V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
q534
V2EX  ›  信息安全

讨论:为什么现在存个人文件/密码这么复杂?

  •  
  •   q534 · 359 天前 · 4798 次点击
    这是一个创建于 359 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前情提要:

    被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( https://www.v2ex.com/t/989278

    我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( https://www.v2ex.com/t/989309


    现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。

    个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。

    个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((

    欢迎大家随便聊聊
    q534
        1
    q534  
    OP
       359 天前
    是否,信息安全专家们正在朝着奇怪的方向狂奔?
    caomu
        2
    caomu  
       359 天前 via Android   ❤️ 1
    也有另一种可能,小白用户完全不折腾这些,就随手保存随手删。像我家人从来不说手机储存小了,因为他们时不时就会删旧照片啥的,操作逻辑与数码相机/功能手机时代比较接近。所以厂商的思路也是隐藏细节。像我们这种懂一点,但又没有充足的时间精力去折腾个彻底的,就会去各种操作然后触发 bug ,相当于志愿测试员了。
    testonly
        3
    testonly  
       359 天前   ❤️ 3
    我在你连接里那楼回复过了。
    密码只需要靠问题和邮箱能拿回的年代我从没丢过账号密码,至今也没被 HACK 过账号,但自从那些狗平台搞一大堆安全东西后,就在我密码,问题,邮箱都对情况下,以怀疑我不是我为理由将我的不活跃账号一个一个拿走,根本这些狗平台就是在害人。
    而且现在还已经用手机号代替邮箱,根本有手机号情况下,最多能短时 HACK 掉你账号,想长期拿走根本就没可能。
    billlee
        4
    billlee  
       359 天前 via Android
    都是 trade off, 像以前那样不加密就会出现冠希哥那样的事故
    manasheep
        5
    manasheep  
       359 天前   ❤️ 3
    我一直建议程序员自己写个不可逆的密码算法,只记住一个主密码,然后主密码+应用名作为参数传入函数(比如“abc123”+“微软”),生成密码,这样你每个平台的密码都是不一样的,而且主密码是不在任何场合出现的,算法是只有你自己有且不可逆的,就完全不担心泄露。
    PS:如果希望单独平台泄露后修改为新密码,可以考虑再加一个版本号作为参数,比如:“abc123”+“163.com”+“v3”
    shyangs
        6
    shyangs  
       359 天前
    v2ex 註冊根本沒有門檻,用戶不一定是程式設計師.

    就算是程式設計師,如果不是科班的,可能也沒修過密碼學、資安.
    3willashepherd
        7
    3willashepherd  
       359 天前   ❤️ 1
    本地机械硬盘冷存储吧,我就是这么干的,数据在自己手里才是安全的,定期检查硬盘状态,2 块及以上硬盘异地放置(没条件放在不一样的地方就行),信网盘不如信我是秦始皇.
    q534
        8
    q534  
    OP
       359 天前
    @manasheep 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效
    tool2d
        9
    tool2d  
       359 天前
    其实不复杂,我 2fa 密钥我都是明文保存到自己代码库里,代码库有多个备份,一般来说不会丢。

    网站要登录的话,马上算一下出结果就是了。
    q534
        10
    q534  
    OP
       359 天前
    @shyangs 比大部分 c 端用户了解的要多!但可能正是因为半懂不懂,才更容易出问题😂,甚至比普通用户更可怕
    shinsekai
        11
    shinsekai  
       359 天前
    主要是同步这个词太复杂。同步操作,还是同步结果?
    manasheep
        12
    manasheep  
       359 天前
    @manasheep 基于这个算法,你还可以轻松地帮家人或公司管理密码,只要用不同的主密码,就对应了不同的用户。
    bugmakerxs
        13
    bugmakerxs  
       359 天前
    日常密码不正确,找回密码重新输入密码时提示“不能用曾经使用过的密码”

