V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
smilzman
V2EX  ›  信息安全

推荐一下自己用的密码管理方案

  •  
  •   smilzman · 2019-10-16 11:06:46 +08:00 · 16701 次点击
    这是一个创建于 1864 天前的主题,其中的信息可能已经有所发展或是发生改变。

    所有网站密码都一样

    一开始所有网站的密码都是一样的,但是期间发生了一件事,爱奇艺密码泄露了,于是花了一天修改了所有网站的密码,这酸爽谁试谁知道。

    这里要吐槽下爱奇艺,早些年只要开通会员,账号百分百被别人异地登录,甚至被修改手机号,我一直觉得是内部搞的鬼...

    密码分级

    经历爱奇艺事件后,心想不能把鸡蛋放在一个篮子里,于是把密码分成 2 部分:基础密码+密码扩展字符,并根据账号 zhong,比如:

    • 第一级支付类:Qwer.1234/!
    • 第二级微信、qq 等:Qwer.1234
    • 第三级一般网站:Qwer1234

    password-generator+Enpass

    预览.png

    这样也有一个坏处,qq 等不能黏贴的,每次要手动输入真的是愁人啊,要是各位大佬有什么更好的方式,可以在下面回复哦。

    102 条回复    2019-11-03 17:00:58 +08:00
    1  2  
    kai2ex
        1
    kai2ex  
       2019-10-16 11:16:08 +08:00   ❤️ 4
    先说下你的头像怎么回事
    lllllliu
        2
    lllllliu  
       2019-10-16 11:16:20 +08:00
    桌面端的搞个按键精灵之类的,按热键自动输入?
    移动端 不晓得,
    网页有自动填充,
    doveyoung
        3
    doveyoung  
       2019-10-16 11:17:29 +08:00
    想用 1pass
    但是有点贵。。
    lj394139
        4
    lj394139  
       2019-10-16 11:19:06 +08:00
    和你的方案差不多,然后特别小的站或者临时的用 google 生成并保存同步,为什么感觉很少人用 google 密码管理
    sundev
        5
    sundev  
       2019-10-16 11:20:28 +08:00
    有个 奇密 的 ios app,实现了一个键盘,思路挺不错的,任何地方都能输入。
    smilzman
        6
    smilzman  
    OP
       2019-10-16 11:23:19 +08:00
    @lj394139 特别小的站
    smilzman
        7
    smilzman  
    OP
       2019-10-16 11:24:03 +08:00
    @kai2ex #1 又想骗暗号,我是不会上当的。
    smilzman
        8
    smilzman  
    OP
       2019-10-16 11:24:34 +08:00
    @lllllliu #2 这个可以一试。
    smilzman
        9
    smilzman  
    OP
       2019-10-16 11:25:26 +08:00
    @doveyoung #3 是啊,我也是因为 1pass 贵才用的 Enpass。
    alphadog619
        10
    alphadog619  
       2019-10-16 11:25:26 +08:00
    lastpass 更新后连简体中文都没了
    smilzman
        11
    smilzman  
    OP
       2019-10-16 11:26:15 +08:00
    @sundev #5 还有这东西,我去看看哈。
    toptyloo
        12
    toptyloo  
       2019-10-16 11:27:32 +08:00 via Android   ❤️ 1
    我用 bitwarden
    Davic1
        13
    Davic1  
       2019-10-16 11:27:54 +08:00
    用 1Password 生成密码.
    稍微重要的加个二次验证
    很重要的, 靠脑子
    Atukey
        14
    Atukey  
       2019-10-16 11:27:57 +08:00
    http://ss.acat.vip/
    [img]https://s2.ax1x.com/2019/10/16/KiJ9kn.jpg[/img]
    Suvigotimor
        15
    Suvigotimor  
       2019-10-16 11:27:59 +08:00
    不是,先开个上午车呗,开车助于活跃血液流动,减少困乏
    marktao99
        16
    marktao99  
       2019-10-16 11:39:17 +08:00
    苹果全家桶的话,直接用苹果家的密码管理系统就好啊
    跨平台就 1Password
    jasonyang9
        17
    jasonyang9  
       2019-10-16 11:40:01 +08:00
    如果没记错的话,头像是蜜桃成熟时
    x86
        18
    x86  
       2019-10-16 11:40:56 +08:00
    看着跟花密差不多
    benedict00
        19
    benedict00  
       2019-10-16 11:42:42 +08:00 via Android   ❤️ 1
    bitwarden 挺好用
    berumotto
        20
    berumotto  
       2019-10-16 12:03:43 +08:00
    avatar!gkd!gkd!
    DesertCamel
        21
    DesertCamel  
       2019-10-16 12:05:41 +08:00 via Android
    安卓用 账号本子,免费,但不能自动填充。
    moonlitlaputa
        22
    moonlitlaputa  
       2019-10-16 12:07:29 +08:00 via Android   ❤️ 1
    为什么不用 bitwarden 呢?
    ershierdu
        23
    ershierdu  
       2019-10-16 12:09:10 +08:00
    借楼问一下 1password 之类的密码管理的正确用法是啥?我感觉每次用都要输主密码很麻烦,经常是把它的弹窗叉掉,直接用 Chrome 的填充……
    yylzcom
        24
    yylzcom  
       2019-10-16 12:17:00 +08:00 via Android
    Keepass 在安卓和 Windows,Linux 桌面下体验都不错。自己解决同步问题
    Hyseen
        25
    Hyseen  
       2019-10-16 12:22:58 +08:00 via iPhone
    @ershierdu #23 Touch ID 啊🤣
    ershierdu
        26
    ershierdu  
       2019-10-16 12:34:19 +08:00
    @Hyseen #25
    MacBook 可以用指纹解锁吗?
    我是 PC,甚至没有这个硬件……
    loading
        27
    loading  
       2019-10-16 12:36:24 +08:00 via Android
    别扯这些没用的,不如一起提升 keepadd
    darlinghsu
        28
    darlinghsu  
       2019-10-16 13:16:38 +08:00
    用的 1password (官网)一年免费试用中

