V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vtea
V2EX  ›  问与答

都说没有绝对安全的系统,像 1password 这类密码管理软件致命缺点有什么?又怎么来保护自己的账号?

  •  
  •   vtea · 2015-12-14 00:04:42 +08:00 · 3377 次点击
    这是一个创建于 3298 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在使用各类服务,注册的账号密码多的自己都记不清了,稍微整理下有一大页。Σ( ° △ °|||)

    想使用密码管理软件,又不怎么太敢用我能想到的缺点

    1. 1password 的主密码被盗,或是忘了,直接全部账号完蛋。

    2. 想必黑客更垂涎这类管理软件的密码,或是攻击服务器,或是利用木马网页钓鱼。

    3. 太依赖这类管理软件的话,处处都要使用它们的服务,网速啊,墙啊都是问题。

    一直想自己写个算法,加密自己的账号密码,感觉又太烦,手头没东西的时候输入也麻烦。

    Life is short. Play more? 太麻烦不去管了? 各位 v2er 都是怎么管理自己密码的呢?

    第 1 条附言  ·  2015-12-14 13:11:48 +08:00

    1.随机密码,定期更换,自己不需要记,每次登录通过第三方软件

    2.按自己规则,每个账户密码都不同,但变化规则自己记在脑子,不用借助其他工具

    22 条回复    2015-12-15 01:45:17 +08:00
    Trim21
        1
    Trim21  
       2015-12-14 00:06:14 +08:00
    无所谓的用社交帐户登录,重要的写纸上锁抽屉
    way2explore2
        2
    way2explore2  
       2015-12-14 00:20:01 +08:00 via Android
    我用 keepass ,不仅有主密码还有密钥。
    密钥多处备份,密码库网盘同步,主密码记住。

    我知道有针对 kp 的读内存的 keepass
    way2explore2
        3
    way2explore2  
       2015-12-14 00:21:14 +08:00 via Android
    @way2explore2 工具,

    但如果读了内存了,你的几乎所有信息都可能会被泄露了,到时你的密码可能已经不重要了

    这是续
    hging
        4
    hging  
       2015-12-14 00:21:26 +08:00 via iPhone
    1password 都在本地 没有墙这一说
    MajestySolor
        5
    MajestySolor  
       2015-12-14 00:25:44 +08:00   ❤️ 1
    lastpass 用了好多年了,方便好用
    其实自己仔细梳理一下思路并不麻烦
    我是一个 gmail 做自己的主地址,这个 gmail 绝对不泄漏,然后再一个次级 gmail 作为国外网站的注册用地址一个 qq 邮件注册国内网站,这 2 个次级地址的邮件 forward 到主地址
    每次注册的时候用 lastpass 生成 14 位强密码,然后自动保存,点 2 下鼠标而已很方便
    邮件列表之类的服务注意使用 blur 的服务,它会提供一个 masked email 地址,并把邮件转到你的真正地址
    这些东西一次性设置好以后全自动,一点也不烦
    Daddy
        6
    Daddy  
       2015-12-14 00:40:56 +08:00   ❤️ 1
    就用 LastPass ,方便方便方便,简单密码+两步验证,不用担心主密码会忘记。

    至于有人说担心 LastPass 网络储存方案不安全,怕被脱裤,非要做本地储存,嗯,这很好,然而,连全家桶都防不住,对安全认知都不多的,非要强调本地储存,就好矛盾了。

    多年都不中病毒,并且自己能自查是否中病毒,并且还能手工去除病毒,或者本身也是安全领域的,或者本身专业防火墙工具还自写规则调教得满满的,更别说什么全家桶了,技能满满的,自信满满的,那就本地储存吧;不那么在行,那就交给专业公司吧。

    安全本身就是相对的,自取最大安全值。
    kikyous
        7
    kikyous  
       2015-12-14 00:54:12 +08:00 via Android
    lastpass ,用着方便
    没有绝对的安全
    imn1
        8
    imn1  
       2015-12-14 01:19:04 +08:00
    我不保存密码,每次都用程序算出来
    ryd994
        9
    ryd994  
       2015-12-14 01:59:59 +08:00
    kwallet gpg+智能卡
    不用网,不存在密码被盗
    dump 内存当然没办法,不过如 3 楼说, dump 内存了也就全部拉倒了
    唯一要担心的是智能卡丢失,所以私钥要保留冷备份
    cxbig
        10
    cxbig  
       2015-12-14 02:00:15 +08:00   ❤️ 1
    1Password
    主密码 20 位有特定组合规律,忘不了。
    所有的东西都在本地保存,只通过 wifi 在设备间加密同步
    自己的本子和公司的电脑都开了 FileVault 被盗也不怕破解文件。
    手机有长密码,平时用指纹解锁。
    每个月置换所有帐号密码,能开两步验证的都开
    可以通过手机号码或 email 找回的帐号绝不在同一设备
    lightening
        11
    lightening  
       2015-12-14 07:14:24 +08:00   ❤️ 1
    1Password 本来就是加密后数据库存在本地,同步是用 Dropbox 或 iCloud 的,都是客户端加密, Vault 被别人获取了也解不开。

