如何简单 100%安全存放自己的密码？

无密码认证，参考实物：Yubikey

安全物理密钥：yubikey

不想数据存在别人数据库里，就只能自己搞个 vps 之类的，要么麻烦一点手动复制。
便利和安全必然冲突，这是物理定律，就像永动机一样，定律限制无法实现。

弄一个 Time based one-time password 算法，自己稍微改改，就挺安全的。

没看懂想表达什么

中心化的产品，密码一定存在别人的数据库里，你的账号密码本来就是别人公司的财产。别人不保存你的密码没法给你提供服务。

去中心化架构，记在脑子里最安全

我认为，人是中心化的，通过拷打你可以获得一切密码的访问权，还可以抢走你的 YubiKey ，未来甚至可以通过人机接口实现。
不考虑近身肉搏的攻击方式，自建密码管理器，结合 yubikey 认证可能是比较好的办法。

最近给主要的邮箱都上了 yubikey 的 FIDO2 无密码认证，私钥无法取出，安全级别目前看已经是民用场景比较好的了。配合 yubikey 的 ssh 登陆认证，vps 的 ssh 安全也提高了一个等级。

没有 100%安全，只能在安全和方便之间做取舍。

首先， “简单”和“安全”是两个相悖的概念，你只能在其中找到适合你的平衡点；
其次， 不存在“100%安全”。
再次， 生物识别基本上都是本地的，比如指纹识别、面容识别等，换句话说，你在 A 手机上设置了指纹，是不能在 B 手机上用这个指纹的。

那是因为 OP 不了解现代的密码学和个人验证的实践方式。比如可以尝试去了解其他楼层提到 FIDO2 协议

随机密码 然后找回

写纸上

XKCD 538.

https://imgs.xkcd.com/comics/security.png

绝对的安全不存在，而越高的安全越会带来更高的成本。

如果是钱包私钥的话我们可以提供一种方式，私钥的生成需要随机数，如果把这个随机数换成自己的密码（编码或 hash ），那个就不用记录私钥，只需记录密码，每次按照同样的方式生成，结果还是同样的私钥，缺点就是如果被人猜到可以同样方式生成。用来批量管理钱包可以的

@infun 你真是个人才 hhhh

我觉得物理是不安全的，可能因为我身份证就丢过三次的原因。

安全永远是相对的，找到适合的方式就好

lesspass 试试，哪需要记住什么密码~

是 lesspass ，不是 lastpass

对数据使用 RSA 高位数加密，将 RSA 私钥使用高强度密码加密，准备一个物理的密码本，以某种方式从密码本中映射出一段足够高强度的密码，将加密后的数据，RSA 私钥分开储存在不同的地方，将密码本保存好，记住你的密码映射方式。

不要经常使用，最后你会发现，映射方式早就忘记是啥了。

想象一个场景

你现在有个急事需要用密码

但是一时半会找不到了

解决办法是?

给出主意的诸位提个小小的建议：便捷性和可行性应优先考量。

安全和方便是跷跷板的两端。。

安全了就不会方便。

方便了就不会安全。

https://zh.wikipedia.org/zh-cn/%E9%80%9A%E8%A1%8C%E5%AF%86%E9%92%A5
这个好像符合

建立自己的记忆宫殿，所有密码全部脑中留

Passkey WebAuthn

就是不用密码，自己成为权力的中心

短信登录

买一本记事本，一支钢笔，一瓶墨水，和一个保险箱。前者锁进保险箱。
那么问题来了，保险箱的密码怎么办？只能建议用指纹解锁的保险箱

aes 加密

没有 100%的，记脑子里还有说梦话的呢...
考虑安全和便利，在可接受的范围作出自己能接受的选择就行了。

保险柜+笔记本

设置一个复杂的主密码, 背下来. 为了防止遗忘, 写在一张纸上, 存到银行保险柜里

脑子是个好东西

古人云：雕刻在干燥山洞的岩壁上。

100%安全的话记在脑子里，且别说梦话

重要的东西开二步验证就行了

大部分的网站没那么重要

有个猫因素认证(Cat Factor Authentication)可以看一下： https://ruby.social/@christine/111767112757646400

个人使用的方式是
在脑海里记一组基础密码
然后笔记里添加各个密码的关键 key ， 登录密码就是基础密码+关键的 key

密码是为了保障你在某个系统中的数据和信息安全，比较好的方式是上 生物认证，就不需要密码了，
现在这么多密码，只是因为没有统一的认证中心，每个 app 或网站他只有授权和用户特征，说白了 还是 app 或网站 都想要你的个人信息，
理想情况下，如果大家都不需要信息的话，统一接入一个完整的身份认证厂商，这个厂商使用 生物特征当作解锁密码，再提供给其他 app 带授权时效的登录 token ，以及用户唯一 id 和用户的特征，这样才能保证密码不泄露，因为这个过程中，只有这个最大的认证中心才持有你唯一一个密码，只要这个最大的认证中心 不被攻破 你的密码就是绝对安全，并且可以保障你的信息安全，不被乱泄露出来，但这种机构， 不一定能产生。

bitwarden 自建服务器

没有 100%的安全。就算记脑子里，面对剁手剁脚的威胁你会交出来不？😂

@chenyu923132714 更进一步就存的密码还需要加一个 lesspass 的密码 字符串拼接后使用

@wheat0r 果然，严刑拷打这才是真正的暴力破解。

对于 yubikey 这类的硬件，我有 2 个问题
1. 平常得一直带着，万一哪天忘了或是丢了怎么办？
2. 如果被公安或其他抓了，直接拿走你的 yubikey 是不是比拷打你问你密码更简单

@since2021 没有办法生成指定的密码，比如有的股票账户，购物 app 的支付密码只能是 6 位数字

安全够用就行 不绝对

添加 Google 安全验证器

@littlewing 是的，用硬件钱包和家里摆保险柜一样愚蠢

回复楼上各位：物理拷打不是没办法对付，对付物理拷打的方法是“可否认加密”

1password

搞一台恩尼格玛密码机放家里

自建密码管理器，搭配 yubikey 使用

后面中心化的论证是错的， 参考 https://developer.android.com/privacy-and-security/keystore

@InDom 没有研究表明非对称算法比对称算法更安全，密钥不是越长他就越安全

生物信息（人脸除外）不是本地的吗，哪有存放在别人的数据库里？

我是 txt 文档放进 VeraCrypt 里

没有事情可以会说能 100%做到吧，儿子都不一定

@YouKnowIt 可以的呀，-h 看看，我记得 -L n 这种就是指定长度，--no-symbol 不用特殊字符

写纸上塞菊花里

记脑袋里

每用一次改一次,无敌

把密码记录在 m 个字条上，m 可能会遗失些，但保证有剩余大等于 n 的字条存留，就可以组合出密码。

@fanyingmao 好像这叫 Shamir 秘密共享算法。

有没有那种除非自己愿意，即使被施以暴力情况也无法给出密码的，高概率稳定密码？