三谈密码保存的安全方法

加拿大家园论坛

三谈密码保存的安全方法

原文链接：https://forum.iask.ca/threads/921645/

reed : 2021-02-11#1

之前我发过两个讨论密码保存方法的帖子：

保存密码有什么好方法？
再谈密码话题 - 你是否会用Google/Facebook登录其他网站？

里面谈过的方法包括：

记在本子上
记在手机/电脑/云端
记在密码管理工具里

密码管理工具似乎是最高级的方法了。

但是，以上方法都没有摆脱一个问题，那就是这些方法其实都是靠另一个密码来保护需要保管的密码。例如把记录的本子锁在抽屉里；手机/电脑/云端的记录文件，还有密码管理工具，本身也需要靠一个密码来保护。也就是说需要一个总密码。

一旦小偷把抽屉的锁砸烂，或把你的总密码攻破，你所有的密码还是会失窃。

其实有一个最简单最基本的方法，能够实现更可靠的保护。这个方法也不是什么神秘东西，都是公开的，例如银行或税局给你寄密码的信件里面，一般都会提醒你使用的方法。

这个方法就是，把账号和密码分开存放，这样，即使盗贼偷到你的账号，他看不到密码；或者偷到密码，却看不到对应的账号。除非盗贼既偷到账号又偷到密码，但只要你把账号和密码放到两个毫不相干的地方，这种可能性就几乎为零。

打个比方，你把账号本放在一家银行的保险箱，密码本放另一家银行保险箱。即使盗贼撬了保险箱拿到账号本，他上哪儿找对应的密码本？

Overmind : 2021-02-11#2

方便和安全是对立的。楼主说的方法不错，很安全。但是方便度就差了。如果你去银行打开自己的保险箱，就得先去另一家银行去查看密码本。就要跑两个地方。

还是自己在常用电脑里面使用密码管理工具比较好。所谓“总密码”，其实最简单的方式是想一句话，提取其首字母，然后进行简单替代就可以。比如楼主这个主题：“三谈密码保存的安全方法”，提取其数字和其他文字的拼音首字母就是：3tmmbcdaqff，然后把第一个出现的字母大写，变成 3Tmmbcdaqff，然后找出其中一个最容易被特殊字符替换的字母，比如 a => @，就变成 3Tmmbcd@qff。这最后一步很容易实现，我举几个栗子：a=>@, s=>$, i=>! 等等。

就这样生成的密码，实际上极难被攻破。一般的暴力算法根本没戏。而且非常好记。很适合做“总密码”。你所要做的就是想一句话。比如自己激励自己的口号啊，咒骂自己的情敌啊，跪舔女神啊什么的，都行。

Chinada : 2021-02-11#3

重要的一点，不同的网站要用不同的密码

如果一个网站信息泄露，不会影响其他网站

reed : 2021-02-11#4

Overmind 说:
方便和安全是对立的。楼主说的方法不错，很安全。但是方便度就差了。如果你去银行打开自己的保险箱，就得先去另一家银行去查看密码本。就要跑两个地方。

还是自己在常用电脑里面使用密码管理工具比较好。所谓“总密码”，其实最简单的方式是想一句话，提取其首字母，然后进行简单替代就可以。比如楼主这个主题：“三谈密码保存的安全方法”，提取其数字和其他文字的拼音首字母就是：3tmmbcdaqff，然后把第一个出现的字母大写，变成 3Tmmbcdaqff，然后找出其中一个最容易被特殊字符替换的字母，比如 a => @，就变成 3Tmmbcd@qff。这最后一步很容易实现，我举几个栗子：a=>@, s=>$, i=>! 等等。

就这样生成的密码，实际上极难被攻破。一般的暴力算法根本没戏。而且非常好记。很适合做“总密码”。你所要做的就是想一句话。比如自己激励自己的口号啊，咒骂自己的情敌啊，跪舔女神啊什么的，都行。

方便度没问题，银行保险箱只是我打的比方，实际操作是，使用两个密码管理工具（或其他类似手段），一个存放账户，另一个放密码。

这样，需要两个 “总密码”。注意，黑客面对的难度，并非只是两倍，而是高得多，因为在攻击两个密码之前，必须先猜出两者之间的关联，后者几乎无从下手。即使黑客拥有量子计算机，可以秒破任何密码，但他无法猜出两者关联