    LastPass 之所以这么难用,就是因为他做了基于 Web 的客户端加密,这样上传的数据也都是在你的浏览器里加密的, LastPass 自己也解不开这些数据。但是这样造成了 LP 的用户体验出奇的烂,如果个人使用,我是肯定不用 LP 的。但是 LP 的优势就是可以团队内分享。实现方式就更麻烦了,每个人都会有一对公钥、私钥,再用每个用户的 master password key 加密私钥。每次要 share 密码,都要把那个密码用分享对象的公钥加密一遍。

    结论就是主流密码管理软件的安全性都很高,不必担心。 1p 没有库,当然脱裤也就无从说起。 LP 即使被脱裤了,你的密码们也不会泄露。
    paradoxs
        12
    paradoxs  
       2015-12-14 09:25:45 +08:00   ❤️ 1
    1password 是不开源的,怎么能称得上安全?
    要用就用 keepass ,大家都来审核。

    不过这两个都没办法阻止截屏和键盘记录,只要系统被黑就一定完蛋。
    vtea
        13
    vtea  
    OP
       2015-12-14 13:04:23 +08:00
    @Trim21 感觉这样也很麻烦呐

    @way2explore2 嗯,我去看看

    @hging 不是要网络备份吗

    @MajestySolor 嗯,这样也不错,现在国内有些邮箱长时间不登陆,自动关闭邮件转发功能

    @Daddy 是的,着实是件很矛盾的事,把全部密码交一个 app 保管,心理上有点接受不了

    @kikyous 嗯,我去看看

    @imn1 起初我也这么想的,但是手头没法用软件,自己又记不得密码就麻烦了

    @ryd994 哈,有时候想,与其技术上保密,不如技巧上保密,就如俗话说的最危险的地方最安全

    @cxbig 我再研究研究

    @lightening 主要心理不太能接受

    @paradoxs 电脑一直裸奔好多年了,确实担心木马钓鱼等恶意软件,像某去广告的软件,据说后台也在截屏
    imn1
        14
    imn1  
       2015-12-14 13:12:08 +08:00
    @vtea
    什么叫“手头没法用软件”?有电脑和手机就能用了
    没电脑的话,你是说银行卡的密码什么的?那个只能自己死记
    hging
        15
    hging  
       2015-12-14 13:20:21 +08:00
    @vtea 你想备份就备份. 不想备份就一直本地. 用 U 盘来回考也行.
    vtea
        16
    vtea  
    OP
       2015-12-14 14:09:56 +08:00 via iPhone
    @imn1 额,我意思是如果在一公共电脑上登陆某个帐号,如果记不得密码不是会很麻烦吗
    @hging 恩,这样也挺好
    imn1
        17
    imn1  
       2015-12-14 14:48:19 +08:00
    @vtea
    公共电脑就手机算啊
    ryd994
        18
    ryd994  
       2015-12-14 21:32:25 +08:00
    @vtea "最危险的地方最安全" 根本就是逗比。银行怎么没把钱放我家呢?
    安全性不能由算法隐秘性保证,而应当基于算法本身的复杂度。
    vtea
        19
    vtea  
    OP
       2015-12-14 21:46:33 +08:00
    @imn1 。。这也可以,技术要求太高了,我还达不到

    @ryd994 不是这么理解的,就如张麻子把自己的钱藏到全县人家里,但全县人都不知道在哪,也没人敢拿
    ryd994
        20
    ryd994  
       2015-12-14 21:55:10 +08:00
    @vtea 你当全县人是傻的么?安全应当遵循短板原理。你这样做,短板就是万一有人发现了,那就是全灭。把钥匙藏门口地毯下的人也是。平时似乎没事,但是被人看见了呢?
    其实按这个讨论,用密码本身也不是很靠谱的行为,这才出现了智能卡。
    智能卡要出问题,那就只能考虑厂商后门和芯片级解密了,以我的个人信息的价值来看,哪个都不可能。
    vtea
        21
    vtea  
    OP
       2015-12-14 22:17:56 +08:00
    @ryd994 安全本身就是是相对,哪怕指纹,虹膜识别,也有办法,不一定费要去破解技术层面的东西。对于某些情况,与其把东西锁到非常复杂的保险柜里不如让人不知道你有这个东西。感觉扯远了,只是想讨论对于个人,怎么合理管理自己的许多的账号,又要躲开社工库
    watzds
        22
    watzds  
       2015-12-15 01:45:17 +08:00 via Android
    输入法病毒
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5768 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:49 · PVG 10:49 · LAX 18:49 · JFK 21:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.