@cache 把钥匙藏在门口的地毯下面，当然毫无安全性可言。

但我做的是把钥匙截断几块，每一块看起来就是一块普通的石头，混进门前的石头堆里。

这安全性就比直接放在地毯下高很多，而且就算公开了方法，用户也可以通过改变石头堆里的摆放位置，从而避免共享密码。

一个 4 数的密码，被破解软件秒破；但我这个方法，用流行的破解软件去暴力破解是绝无可能破解的，因为破解者拿到的都不是真正的密文（里面混了密钥）。

我再换一个角度讲，如果只是简单地把密码写在文件名里，用文件名作为密码用 AES 加密一个文件，那是加密，不是编码，这应该没有异议吧？

现在我把密码，以明文方式直接连接在密文开头，这与写在文件名没有本质差别吧？还是加密。

那我再把密码插在密文中间，为什么就那么多人说是编码，不是加密了呢？

是编码还是加密，如果只说结论不讲理由，讨论起来很无趣啊，如果能把理由说出来，是不是更有意义呢？

我先说说我的理由：编码的特征很明显，一对一、一对多、或者多对一，并且通常以一对一映射为主，一个单词编码后就总是一样的字符。同一个文件编码后，通常结果是固定不变的。

如果拿到 10 个采用同一种编码方式处理过的文件，对照着看就很容易看出“有规律”（不是看出规律的具体细节）。

但如果是加密，采用流行的安全的流程处理后，对同一个文件加密也可以让每次加密后的结果都是不一样的无规律的。如果拿到 10 个采用同一种加密算法处理过的文件，对照着看也毫无规律。

而我的这个加密方式，一个破解者拿到一堆加密后的文件对照着看，是看不出有规律的，因此这个破解者会认为这是加密，不是编码。

@cache 你说“等效于把记一个密码变成了记一种编码方式”，

我说 “等效于把记一个复杂密码变成了记一个更简单的密码”

上面也有不少人像你一样说是编码方式，但当我问他们为什么镶嵌方式不是一个密码而是一个编码方式时，他们都不理我了，你能给我说说为什么不是变成一个更简单的密码吗？

@VZEXEZVzzz 我不想管理密钥啊。太简单的密钥，包括上面有人说用生日，破解者只要稍稍升级一下扫描程序就可以破解，我怀疑现在网盘已经升级了，因为这个升级实在太轻松了。

而复杂的密钥，又要管理。我这个是完全不用管密钥的。


@AX5N “只要拿到你的密钥（你的脚本）”…… 你不能这样说啊，不管我用什么方法加密，只要被别人拿了密钥，当然可以破解我全部文件。如果你用这个理由来说，那正常的加密不也是一样“只要拿到你的密钥（你的脚本）”就被破解了？

简单的密钥，或者常用的密钥是能记住，但我很不愿意用简单的密钥（因为太容易被升级版扫描程序破解了），而复杂密钥，很难记，我记住镶嵌方式非常容易。

也许有人记复杂密钥更轻松，但也有人记镶嵌方式更轻松，人与人不一样，你不能随便说谁更弱智吧？

@crazytec 空文件，包括上面有人说的用生日之类的，我担心网盘已经可以自动破解了，因为这需要很简单的改进。

而我这种方法，简单的改进也是破解不了的。

@Johndo3 用生日、手机号码、简单密码生成密钥，有可能被升级版的扫描程序破解，扫描者如果想做这个，非常轻松，对吧？


@Asvel 原因很简单：记住一行代码的全部细节，比记住逻辑随时实现相同的功能，对于我来说，后者可以记得更久更牢。

@msg7086 明白，但我觉得不安稳，文件名被修改的问题不得不考虑，整个文件名就是密码其实也很常见，这个安全性太低了。

其实把密钥嵌进密文也非常常见，这个做法本身必然被很多人想到过，但好处是花样比较多，具体怎么镶嵌可以搞得步骤很简单却很难猜。同时，由于是自己的思路，总能记得个大概方向。