    以后可以和信得过的人开 家庭版 反正账号独立 但是便宜多了
    ansonsiva
        29
    ansonsiva  
       2019-10-16 13:25:21 +08:00 via iPhone
    @moonlitlaputa 因为丑🤣
    pocketmiddle
        30
    pocketmiddle  
       2019-10-16 13:28:06 +08:00 via iPhone
    1password 可以跟别人组家庭版,账号都是独立管理的。我的车还有一个位子,有需要的也可以私信我。
    cmdOptionKana
        31
    cmdOptionKana  
       2019-10-16 13:33:07 +08:00 via iPhone
    @ershierdu 方便与安全不可兼得。每个人追求的安全程度不一样。浏览器记忆密码的安全性稍差一些。
    zhucegeqiu
        32
    zhucegeqiu  
       2019-10-16 13:34:16 +08:00
    docker 自建 bitwardern,用了半年了,非常满意
    anguiao
        33
    anguiao  
       2019-10-16 13:35:56 +08:00 via Android
    @ershierdu Chrome 不关就只需要输第一次啊
    Kahnn
        34
    Kahnn  
       2019-10-16 13:35:57 +08:00 via Android
    我的和你类似,分成了一般、重要、工作三类,一般网站使用花密生成密码 Chrome 同步,重要资金类使用 keepass 保存,工作类因为需要在公司电脑登陆单独使用 bitwarden 同步。像 QQ、微信、Google 这种我一般都使用相同密码,因为有短信验证或两步验证保证安全
    lovedebug
        35
    lovedebug  
       2019-10-16 13:36:42 +08:00
    safeincloud + webdav 很香
    passerbytiny
        36
    passerbytiny  
       2019-10-16 13:43:11 +08:00
    你这个好麻烦。Keepass+Onedrive (或者其他同步工具)就够了,
    lewis04
        37
    lewis04  
       2019-10-16 13:46:42 +08:00
    直接手机自带备忘录
    loshine1992
        38
    loshine1992  
       2019-10-16 13:59:17 +08:00
    Keepass 不香么。。

