都说没有绝对安全的系统,像 1password 这类密码管理软件致命缺点有什么?又怎么来保护自己的账号?
vtea · 2015-12-14 00:04:42 +08:00 · 3271 次点击这是一个创建于 3070 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在使用各类服务,注册的账号密码多的自己都记不清了,稍微整理下有一大页。Σ( ° △ °|||)
想使用密码管理软件,又不怎么太敢用我能想到的缺点
1password 的主密码被盗,或是忘了,直接全部账号完蛋。
想必黑客更垂涎这类管理软件的密码,或是攻击服务器,或是利用木马网页钓鱼。
太依赖这类管理软件的话,处处都要使用它们的服务,网速啊,墙啊都是问题。
一直想自己写个算法,加密自己的账号密码,感觉又太烦,手头没东西的时候输入也麻烦。
Life is short. Play more? 太麻烦不去管了? 各位 v2er 都是怎么管理自己密码的呢?
第 1 条附言 · 2015-12-14 13:11:48 +08:00
1.随机密码,定期更换,自己不需要记,每次登录通过第三方软件
2.按自己规则,每个账户密码都不同,但变化规则自己记在脑子,不用借助其他工具
 |
1
Trim21 2015-12-14 00:06:14 +08:00
无所谓的用社交帐户登录,重要的写纸上锁抽屉
|
 |
2
way2explore2 2015-12-14 00:20:01 +08:00 via Android
我用 keepass ,不仅有主密码还有密钥。
密钥多处备份,密码库网盘同步,主密码记住。 我知道有针对 kp 的读内存的 keepass |
|
3
way2explore2 2015-12-14 00:21:14 +08:00 via Android
|
 |
4
hging 2015-12-14 00:21:26 +08:00 via iPhone
1password 都在本地 没有墙这一说
|
 |
5
MajestySolor 2015-12-14 00:25:44 +08:00  1
lastpass 用了好多年了,方便好用
其实自己仔细梳理一下思路并不麻烦 我是一个 gmail 做自己的主地址,这个 gmail 绝对不泄漏,然后再一个次级 gmail 作为国外网站的注册用地址一个 qq 邮件注册国内网站,这 2 个次级地址的邮件 forward 到主地址 每次注册的时候用 lastpass 生成 14 位强密码,然后自动保存,点 2 下鼠标而已很方便 邮件列表之类的服务注意使用 blur 的服务,它会提供一个 masked email 地址,并把邮件转到你的真正地址 这些东西一次性设置好以后全自动,一点也不烦 |
 |
6
Daddy 2015-12-14 00:40:56 +08:00 1
就用 LastPass ,方便方便方便,简单密码+两步验证,不用担心主密码会忘记。
至于有人说担心 LastPass 网络储存方案不安全,怕被脱裤,非要做本地储存,嗯,这很好,然而,连全家桶都防不住,对安全认知都不多的,非要强调本地储存,就好矛盾了。 多年都不中病毒,并且自己能自查是否中病毒,并且还能手工去除病毒,或者本身也是安全领域的,或者本身专业防火墙工具还自写规则调教得满满的,更别说什么全家桶了,技能满满的,自信满满的,那就本地储存吧;不那么在行,那就交给专业公司吧。 安全本身就是相对的,自取最大安全值。 |
 |
7
kikyous 2015-12-14 00:54:12 +08:00 via Android
lastpass ,用着方便
没有绝对的安全 |
 |
8
imn1 2015-12-14 01:19:04 +08:00
我不保存密码,每次都用程序算出来
|
 |
9
ryd994 2015-12-14 01:59:59 +08:00
kwallet gpg+智能卡
不用网,不存在密码被盗 dump 内存当然没办法,不过如 3 楼说, dump 内存了也就全部拉倒了 唯一要担心的是智能卡丢失,所以私钥要保留冷备份 |
 |
10
cxbig 2015-12-14 02:00:15 +08:00 1
1Password
主密码 20 位有特定组合规律,忘不了。 所有的东西都在本地保存,只通过 wifi 在设备间加密同步 自己的本子和公司的电脑都开了 FileVault 被盗也不怕破解文件。 手机有长密码,平时用指纹解锁。 每个月置换所有帐号密码,能开两步验证的都开 可以通过手机号码或 email 找回的帐号绝不在同一设备 |
 |
11
lightening 2015-12-14 07:14:24 +08:00 1
1Password 本来就是加密后数据库存在本地,同步是用 Dropbox 或 iCloud 的,都是客户端加密, Vault 被别人获取了也解不开。
LastPass 之所以这么难用,就是因为他做了基于 Web 的客户端加密,这样上传的数据也都是在你的浏览器里加密的, LastPass 自己也解不开这些数据。但是这样造成了 LP 的用户体验出奇的烂,如果个人使用,我是肯定不用 LP 的。但是 LP 的优势就是可以团队内分享。实现方式就更麻烦了,每个人都会有一对公钥、私钥,再用每个用户的 master password key 加密私钥。每次要 share 密码,都要把那个密码用分享对象的公钥加密一遍。 结论就是主流密码管理软件的安全性都很高,不必担心。 1p 没有库,当然脱裤也就无从说起。 LP 即使被脱裤了,你的密码们也不会泄露。 |
 |
12
paradoxs 2015-12-14 09:25:45 +08:00 1
1password 是不开源的,怎么能称得上安全?
要用就用 keepass ,大家都来审核。 不过这两个都没办法阻止截屏和键盘记录,只要系统被黑就一定完蛋。 |
 |
13
vtea OP @Trim21 感觉这样也很麻烦呐
@way2explore2 嗯,我去看看 @hging 不是要网络备份吗 @MajestySolor 嗯,这样也不错,现在国内有些邮箱长时间不登陆,自动关闭邮件转发功能 @Daddy 是的,着实是件很矛盾的事,把全部密码交一个 app 保管,心理上有点接受不了 @kikyous 嗯,我去看看 @imn1 起初我也这么想的,但是手头没法用软件,自己又记不得密码就麻烦了 @ryd994 哈,有时候想,与其技术上保密,不如技巧上保密,就如俗话说的最危险的地方最安全 @cxbig 我再研究研究 @lightening 主要心理不太能接受 @paradoxs 电脑一直裸奔好多年了,确实担心木马钓鱼等恶意软件,像某去广告的软件,据说后台也在截屏 |
|
16
vtea OP |
|
18
ryd994 2015-12-14 21:32:25 +08:00
@vtea "最危险的地方最安全" 根本就是逗比。银行怎么没把钱放我家呢?
安全性不能由算法隐秘性保证,而应当基于算法本身的复杂度。 |
|
19
vtea OP |
|
20
ryd994 2015-12-14 21:55:10 +08:00
@vtea 你当全县人是傻的么?安全应当遵循短板原理。你这样做,短板就是万一有人发现了,那就是全灭。把钥匙藏门口地毯下的人也是。平时似乎没事,但是被人看见了呢?
其实按这个讨论,用密码本身也不是很靠谱的行为,这才出现了智能卡。 智能卡要出问题,那就只能考虑厂商后门和芯片级解密了,以我的个人信息的价值来看,哪个都不可能。 |
|
21
vtea OP @ryd994 安全本身就是是相对,哪怕指纹,虹膜识别,也有办法,不一定费要去破解技术层面的东西。对于某些情况,与其把东西锁到非常复杂的保险柜里不如让人不知道你有这个东西。感觉扯远了,只是想讨论对于个人,怎么合理管理自己的许多的账号,又要躲开社工库
|
 |
22
watzds 2015-12-15 01:45:17 +08:00 via Android
输入法病毒
|
Select Language