刚用了 keepass 把所有密码统一管理起来,发现还是需要频繁输入主密码,请问主密码和手机锁屏密码需要每隔一段时间就更换一次吗,记不住怎么办,怎样兼顾安全性和输入的便捷性呢?
如果不换密码一直用(密码很短),一旦被猜到所有的密码都裸奔了……
1
renmu 55 天前 via Android 4
便捷和安全就是冲突的
|
2
seeu2ex 55 天前 via iPhone
其实我觉得这种主流管理器也可以引入 faceid 做验证授权也行,每次都要输主密码确实烦
|
3
ruooooooli 55 天前
搞一个密码生成规则,比如关键词:床前明月光 -> CqmyG.
|
4
JackMaMa 55 天前
规则不一样,很难。
尤其一些银行 app ,傻逼的设计,有的 6 位,有的 8 位。干 |
5
ruooooooli 55 天前
上条没打完就发了😂,在这补充下。有了自己的密码关键词之后,对于每个网站再提取该网站的关键词。比如 gmail ,那结合密码规则最终就可以是:CqmyG.gmail.com
|
6
ruooooooli 55 天前
@JackMaMa 纯数字的好像就没辙了
|
7
z7356995 55 天前 via Android
可以把自己最容易记的密码加一下盐 ,然后 md5 一下输出 6 位
|
8
z7356995 55 天前 via Android
md5_hash=$(echo -n "$input_string" | md5sum | awk '{print $1}' | cut -c1-6)
|
9
luodeyitian 55 天前
让 keepass 接入指纹锁或者人脸识别呗
|
10
z7356995 55 天前 via Android
这个加密的脚本可以名文存在微信,qq ,和电脑本地,然后密码盐搞一个自己生日什么的记在脑子上,在电脑上运行一下脚本就又好记,又别人永远猜不到了
|
11
Yukineko 55 天前
这种需要周期更新的密码,我是用固定字符串+递增字符串来更新的,比如说用日期,半年一更新:
2401xxx 2407xxx 2501xxx 或者直接数字、字母递增 1xx 2xx 3xx ... axx bxx cxx |
12
justfindu 55 天前
我是站点特征生成规则字符串. 只要被泄漏我就废了
|
13
JKOR 55 天前
讲一下我以前的密码规则,比如 Google ,密码就是 123456789Google...
其中 123456 是一个密码本中根据 Google 这个字符串长度按照一定规则算出来的,789 则是根据首字母 G 通过一定规则算出来的,这样每个服务的密码都是有规律的,但同时密码各不相同。即使一个密码泄露也不会影响其他服务,也不用担心规律被破解,因为密码本在你这,知道规则不知道密码本仍然没用。 这样你需要记得只有计算规律以及密码本,可以选取某个不规则小数前 100 位作为密码本。 |
14
JunerLee 55 天前
我的 wifi 密码是 jbjhhzstslbldhbfh. 从来没输错过一次 :d
|
15
oneisall8955 55 天前
@JunerLee junbujianhuanghezhishuitianshanglaibenliudaohaibufuhui
|
16
snipking 55 天前 1
显然这是一个密码分级问题,不应该也没必要
主密码你肯定应该记住,而且只用于你的密码管理器,这是最高密级,只要不将它乱用在其它地方,大可不必担心丢失,可以将更换周期拉长 手机锁屏密码应该是低密级密码,毕竟手机一般都不离手,真的丢失了也能立即将机器锁定,而且锁屏密码都有重试锁定策略,人工破解可能性很低 其它密码同理,你自己可以定几个密级,只要确定不跨密级滥用密码,那么泄露的可能性和泄露造成的影响就可以尽可能降低 |
17
CapNemo 55 天前 1
|
18
NoOneNoBody 55 天前
其实猜是很难的,例如老婆外婆生日倒着写,暴力爆破或者被窥视倒是可能
我曾用过拆迁前老家地址里面的所有数字,用这个密码时这地址早已不存在了,谁会用这个猜啊 |
19
jackmod 55 天前
找个固定的特殊分隔符,比如#
找你喜欢的数字,比如 1024 找一句熟悉的古诗,比如窈窕淑女君子好逑 现在组合一下 10#1ts~#Jzh0#24 是不是足够当成主密码了 |
20
XiLingHost 55 天前
记一个词然后 base64 ,如果经常输入其实应该会形成肌肉记忆的,我很多 WiFi 密码使用出厂默认的底下标签上的随机密码,输入个几次也就记住了,这种可以自己设置的有规律密码就更好记忆了
|
21
yidev 55 天前
keepass 支持指纹吧, 我用 bitwarden 就是 pc 用 windows hello 指纹代替输入主密码, 手机用面容
|
22
Braid 55 天前
1password ,用这个吧,支持浏览器插件
|
23
shaozelin030405 55 天前
纹在身上
|
24
iamwin 55 天前
用纸写下来放在家里保险柜里
|
25
shyangs 55 天前 1
|
27
xuanjiangsara 55 天前