    Keepass 的密码生成方案不够强大么。。
    bjzhush
        39
    bjzhush  
       2019-10-16 14:04:52 +08:00
    @loshine1992 Keepass + 1 Linux+Mac+IOS+Mac 都在用,手机上是通过 Dropbox 同步文件的,总体是 git 管理然后上传的
    不知道你的多端同步怎么做的 ?
    lyh404
        40
    lyh404  
       2019-10-16 14:05:46 +08:00
    从 1password 换到 bitwarden 又换到 lastpass。。。
    hmd191012
        41
    hmd191012  
       2019-10-16 14:16:53 +08:00
    我自己的方式,首先我会有个自己定义的数字,比如 12345,然后很多规则必须包含大写、小写、数字、特殊符号,例如 Alipay,所以我采用的方式,比如我名字缩写:hmd,可能我的就变成了 Hmd12345Alipay,这样保证都不同,就算有一个需要了,修改下顺序或者更换关键字就行。
    UncleCat01
        42
    UncleCat01  
       2019-10-16 14:17:01 +08:00   ❤️ 1
    @ershierdu 可以用 Windows Hello,买个 USB 的指纹就可以,上阿里巴巴有几十块的不过两个起批一直没买。
    https://support.1password.com/windows-hello/
    hmd191012
        43
    hmd191012  
       2019-10-16 14:19:55 +08:00
    我的天,注册未满 14 天还不让发,我删了好多关键字。
    反正规则就是:某几个特定的字母+某几个特定的数字+改帐号是哪儿的帐号
    当然,要是开心的话,中间还可以用特定的连接符:@#!¥%&*
    Lentin
        44
    Lentin  
       2019-10-16 14:21:10 +08:00 via iPhone
    @loshine1992 keepass 软件体验极差,该能到没什么硬伤
    pyfan
        45
    pyfan  
       2019-10-16 14:22:54 +08:00
    0.o0o.00o00.o00.0o
    KiseXu
        46
    KiseXu  
       2019-10-16 14:28:35 +08:00   ❤️ 1
    Yuicon
        47
    Yuicon  
       2019-10-16 14:30:00 +08:00
    自己做了个网站存密码
    Frank520
        48
    Frank520  
       2019-10-16 14:34:13 +08:00
    用记事本管理的 有时候忘了就用手机号找回 手机号丢了就全完了
    tankren
        49
    tankren  
       2019-10-16 14:52:49 +08:00
    我都是大脑记密码 只有支付类 私人账号类密码是不一样的 一般的网站什么的都是一样的 用 chrome 或者 Android 自带的 Google 密码管理 Google 账号密码是 18 位大小写数字符号混合。。。
    Leonard
        50
    Leonard  
       2019-10-16 15:01:27 +08:00
    苹果全家桶,直接自动生成并保存密码
    Chieh
        51
    Chieh  
       2019-10-16 15:02:53 +08:00
    keepass+onedrive 除了界面丑没什么缺点
    smilzman
        52
    smilzman  
    OP
       2019-10-16 15:24:31 +08:00
    @jasonyang9 #17 你知道太多了
    smilzman
        53
    smilzman  
    OP
       2019-10-16 15:33:23 +08:00
    @loshine1992 #38 Enpass 有密码自动生成功能,chrome 也有密码自动生成功能,那我为什么要多此一举呢?比如我在网吧需要登录某个网站,这时候我可以打开 password-generator 获取密码,这只是一个备份手段,防止在极端情况下找不到密码,比如保存的密码数据丢失了,比如手机没电了。
    smilzman
        54
    smilzman  
    OP
       2019-10-16 15:40:41 +08:00
    @hmd191012 #43 哈哈,这个我也用过,也是极好的。
    yoshiyuki
        55
    yoshiyuki  
       2019-10-16 15:48:03 +08:00
    @lj394139 有点怕万一访问不到 google 的情况
    pkookp8
        56
    pkookp8  
       2019-10-16 15:56:33 +08:00 via Android
    同样的密码前缀,同样的用户名
    不同的密码后缀
    ericdeng
        57
    ericdeng  
       2019-10-16 15:58:08 +08:00 via Android
    lastpass 够用了,全平台支持
    JustRookie
        58
    JustRookie  
       2019-10-16 16:03:22 +08:00
    口头禅拼音简写+123
    admc
        59
    admc  
       2019-10-16 16:24:48 +08:00
    @lllllliu
    @lj394139
    @anguiao
    三位都提到了谷歌,我也思考过这个问题,但是怎么说呢,之前美帝打击华为的时候一些大企业的操作很让人寒心,还有 git 封杀伊朗开发者事件等、感觉把密码放谷歌那不怎么靠谱呢,目前正好也打算思考一下自己的密码管理策略。
    Dvel
        60
    Dvel  
       2019-10-16 16:27:36 +08:00
    我是把 qq、steam、战网这些需要经常手动输入的设置成一样,几个月更换一次,其他的全部随机 1password。
    gzzchh
        61
    gzzchh  
       2019-10-16 16:31:44 +08:00 via Android
    keepass 系列
    keepassxc 日用+原版进行管理
    涉及隐私的东西肯定要选择开源的啊 所以 1pass 和 last pass 直接排除。
    至于同步?坚果云就好了
    BlBana
        62
    BlBana  
       2019-10-16 16:37:06 +08:00
    我们是 1password 的 10 人车,下来一年 40/人,很稳
    CoCoMcRee
        63
    CoCoMcRee  
       2019-10-16 16:37:23 +08:00
    我自己和题主差不多
    平时就记住 3 个密码, 3 个密码的安全性和使用场景以此分类:

