V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gransh
V2EX  ›  信息安全

求问一些关于密码管理的问题

  •  
  •   gransh · 352 天前 · 1861 次点击
    这是一个创建于 352 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近被 github 强制开启了 2FA ,突然想到一串的密码管理问题,干脆攒一起问问大佬:

    1.本人一直用的 chrome 的管理密码,想查看的时候电脑端输入开机密码或者手机端输入解锁密码就能看明文了。这种方式安全吗?如果 google 账号被盗 or 电脑丢失(电脑密码很容易解) or 手机密码泄露,存在 chrome 中的所有密码不就被一锅端了?

    2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗?

    3.用 microsoft authenticator 存了 2FA ,以防万一需要登录备份,这样话微软账户密码泄露了是不是同样等于一锅端?

    18 条回复    2024-04-28 18:07:56 +08:00
    weazord
        1
    weazord  
       352 天前
    > 2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗?

    2FA 的话恢复密钥泄露只是等同于那个验证码泄露,不掌握密码/邮箱这些的话还是没法登录的,开启 2FA 至少不会让账户安全性变差。

    > 针对 1/3 Google/Microsoft 账号被盗的概率还是挺低的,毕竟都有验证,别密码手机一起掉就行了。 “电脑丢失(电脑密码很容易解)” 这确实是是一个风险,Windows 在登录状态可以很轻松的拿到 Chrome 存的密码,直接在 Windows 用户已登录用 Win 的一个公开 API 就可以解密: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d
    msg7086
        2
    msg7086  
       352 天前
    电脑丢失的问题可以 bitlocker 加密。
    另外如果 2FA 用 TOTP 不放心的话也可以考虑用 FIDO 。当然 FIDO 也是要保护好的,丢了一样会有问题。
    NnMmOo
        3
    NnMmOo  
       352 天前   ❤️ 1
    经典自己没做的事情就不重要,什么叫你可以记复杂密码?你可以做到每个网站都用类似 3p70RzkZbBBp6Bu5KgMk 这样的密码还不重复吗?如果不行,就不叫可以记复杂密码。而且目前来说,加了 2fa 的账号一定是比没加的要更安全的。况且微软 2fa 你可以设置无密码登录,也就不存在密码泄露这个说法了,只要做好 2fa 的备份,完全没任何问题。
    weazord
        4
    weazord  
       352 天前
    @msg7086 现在 BitLocker 默认都是开着的,OP 应该担心的是 Windows 用户被别人登录,那种情况下 BitLocker 防不住的
    totoro625
        5
    totoro625  
       352 天前
    1. 任何软件都可以轻易盗取你的 Chrome 内保存的密码
    非常不安全
    2. 你打开 edge 浏览器,看看你 Chrome 内的密码在不在

    3. 安全设计人员考虑的比一般人多得多,不用考虑你自己比他们强
    如果你的恢复密钥泄露了,你的密码应该也泄露了
    你要解决的是泄露的事情,而不是担心密码安全了
    建议的做法是把恢复密钥打印出来,夹在一本书里,而不是保存在电脑里
    恢复密钥是最后的保障
    Dukec
        6
    Dukec  
       352 天前
    Microsoft Authenticator 存 2FA 有一定风险,这个 APP 的逻辑有些问题。建议换成其他 2FA 工具,而且鸡蛋别放在一个篮子里面就行了。
    tool2d
        7
    tool2d  
       352 天前
    @totoro625 Chrome 密码逻辑设计不对,应该把 masterkey 保存到云上的,就和 metamask 一样,那样本地就完全没办法盗取密码。

    保存到本地,是为了节省服务器资源? google 服务器那么多,搞不懂。
    forvvvv123
        8
    forvvvv123  
       352 天前
    重要的,我一般弄个复杂密码,然后写纸上
    codehz
        9
    codehz  
       352 天前
    @tool2d 主要问题是不能让用户打开浏览器就输入一次密码,这个体验会劝退大多数人
    zuotun
        10
    zuotun  
       351 天前
    使用自建或者第三方密码管理器, 我用 Bitwarden 一个快捷键自动填充账号密码, 密码长度取决于网站上限.
    对于 2FA 再用另一个软件负责管理, 对于管理员密码这种高危密码我在长度上能够保证不会想去手打一遍.
    duke807
        11
    duke807  
       351 天前
    @NnMmOo

    完全可以只记一个复杂密码,即邮箱密码

    然后,所有其它网络服务都应该免密码登录

    免密码登录的方法是:发送一条验证登录的邮件,点击邮件中的链接即可完成登录
    (登录一次可以保持一段时间,譬如一小时、一天、一周、一个月等)
    NnMmOo
        12
    NnMmOo  
       351 天前
    @duke807 又不是所有账号都支持,你这个完全属于是理想方案
    reg66sun
        13
    reg66sun  
       351 天前
    1.用第三方密码管理工具,比如 1Passward 或 Bitwarden 。设定一个主密码即可。如果电脑丢失或被别人使用,不知道你的住密码同样无法获取你的其他密码。

    2.恢复密钥放密码管理器里,还担心的话就用自己才能看懂的加密方式写(比如所有字母递进一位之类)。

    3.同上。实在担心就买个带指纹的 passkey ,丢了也不怕。
    duke807
        14
    duke807  
       350 天前 via Android
    @NnMmOo 我是说,这些大厂可以按照我说的方法来增加安全,而不是强迫用户用 2FA

    至于这些大厂为何不用我说的这种方案,因为它们又蠢又坏
    NnMmOo
        15
    NnMmOo  
       350 天前
    @duke807 性价比
    NnMmOo
        16
    NnMmOo  
       350 天前
    @duke807 公司的本质是为赚钱而不是将你的体验放在第一位
    uuhhme
        17
    uuhhme  
       343 天前 via Android
    推荐 ente auth ,界面美观,ios 和 Android 可以云同步,可以导出二维码,完美!
    poteken
        18
    poteken  
       207 天前
    @Dukec 是的,之前使用该软件存储 2fa ,误删后无法恢复,一个密码软件没有垃圾桶
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:42 · PVG 18:42 · LAX 02:42 · JFK 05:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.