lekai63 2014-12-26 09:59:58 +08:00 1
@cattyhouse 那么当你偶尔需要在别人的电脑上,比如win上输入密码该咋整?
|
 |
26
mortal 2014-12-26 10:00:24 +08:00 1
第一条思路值得借鉴。
第二条我也是这样的思路,自己写了个脚本生成密码,而不是靠 1Password 生成(与此同时,密码我仍然选择保存在 1Password 里面)。代价是安全性比随机生成的有一点点降低,但其实不差这点,而可记性大大提高。 |
 |
27
glasslion 2014-12-26 10:05:26 +08:00 1
我以前也是这样,直到遇上了heartbleed这种大规模杀伤性武器, 改密码太不方便了
|
 |
28
akaayy 2014-12-26 10:06:25 +08:00 1
我想问大家,用了密码管理软件。当我要登录网站或者邮箱的时候,我还是要打开密码软件来复制密码,然后再粘贴到密码框,是吗?
感觉这样很麻烦啊。另外,像楼上说到的有的不让粘贴密码的时候怎么办? @楼上全部人马 |
|
30
cattyhouse 2014-12-26 10:07:23 +08:00 via iPhone 2
@lekai63 打开iphone,进入设置-safari-保存的用户名密码,就能看到密码了。同样登陆某些App,也这么做。不谢。
|
|
32
hzqim OP @Glisten qq 域名邮箱 http://exmail.qq.com/
|
 |
33
ll0xff 2014-12-26 10:36:46 +08:00 1
我生成随机密码,但是自己记不住。所以还是需要一个靠谱的软件来存下来。
|
 |
34
haisua 2014-12-26 10:38:21 +08:00 1
我用lastpass生成随机密码,然后以前喜欢用同个ID注册帐号,后来没有这个习惯了,基本上新注册一个服务就换一个ID。
|
 |
35
xbug 2014-12-26 10:51:29 +08:00 1
密码长一些即可,不需要特殊符号。
|
 |
36
alexyangjie 2014-12-26 10:58:13 +08:00 1
通过域名加规则的方法生成密码,只要规则不变,黑客知道了你一个密码,其他密码也能通过推导得出。只有生成完全随机的密码才行。
|
 |
37
happydanye 2014-12-26 11:09:34 +08:00 1
1、用keepass生成密码,keepass密码复杂度高,用脑子记住,不出现在任何其他地方
2、用坚果云保存keepass数据库文件,可以多个设备同步 |
 |
39
rockr 2014-12-26 11:25:42 +08:00 1
基本上用lastpass和1p搞定这事儿
1p前阵子刚入了 PC端以前都是用lastpass,结果移动端这个要付费,没买 前两天lastpass莫名送了2个月premium... |
 |
40
lifechan 2014-12-26 11:47:00 +08:00 1
买的诺顿杀毒有密码保管箱功能
|
 |
41
hamsik2046 2014-12-26 11:48:54 +08:00 1
自己写了个password管理软件在用
|
 |
42
anubu 2014-12-26 11:55:17 +08:00 1
楼主提供了一个新思路,以前都没想到。
我以前用的就是 基本密码+注册网站 的方式,应该能防止简单的程序撞库,但是要人来看的话,一看就明白了,很顺利应该就能猜到其他网站的密码。从1234v2ex推导出1234qq很容易的说。 现在可以加上楼主的方法了,应该能稍微好点,虽然从[email protected]推导出[email protected]也很容易。。。。。。 所以说上面的方法其实是一个道理的,优点是好记且能防一般的程序撞库,当然稍微设计下程序的话也是防不住,缺点是防不住针对性的攻击者。 昨天想了下,还是这种 基本密码+注册网站的算法太简单了,可以稍微提高点,比如1v2ex34,123064,这样的。主要还是基本密码选型和自创一个简单算法,其实不在密码里体现注册网站信息且好记的最好,暂时没想到。 说这么多,前提还是弄好密码分级,一级账户就是核心的,其实也没几个,费费脑子死记住就可以了。其他级别的账户,自己没事瞎琢磨琢磨或者直接上软件。 |
 |
43
tangzx 2014-12-26 12:07:57 +08:00 via iPhone 1
也用lastpass,如果遇到不能复制,就分两种
1. 低敏感性账户,如微博,家里路由器,其他设备等,用简单的,方便输入的,可以分享给朋友的密码 2. 高敏感性且来自可信任公司的账户,如支付宝,谷歌,lastpass本身,用复杂,可记录,不能泄漏的密码 3. 高敏感性但来自不可信任公司的账户,如QQ, 一些购物网站,还是用lastpass随机生成的密码,输入时自己用键盘再手动输入,并且尽量不使用这些服务 |
 |
44
nanotoybox 2014-12-26 12:10:16 +08:00 1
根据域名自己定个哈希规则就好了,每个网站都不一样的密码,不怕丢。
|
 |
45
lecher 2014-12-26 12:19:41 +08:00 1
说是这么说,谁能保证lastpass不会被拖库?