    1 级 用于带有支付功能应用, 比如支付宝,微信,还有 AppStore 等.
    2 级 用于带有个人隐私的应用, 比如邮箱,个大社交平台.
    3 级 用于乱七八糟网站,临时性注册使用, 类似论坛啥的.

    然后自己利用提示词在个人云盘上存一分账号密码文档, 密码只用提示词保存,并确保只有自己看懂的.
    bandian
        64
    bandian  
       2019-10-16 16:46:14 +08:00
    我现在是 keepass + 坚果云,不过说实话,感觉在安全性上不一定比得上 1pass 和 lastpass,毕竟人家是专业的。

    之前也用过一段时间 lastpass,界面比 keepass 好看,但是加载很慢,而且好像只支持带 google service 的 android 手机。遂弃用。
    admc
        65
    admc  
       2019-10-16 16:47:18 +08:00
    给个思路,关于密码生成,楼上也提到口头禅,之前看到一个段子,说 cptbtptp 这种密码怎么来的,其实就是“吃葡萄不吐葡萄皮”的首拼。
    1.那类似这种谚语古诗都可以拿来当做素材,然后加上 QQ、baidu、这些平台的首拼或者全拼,组成小写字母部分
    例如:cjsnyxz //楚江水暖鸭先知
    2.自己记忆一组数字,例如 1245,用来将字母部分中的第 1245 位变为大写字母
    例如:CJsNYxz //1245 位大写
    3.然后可以用注册时间这种非固定的数字当做数字部分
    例如:CJsNYxz191016 //加上日期
    4.然后固定位置加上自己的标识
    例如:CJsNYxz191@admc@016 //输完密码回退 3 格添加 @admc@

    关于记录
    记录还是需要的,小本本上记下 注册时间、平台名就可以了

    整体思路就是用一串易记忆的长的文字首拼+几串短的不好记忆的短字符串+一串有规律的会变化的字符。
    admc
        66
    admc  
       2019-10-16 16:49:38 +08:00
    我始终不相信第三方密码管理软件,密码这种东西最好掌握在自己手上
    klgd
        67
    klgd  
       2019-10-16 16:56:35 +08:00
    @zhucegeqiu #32
    @benedict00 #19
    @moonlitlaputa #22

    借楼问一下,为什么 bitwardern 要去他们网站生成 Installation Id & Key ?
    loshine1992
        68
    loshine1992  
       2019-10-16 16:57:54 +08:00
    @smilzman

    那这样只要你在这个生成器网站泄露一次,你所有的密码都泄露了

    安全和方便不可兼得
    loshine1992
        69
    loshine1992  
       2019-10-16 17:01:33 +08:00
    @bjzhush