也就是说，安全性既不会太低，也兼顾了便利性。

@parametrix 有一个重点：当破解者拿到一个加密文件时，在他眼中，这只是平平无奇的加密文件，他并未获得 “密钥就在密文中” 这个信息。

另一方面，我这套方法只是加一层防护，防扫描，不妨特殊针对，在这种情况下，我想获得“完全不用理会密码”的便利。结果，我获得了便利，也真能防住普通扫描，这就很好啊。

并不是任何时候都需要高强度加密的，也有稍稍加一层比较薄的防护就够的情形，我针对这种情形，故意降低安全性，换取了完全不用管密码的爽感。（也不用担心一个密码泄露就影响其他，也不用担心一个特殊密码会忘记，也不用管理密码，我知道密钥永远和密文在一起，这让我很安心，我有信心解密。同时，撒网捕鱼的破解者却不知道 “密钥就在密文中” 这个信息。）

@xinghen57 “大部分你觉得重要的都没那么重要。真正重要的，比如银行卡密码之类的东西”

非常同意，所以我这个工具主要是用来稍稍加强一下隐私而已，不是用来加密重要资料的。用来临时存放资料，并且有 api ，并且免费、不需要登记信用卡，并且不用翻墙可以直连的国外网盘我已经找到了，过几天我也会写文章介绍。


@msg7086 文件名太容易不小心修改了，而且也极容易被猜到（上面就有人有类似的想法：文件名+密码，但如果一堆文件，每个文件名都跟着几个字符，而这一堆文件都是加密文件，很难不去尝试一下用文件名去解密啊）

@takato Steganography 会导致文件体积增大很多吧？我对这方面了解不多。

@zhy0216 gocryptfs 需要设置 master key ，而我就是不想管理 master key 才做的这个脚本啊。


@des 一堆文件的问题我已经解决了，我做了一个打包脚本…… 我也是最近才突然爱写脚本，以前也没有玩这些。

当然，没有完美的方法，我只能满足自己的需求，其他人各自找适合自己的方法，比如上面也很多人提出了自己的方法。我觉讨论这些蛮好的，比讨论社会新闻舒服😂

@Mutoo 不对，我这个钥匙被截成了 N 块，每一块看起来像普通的石头，混在门前的石头堆里。


@des 我这个脚本的解密功能是（举个例子）：密钥在密文的第 15 个字符起算，取出密钥后把密钥的前 15 个字符放到末尾。仅此而已，记住 15 就可以了。但拿到密文的人，如果不知道我用的这种方法，也很难猜啊，而且也不会往这个方向猜。

@des 密码短了不舒服，长了要管理，保存密码的地方我要担心硬件损坏。

用我这个方法，完全不用管什么密钥、密码，便利是增加了没错吧？安全系数降低了我也承认啊。

@des 我是指不小心删除，或者硬盘故障无法恢复那种丢失。

我的脚本本身很简单，随手就可以写，把密钥镶嵌到密文的镶嵌方式也可以很简单，不需要搞得很复杂。

@des 我的加密脚本不怕丢失啊。私钥我怕丢失。

安全问题不大，因为我已经知道安全程度不高，并不会拿来加密真正的机密。我主要用来加密临时文件的。

@des 密码、密钥、gpg…… 需要管理私钥、保管私钥。

我这个方法不用保管脚本，脚本丢失了也无所谓，只要我记得镶嵌方式（而这个方式可以很简单），就可以随手写个脚本来解密。

@qwe520liao “不要自己去发明加密系统” 这个道理我懂，如果我搞了这一套，然后我声称这一套很安全，是强加密，那我才是你说的那种情况。

但我知道这套方法的有缺点，并且强调了不适用于真正的机密，很明显不是自己发明加密了。

我是故意降低一点安全性，换取更高的便利性。

成熟的方案我也知道，但成熟的方案都需要管理私钥、保管私钥，我就是不想保管这个，我在这个地方故意降低了安全性，但我也确实获得了便利：不需要管理私钥。

然后，我把它用于中等安全要求的场景，就很合适，便利与安全有一个平衡。

@ganbuliao “理论上来说，是编解码器”，你这里说的理论，具体是什么理论呢？

我真的认为镶嵌方式是密码，而不是加密算法，上面有不少人说我的是编码，但也没人说出很硬的道理来。

第一步，用 cryptography.Fernet 加密，这一步是加密大家应该都同意
第二步，把密钥插入密文的某个位置，这一步，为什么就让整个过程变成编码了呢？

我的看法是，第二步只是把一个长的、复杂的密码换成一个短的简单的密码。

采用简单密码的加密，还是加密啊。

@momocraft 用生日 hash 也很好，其实直接用生日日期也行，不需要 hash 。

但我这个方法也不见得很差吧，也没比生日 hash 差啊。