sony这种常年和黑客对抗的,也吃了亏。再往前,linode的信用卡问题。 黑客可不是只会爆库拖库而已,直接入侵上层的服务商去窃取资料的事情也不少了。 我觉得楼主的方式再做一次sha1或者md5,就已经和lastpass的安全系数差不多了,不会被撞库,没有任何记录,每次都要自己生成。 没有永远的安全,付费只是省了自己的时间,实际上安全系数差不多。 |
 |
46
lsmgeb89 2014-12-26 12:21:00 +08:00 1
看你 PC 端 + 移动端的组合了:
iOS + Mac 用 1Password Windows + Android,用 LastPass 像我这种懒人就 LastPass,任何记忆对我来说都是一种负担,每站一个密码,轻松。 而且 LastPass 在 Android 上开启服务太爽了,简直任何程序的用户名和密码都可以自动填,佛挡杀佛,神挡杀神。 |
 |
50
wjfz 2014-12-26 12:45:25 +08:00 1
抄的小纸条
|
 |
51
BGLL 2014-12-26 12:54:11 +08:00 1
我的方法密码一部分根据服务\网站名决定,这样每个账号密码就不同了,泄露了还知道从哪个网站漏的
比如根据键盘按键的排列,每个字符对应键盘下一个按键:QWER对对应ASDF,1234对应QWER,ZXCV对应ASDF v2ex的密码 fwds10201020 QQ的密码 aa10201020 github的密码 bkgnjg10201020 |
|
52
BGLL 2014-12-26 12:56:30 +08:00 1
把密码集中存放在一个软件\服务里感觉很不放心
以前有人把不小心密码软件删了,又没备份数据,然后..... |
 |
53
Crossin 2014-12-26 13:10:18 +08:00 1
小纸条+人肉转义
|
 |
54
windirt 2014-12-26 13:29:15 +08:00 1
lastpass记忆各网站普通密码, 高级密码(gmail, livemail, alipay, lastpass)用sunyanzi的在线密码生成器,自己的网站留存了一份,所有能开google两步验证的网站都开了,两步验证恢复码存为QRCODE打印后物理保存
|
 |
56
ahtsiu 2014-12-26 14:42:12 +08:00 1
软件还是不够靠谱,我决定做个小硬件,用USB-HID 做个键盘就行了。hackaday 上面有个mooltipass,也是这个路子。
|
 |
57
Luzifer 2014-12-26 15:03:55 +08:00 1
用户名:
v2ex [email protected] [email protected] 都转发到[email protected] 密码: 大小写数字下划线, 一般都支持 (不支持特殊符号的一般支持下划线) v2ex ChangYongMiMa_v2ex_911 ChangYongMiMa_twitter_911 |
|
58
lekai63 2014-12-26 15:14:44 +08:00 1
@cattyhouse 感谢!学习了!