    任意网盘管理,用 git 没意义。
    d5
        70
    d5  
       2019-10-16 17:05:49 +08:00
    从 1password 切换到了 enpass,最近 1p 在我这里总是间歇性无法同步,需要开全局,同步速度也不太行。
    所以回到了 enpass+坚果云。
    qcgzxw
        71
    qcgzxw  
       2019-10-16 17:10:49 +08:00
    只有我一个人用的谷歌浏览器自动生成和保存吗???
    ftu
        72
    ftu  
       2019-10-16 17:17:44 +08:00
    无脑 1password,什么密码都靠这货,组了家庭车
    dai640
        73
    dai640  
       2019-10-16 17:17:45 +08:00 via iPhone
    密码管理器首推 keepass,无它,开源,安全审核机制。主要是操作易用性拦倒了一堆用户,其实只要用得好,完全不逊色任何一款密码管器,这得看个人熟练程度,丰富插件+触发器,所向无敌。剩下的是颜值 UI,毕竟这是没有任何盈利来源的开源作品,与商业产品所拥有的专业设计师,肯定是不一样的。次选 Bitwarden。
    lueffy
        74
    lueffy  
       2019-10-16 17:40:16 +08:00
    @kai2ex 什么梗啊不懂
    Awes0me
        75
    Awes0me  
       2019-10-16 17:47:29 +08:00
    @dai640 手机上呢
    haisua
        76
    haisua  
       2019-10-16 18:14:41 +08:00
    用了很多年 lastpass,外加两步验证确保安全
    dai640
        77
    dai640  
       2019-10-16 18:37:16 +08:00   ❤️ 2
    @Awes0me #75 手机有 strongbox,keepassium,这 2 个都是开源的,个人推荐 strongbox,内置各网盘的 api 接口,同步是实时的,而 keepassium 实际上是不含这些接口的,虽然官方文档说的是支持大部分网盘,实则需要通过系统的 “File” APP 来加载第三方网盘 app 里存放的 kdbx 文件,也就是说你必须要在系统上保证有这几个 APP,如 dropbox,onedrive,google drive 等,如果这些 APP 没装,或者是删了,那你是无法同步,事实上就算你装了,它的同步也是很困难的,哪怕你不断下拉刷新,也是无法刷新同步,这个问题已经跟作者反馈过好多次,但是作者坚持同步是没有问题的(在 twitter,reddit,github issues,邮件都提过这个同步的问题,作者不鸟),这 2 个都可以免费使用,有内购,可以先试用对比再选择。
    spirit1431007
        78
    spirit1431007  
       2019-10-16 18:53:30 +08:00 via Android
    keepass xc+坚果云
    zhenzinian
        79
    zhenzinian  
       2019-10-16 19:03:27 +08:00
    pc 上一个 bitwarden 够了