    然后我就自建 bitwarden 了,然后定期导出到 oss
    adoal
        14
    adoal  
       359 天前
    复杂是信息系统的内在特征。机器是违反直觉的。
    amiaaaz
        15
    amiaaaz  
       359 天前
    “用一次找回一次”真的太有既视感了……
    yvescheung
        16
    yvescheung  
       359 天前
    我的理解是,这些安全措施更多是为了提高迁移成本,将用户困在自己的软件里
    而这些安全措施有时候反而会更不安全,前段时间 Fortress Trust 被盗了 1500 万美元的加密货币,罪魁祸首就是谷歌验证器云端同步被攻击
    C3POX
        17
    C3POX  
       359 天前
    现在 Apple 和 Google 在推的通行密钥,或许能解决密码复杂性要求多的问题
    C3POX
        18
    C3POX  
       359 天前
    国内的应用基本都是手机号一键登录,安全性要求高的再加上人脸识别,很适合普通人使用
    totoro625
        19
    totoro625  
       359 天前
    银行 App 真的是用一次找回一次密码,后来我把密码都记在密码管理器内了
    再然后发现不管密码对不对,第一次登录都要人脸识别来一遍,发现朋友用弱密码也没任何安全问题,不怕被盗

    PS:google auth app 可能也不靠谱,任何不方便转移到另一个软件的东西都不靠谱
    dode
        20
    dode  
       359 天前
    搞了备用机以防手机坏掉
    timeance
        21
    timeance  
       359 天前
    突然发现我没保存 google auth 的恢复码用了这么多年... 现在有啥办法管理 2FA 吗?

    之前打印了恢复码,但是搬家的时候丢了
    gloeaerris
        22
    gloeaerris  
       359 天前
    2fa 我都是 vaultwarden 存一份(每日定时 webdav 备份到坚果云),authy 一份,主要还是用 vaultwarden ,做好数据库备份
    F798
        23
    F798  
       359 天前 via iPhone
    看了你那个 ios 剩余空间的帖子,感觉都是你自己折腾出来的
    ovtfkw
        24
    ovtfkw  
       359 天前
    vault 是啥,能不能整通俗一点
    ZxykM
        25
    ZxykM  
       359 天前
    我 2fa 用的 aegis 然后用 syncfolder 进行 webdav 同步到坚果云
    liprais
        26
    liprais  
       359 天前
    没有金刚钻别揽瓷器活
    sayitagain
        27
    sayitagain  
       359 天前
    我曾经的淘宝密码里有个 单引号...后来被限制登录要求我去掉这个符号 T T
    ivvei
        28
    ivvei  
       359 天前 via Android
    @manasheep 想简单了,不同站点可能有不同的密码过期规则,强行要求你改密码。不同站点对密码的长度和允许的符号也有不同要求,有些强制要求大小写字母加数字和符号,有些不允许出现符号只能数字和字母。
    iyaozhen
        29
    iyaozhen  
       359 天前
    实话告诉你小白压根不管这些,根本不备份,丢了就丢了
    我认识的密码就是写在手机记事本里面(记事本可以单独设置密码)或者就直接微信收藏(可以不断编辑)
    而且国内可以一个手机号走天下,密码都不用设置,走短信
    manasheep
        30
    manasheep  
       359 天前
    @ivvei 算法输出 12 位大小写加数字,绝大多数网站都可以适配到的;密码过期参考前面说的,可以加个版本参数。
    la2la
        31
    la2la  
       359 天前
    自己编了一个大小写带符号字母的密码,用在所有需要密码的地方。反正我的信息也不值钱,费这个劲干啥
    iniMeow
        32
    iniMeow  
       359 天前
    不太懂这些,为什么需要另外配置一个密码管理器呢? 苹果的钥匙串对我来说足够方便了(
    ding2dong
        33
    ding2dong  
       359 天前
    >>> 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效