[每隔一段时间就更换一次吗,记不住怎么办]
考虑人肉脑的记忆宫殿 memory pegging 定桩呢? 好处是你不改原密码,你自己可以混入你想要的方式。 就是你的原码中插入你想出来的东西:比如这个月要加进 Alien+plumbing ,你就想象你家厕所里+丝袜蒙头的 Alien 在修水管。画面越奇葩越能记住。每次就在你熟悉的场合换场景就好了。 |
28
nzbstn 55 天前
我个人的方法也是用 keepassxc(kps), 不过是外加了一个 sync 文件同步系统, 在我所有常用终端上实时同步密码本
当然这只是解决了跨设备的问题, 实现这套需要一定的动手能力 至于密码轮换, 我其实也思考过要不要进行轮换, 最后得出的结论是, 只给常用的网站 or 身份进行不定期(看啥时候想起来)密码轮换 其实对个人来说密码轮换算是个伪需求吧 |
29
GeruzoniAnsasu 55 天前
前前女友生日当密码,社工都社不了一点😋
|
30
aw2350 55 天前
主密码 6 8 都是固定的密码,例如身份证号 后 x 位 或者 qq 前/后 x 位 ,其他的就用密码管理器随机生成的咯
|
31
liuzhaowei55 55 天前 via Android
YubiKey 可以定义一段文本,长按自动输入,只要不丢还算安全吧,毕竟比较小众
|
32
acorngyl 55 天前
肌肉记忆啊。以前密码都是这么管的。不光有顺序,甚至节奏不对都能输错。
但是后来指纹、刷脸多了,每次要手动,要在电脑前酝酿半天。 |
33
KingHL 55 天前
我都是用一句话的缩写,比方说:qnys250$=前女友是 250 ,lzyfc100w=老子要发财一百万
|
34
kratzer 54 天前
@ruooooooli 可以对应九宫格
|
35
zhjmv6 54 天前 via iPhone
@GeruzoniAnsasu
没事但凡你有隱瞞一段戀情,卻把她當作前女友,社工就會搞錯🤣🤣🤣🤣 |
36
xuanbg 54 天前
@ruooooooli 对的,我就是用唐诗密码的。哪怕我告诉你是哪句诗,你也猜不到正确的密码。拼音夹英文,有些还用符号指代,哈哈哈
|
37
yaytohkay 54 天前
好记性不如烂笔头,使用密码管理软件吧
|
38
gaju 54 天前
|
39
luofei 54 天前
诗经
|
40
moioooo 54 天前
首先你得有一个不能被任何人知道得主密码,这个是没法只能靠硬记了。也可以找一个记忆的规律。
找一串字母或者数字,最好 16 位左右,背下来。然后每年/每月在前后加上字符,比如年月、日期首字母等等。 前面那 16 位可以用常见的常量,比如派的 20~35 位,e 的 100~120 位等等。也可以找一首歌,歌词的首字母等等。 习惯了之后可以做替换。比如 两只黄鹂鸣翠柳,可以是 lzhlmcl ,也可以是 2zhlmcl 。 |
41
zhangeric 54 天前
1.上动态密码,1 分钟 1 变得那种,不过随身要带这个设备.
2.简单好记得密码然后上多重认证,大部分需要有网络. |
42
Censhuang 54 天前
我的主密码是组合的,我的 qq 号有规律性,前三位相同是 2 ,所以我就换成 z ,然后密码的后面组合一下使用场景用+分隔开,因为是浏览器插件所以设定成系统锁定时候再输入密码,这样就避免忘记了。
不过说起便捷性,让我想起 iOS 的问题。他的验证过于依赖 faceid 了,以至于容易让你忘记密码,有一次我就忘记了,想了好久才想起来。安卓( MIUI )这方面做了个 48h/72h 强制验证还是挺好的 |
44
Aixtuz 54 天前
用你记得滚瓜烂熟的 “原始词”,再用非常好记的 “逻辑” 去转换。
楼上诸位说的很多都是这种思路。 记忆难度上不大,但别人猜到你用的什么“原始词”和“逻辑”就很难。 我的主密码是:中 --译--> 英 --谐音--> 字母/数字 仅在自己机器上使用,绝不用于网站服务等。 网站服务上用的,需要保护的就是主密码前半句+网站记忆词; 不需要保护的,统一用一个大小写+数字的熟悉的密码,丢了也损失不了啥,验证码找回就行了。 |
45
xiaokaup 54 天前
|
46
momooc 54 天前
这个里面有一个密码短语、将密码加密后发到邮箱或者微信上,只需要记住密码短语即可解密。本站某个大佬开发的。
https://vitock.github.io/webecc/ |
47
Daybyedream 53 天前
我个人密码是一个统一的 加上那个软件的简称或者什么的
每个都不一样 但是被别人知道就不好了 |
48
kero991 53 天前
其实并不难,比如这个
dhxdl,tsd**cbd 你觉得它是什么?其实它是 “大河向东流,天上的星星参北斗” 复杂吗?应该够了。 你觉得好记吗? 你总有点熟悉的诗句,歌词吧 |
49
Serino 52 天前
考虑下不要记密码,而是记加密方式?
|
50
junyee 46 天前
如果不同的网站、APP ,设置不同的密码。单凭记忆还好。
要命的是,有要求 纯数字的,有要求加字母、大小写混用的,有的要加特殊符号(有的不允许加)。 这样下来混乱不堪,到头来只好拿个小本本一一写下来。 |