    关键是手机上自动填写好像没什么好办法?手机上复制粘贴忒费劲

    求达人指教
    hengstchon
        80
    hengstchon  
       2019-10-16 19:11:48 +08:00
    @zhenzinian 之前用 keepass,现在转到 Bitwarden,觉得比 keepass 方便好用。电脑端用 chrome 插件,Android 手机也有客户端,可以自动填写密码,什么场景下需要复制粘贴呢?
    youngxu
        81
    youngxu  
       2019-10-16 19:16:53 +08:00 via Android
    1 楼问头像是什么意思?
    aoe2ex
        82
    aoe2ex  
       2019-10-16 19:31:09 +08:00
    lastpass
    Cabana
        83
    Cabana  
       2019-10-16 20:18:10 +08:00 via Android
    Keepass + owncloud
    mageemeng
        84
    mageemeng  
       2019-10-16 20:32:10 +08:00 via iPhone
    最开始 1password + Dropbox、后来用 1password+iCloud
    shingoxray
        85
    shingoxray  
       2019-10-16 21:25:40 +08:00
    KeePass+iCloud,目前 iPhone+Mac+Windows 用的挺好的。
    jqtmviyu
        86
    jqtmviyu  
       2019-10-16 22:12:56 +08:00
    公司办公密码用 bitwarden
    私人账号密码用 keepass
    Awes0me
        87
    Awes0me  
       2019-10-16 22:50:02 +08:00
    @shingoxray 用的都是哪几个客户端呢
    GoTop
        88
    GoTop  
       2019-10-16 23:25:30 +08:00
    我用 lastpass 会不会被鄙视?
    augustpluscn
        89
    augustpluscn  
       2019-10-17 08:32:45 +08:00
    google 自带就很好用呀,能解决 90%的问题.剩下的 10%不用解决.因为那有所有问题都解决的
    695975931
        90
    695975931  
       2019-10-17 08:33:15 +08:00
    lastpass-->bitwarden-->lastpass
    UncleCat01
        91
    UncleCat01  
       2019-10-17 08:48:24 +08:00
    @zhenzinian 谷歌 autofill,国产小米现在带这个框架,别的不知道,一加应该也有
    smilzman
        92
    smilzman  
    OP
       2019-10-17 09:56:54 +08:00
    @augustpluscn #89 google 之前在用,后面基本上用的少了,怕哪一天变成局域网或者 google 停止大中华的服务呢=。=
    lllllliu
        93
    lllllliu  
       2019-10-17 10:01:16 +08:00
    -.-除了谷歌用的最多的,也是最好用的我感激 就是 iCloud 的钥匙串。
    AN3O
        94
    AN3O  
       2019-10-17 10:48:31 +08:00
    @klgd https://hub.docker.com/r/bitwardenrs/server 对配置要求低,无需 Installation Key
    FantasyPupil
        95
    FantasyPupil  
       2019-10-17 11:12:46 +08:00
    KeePass 开源,免费。 可以借助坚果云同步保存。有历史记录 80150348
    klgd
        96
    klgd  
       2019-10-17 15:50:16 +08:00
    @AN3O #94 谢谢,bitwarden_rs 这个看到过,没试,晚上回去了试试
    rbforelle
        97
    rbforelle  
       2019-10-17 19:05:50 +08:00 via Android
    为啥大家不用 keepass ?开源免费,各个平台上的客户端都很好用,密码自动填充啥的都没问题,安全性也更高,自己解决同步问题就好了
    shingoxray
        98
    shingoxray  
       2019-10-17 22:17:02 +08:00
    @Awes0me KeePass for Windows | Strongbox for macOS | KeePassium for iOS
    smilzman
        99
    smilzman  
    OP
       2019-10-18 10:16:19 +08:00
    @rbforelle #97 这个也看过,不用可能因为丑吧。。。
    shansing
        100
    shansing  
       2019-10-18 21:57:29 +08:00
    楼主竟然在代码里投毒!

    因为基于花密做了自己的修改版( https://shansing.com/read/477/ ),我看到楼主也是记忆密码+区分代号的形式(之后也从代码看出借鉴花密的地方),想稍微看看优缺点(其实主要是看缺点的,逃)。花一会儿工夫看懂代码以后,却怎么也调试不出预期结果。费了好几番心思才发现,楼主提供的 .js 和 .min.js 不一致!我调试时用网页加载的 .min.js ,然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。

    然后来说说我的拙见。

    楼主的可选项确实比我的丰富一些:我的沿袭花密,没有让用户决定更多东西。让我感兴趣的是,楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码,原来是使用了可改变的字母表( alphabet 变量)。然后根据 hash hex 每个字符的 ASCII 码,每次累加,索引字母表。初看我觉得这个想法很好,不过越想越觉得不优雅。

    现在讨论 .min.js 那一套,也就是网页上使用的算法;默认设置,即使用标点,字母区分大小写。根据 hash hex 的特性,每个字符只有 16 种可能,加上大小写的指定,有 22 种。那么对应的 ASCII 码也是 22 种可能( 48~57,65~70,97~102 )。由此得出,最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加,也只有 22 种特定分布的步长,也许会造成最终密码中一些字符比另一些更可能出现。话说回来,即使步长是均匀分布的,也会造成类似情况。当然这不是硬伤,只是最终密码没有看上去那么强壮。

    我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值,在我看来这既没必要(除非坚持可变字母表)也增加安全风险,好似篡改了 hash 算法。而密码学最佳实践要求,不要自造加密算法。我想 hash 算法是类似的道理吧。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2909 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 03:01 · PVG 11:01 · LAX 19:01 · JFK 22:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.