    ----------------------------------

    这样也不是很安全的,你也不知道有些牛鬼蛇神会不会存储你的明文密码。。 我是遇到过的
    NoOneNoBody
        34
    NoOneNoBody  
       359 天前
    @testonly #3
    最方便管理的方式就是最好的,而不是被管理人认为好的方式
    中国在这方面遥遥领先上千年,西方现在都在向中国学习,他们的企业已经先行,就是政府跟随比较“慢”,🐶
    NoOneNoBody
        35
    NoOneNoBody  
       359 天前
    @timeance #21
    google 恢复码可以重设的,只要你手上的 2FA 还行得通,具体步骤查 google help
    merlinliu1
        36
    merlinliu1  
       359 天前
    同不理解,连手机都得设置个密码,iphone 想不设置密码都不行
    aogg
        37
    aogg  
       359 天前
    github 登录必须 2fa 有谁遇到的
    freewarcraft
        38
    freewarcraft  
       359 天前
    @manasheep 你这方法我也用过,但后来我发现改几次密码我就不记得版本参数了😂 还是老老实实用 1password
    q534
        39
    q534  
    OP
       359 天前
    @ding2dong 这个问题我是这样的,分级别,顶级是金融等类的独立设置,比较重复的就是论坛类的,丢了也不心疼。尽量在方便和安全之间平衡一下子。
    q534
        40
    q534  
    OP
       359 天前
    @shinsekai 显然,就算是微软,也搞不定同步。时常出亿点小毛病
    q534
        41
    q534  
    OP
       359 天前
    @totoro625
    @timeance 之前 google auth 没有云时,遭遇过 2fa 全部丢失,但现在可以云了。寄希望于“用的人特别多应该靠谱”上
    himawari8
        42
    himawari8  
       359 天前
    我是纯文本模式保存密码,不想受限于各个专有 app 专有格式。用 evernote ,一个笔记保存一个网站的的所有信息,比如 ID ,密码,邮箱,手机号,密码问题,2fa ,卡号之类的....密码和手机号保存为部分带"*"的助记符
    xiamy1314
        43
    xiamy1314  
       359 天前
    直接存 vaultwarden ,定期导出保存下密码不就好了。 不过周围没多少人用密码软件,很多都是短信登录就可以,换手机登录之类的还要验证码,安全性还是有保障的。
    ltkun
        44
    ltkun  
       359 天前 via Android
    作为一个程序员还没有自建数据中心的觉悟 是一个不合格的程序员
    vcn8yjOogEL
        45
    vcn8yjOogEL  
       359 天前
    KeePass 直接存本地文件里,简单粗暴安全好用
    只要多端同步逻辑就必然复杂,故障率也必然会飙升,但一密码管理器本来也用不上多端 diff ,何苦呢
    Greendays
        46
    Greendays  
       359 天前
    @ltkun 数据中心爆炸了怎么办?多地备份?容灾?上云?人人都是运维的时代到来了!
    manasheep
        47
    manasheep  
       359 天前
    @freewarcraft 为啥频繁改呢,我的绝大多数密码都没改过
    f165af34d4830eeb
        48
    f165af34d4830eeb  
       359 天前
    其实本站站长已经建议过了,2fa 的 qr code 可以复制保存一份。

    所以我除了 authenticator 的云备份外,本地也会加密打包保存一份 qr code ,作为云备份不可用时的灾备恢复手段,简单但靠谱。
    f165af34d4830eeb
        49
    f165af34d4830eeb  
       359 天前
    @f165af34d4830eeb #48 添加 V2EX 2fa 时大家应该都能看到站长的建议
    crab
        50
    crab  
       359 天前
    @manasheep 以后会用 passkey 了吧
    ytmsdy
        51
    ytmsdy  
       359 天前
    谷歌的 2FA 好像是有云同步的,如果没云同步,2FA 丢失感觉就是灾难。
    要被折腾死的感觉。
    kkk9
        52
    kkk9  
       359 天前
    @sayitagain #27 阿里人防 sql 的日常 阿里人防 xss 的日常 😂
    H0H
        53
    H0H  
       358 天前
    这种就不应该是 V 友提的问题。你网上搜搜,被脱裤的大厂还少吗?不少大厂的用户密码就是明文存储的,或者是简单的加盐,最终都可以计算出真正的原始密码。这样就可以到其他网站撞库了。

    正因为密码泄漏的太多了,而且有的泄漏后果很严重,所以密码方案才不得不一直升级。现在网站基本上都弃用 http ,改成 https ,不都是类似原因嘛。

    至于怎么确保密码、文件不丢,建议认真理解理解什么是同步、备份、增量备份
    duke807
        54
    duke807  
       358 天前
    其实最好的解决方案是不用密码

    各大网站要登录的时候,发送验证邮件到用户邮箱,用户点击确认连接即可登入,譬如登录一次可以一周或半个月有效

    用户要做的是保护好邮箱登录这一个密码即可

    为何大厂不这么做呢?因为它们蠢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1243 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 23:14 · PVG 07:14 · LAX 16:14 · JFK 19:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.