|
 |
59
peartail 2014-12-26 16:58:00 +08:00 1
必须有必要。
只要几百元,不仅能极大提升自己各种在线帐户的安全性,还能给自己节省下无数时间。 什么值得买?这个就值得买! |
 |
60
calon 2014-12-26 17:32:14 +08:00 1
1、把服务分等级:
a. 最重要的服务:能够开二次验证的统统开二次验证,lastpass 这种都不能完全保险; b. 重要的服务:采用后面说的密码生成方式,可以由 lastpass 等管理,如果登录时支持复制粘贴也可以临时生成,除非你怕复制后内存数据泄露; c. 一般的服务:采用一般的可记忆的密码,由 lastpass 等管理。 最怕就是一些重要的服务,偏偏还限制使用一些特殊字符或密码位长…… 2、复杂密码生成方式: 使用散列函数计算工具,网页版、桌面端、手机端到处都有,自己写个脚本几行也可以搞定; 比随机生成密码好的地方在于,万一没有 lastpass 这样的工具时,只要能够联网,或有本地散列计算程序,很快可以自己算出来。 可以当散列函数用的选择有很多,mdx、sha-x、crc、tiger、panama……,连电驴都有自己的散列值函数; 自己设一个源值规则,比如用户名、服务名、邮箱地址、服务 URL 地址、特殊含义字符等的固定组合; 计算散列值得到密码串——不过这还防不住对比散列值的暴力破解。 如果不放心,可以再加特殊字符; 或者用特殊字符或用户名、服务名等做盐,再次计算散列值; 如果定期更换密码,比如每年、每个季度一次,也可以用 2014、winter 或自定义词组等字符串做盐,再次计算散列值,就算忘记上次是什么时候更换的密码,只要规则不乱,自己尝试重算也不会花很久时间。 3、简单的密码生成方式: 这个选择就更多了,不多说。 |
 |
61
Showfom 2014-12-26 17:44:11 +08:00 via iPhone 1
@lekai63 你可以域名第一个字符大写 还有个坏处 可能这么做会超过某些网站16个密码字符的限制
|
 |
62
reeco 2014-12-26 18:27:02 +08:00 1
没必要,十几个密码还是能轻松记住的
|
 |
63
Sharuru 2014-12-26 18:35:31 +08:00 1
=.= 我用Chrome的表单填充, 用密码软件自动生成的太麻烦了, 有时候去别人电脑登陆或者手机上应急用用的时候还要从密码库里找出来.
我的方式就是根据不同服务人肉生成一组密码...规则自己的, 怎么都不会忘记. |
 |
64
pirex 2014-12-26 18:51:15 +08:00 1
用的1password,很方便啊 自动填充什么的。
缺陷是为了传递密码我还专门造了burn.tips ... |
 |
66
GhostFlying 2014-12-26 23:10:28 +08:00 1
|
 |
67
SharkIng 2014-12-26 23:14:03 +08:00 1
我觉得很有必要,因为每个网站最好不要重复密码避免泄露
|
 |
70
DreaMQ 2014-12-27 00:17:46 +08:00 1
邮箱设置Catch-All就行了,只有一个用户即可
|
|
71
DreaMQ 2014-12-27 00:18:12 +08:00 1
然后各种订阅、广告邮件方便直接封杀
|
 |
72
ys0290 2014-12-27 00:23:40 +08:00 1
我是密码分级,论坛一类无关紧要的就一类简单密码,邮箱一类的相对复杂,跟钱相关的用户名都是相对独立的密码更复杂的密保措施更全的级别,也就那么多重要账号,刚好练练脑子防止生锈,虽然也用QQ域名邮箱,只不过是怕用免费邮箱再遇到中国雅虎之流
|
|
73
peartail 2014-12-27 00:31:05 +08:00 1
|
|
74
GhostFlying 2014-12-27 00:38:34 +08:00 1
@peartail 全平台用户表示需要,所以 1p 是我第一个排除的。。
|
|
75
peartail 2014-12-27 00:46:55 +08:00 1
@GhostFlying 强烈支持。
|
 |
76
bluu 2014-12-27 00:52:00 +08:00 1
密码这种高度保密的东西,你们也敢用别人的在线服务?
就不说服务商窃取,有漏洞就全丢了。 找个脱机离线的存放,定期备份才是最安全的。比如keepass |
Select Language