，所以无的放矢。

reed : 2021-02-11#5

Chinada 说:
重要的一点，不同的网站要用不同的密码

如果一个网站信息泄露，不会影响其他网站

没错，不同地方要用不同的账户名和不同的密码，但数量多了记不来，这就是我这几个帖子谈到的问题。

bbjj : 2021-02-11#6

有时连总密码都想不起来了咋办

reed : 2021-02-11#7

bbjj 说:
有时连总密码都想不起来了咋办

在中国，带上身份证户口簿，到柜台办理，一定办得成。

在西方，可能完全没有办法，因为他们讲究保护隐私，那些密码管理工具开发时没有留后门，忘记密码就连开发公司自己都无法帮你

HereIAm : 2021-02-11#8

用开源云密码管理器bitwarden.com，个人基本版免费，可用Google授权app作两级登陆验证，验证后的手机app可用指纹快速登录。复杂密码自动生成记忆，手机应用网站自动密码填入。。。有流行浏览器插件，手机台式机笔记本密码共享。除了密码，该保险箱还可用于重要信息保存。
主密码技巧楼主已讲。本人喜欢用诗句，例如，取“黄河远上白云间一片孤城万仞山”首字母稍作变换就很好。

bbjj : 2021-02-11#9

reed 说:
在中国，带上身份证户口簿，到柜台办理，一定办得成。

在西方，可能完全没有办法，因为他们讲究保护隐私，那些密码管理工具开发时没有留后门，忘记密码就连开发公司自己都无法帮你

好怕老人痴呆

reed : 2021-02-11#10

bbjj 说:
好怕老人痴呆

不怕，用容易记的密码

bbjj : 2021-02-11#11

老人痴呆四位数都记不住

reed : 2021-02-11#12

说到密码设置技巧，需要自己好记，别人难猜。

前面有人说，用激励自己的口号、咒骂情敌的话、或用诗句。

也可以用 π ，我可以背小数点后 26 位，用其中的片段，并打乱次序，这样组成的密码谁能猜呢？

我一个银行账户的密码嵌入了贝多芬一部交响乐的一个片段。

周雅 : 2021-02-11#13

reed 说:
之前我发过两个讨论密码保存方法的帖子：

保存密码有什么好方法？
再谈密码话题 - 你是否会用Google/Facebook登录其他网站？

里面谈过的方法包括：

记在本子上

记在手机/电脑/云端

记在密码管理工具里

密码管理工具似乎是最高级的方法了。

但是，以上方法都没有摆脱一个问题，那就是这些方法其实都是靠另一个密码来保护需要保管的密码。例如把记录的本子锁在抽屉里；手机/电脑/云端的记录文件，还有密码管理工具，本身也需要靠一个密码来保护。也就是说需要一个总密码。

一旦小偷把抽屉的锁砸烂，或把你的总密码攻破，你所有的密码还是会失窃。

其实有一个最简单最基本的方法，能够实现更可靠的保护。这个方法也不是什么神秘东西，都是公开的，例如银行或税局给你寄密码的信件里面，一般都会提醒你使用的方法。

这个方法就是，把账号和密码分开存放，这样，即使盗贼偷到你的账号，他看不到密码；或者偷到密码，却看不到对应的账号。除非盗贼既偷到账号又偷到密码，但只要你把账号和密码放到两个毫不相干的地方，这种可能性就几乎为零。

打个比方，你把账号本放在一家银行的保险箱，密码本放另一家银行保险箱。即使盗贼撬了保险箱拿到账号本，他上哪儿找对应的密码本？

想法很丰满，现实不方便。

Long Vacation : 2021-02-11#14

我用规律密码。

比如Amazon.com
取其域名最后一个字母，是n，的后一个字母，o,然后大写，放在密码的第一位。
后面用一个符号，比如@，再加上你的幸运数字，比如我用0304
再取域名的最前面一个字母，是A，的前面一个字母，就是z，直接小写。
后面再用一个符号，比如%，再加上你的第二个幸运数字，比如我用0329

这样，一个以大写字母为首，包括字母，符号，数字的密码就形成了。
肯定超过八位，肯定有一个大写，一个小写字母。
而且每个网站各自不同。

如果你有幸破解了其中一个，我不把规律说给你听，
你还是不能破解我的全部密码。

密林深处 : 2021-02-11#15

都是给“专家”吓得，整天提心吊胆，疑神疑鬼。密码泄露问题没有那么严重。
我的Email被盗，我都懒得换密码，让盗者随意游览。他还不错，还帮我回了很多帖，骂那些广告帖Fake。只不过好景不长，一个星期后，那家伙对我失去兴趣，再也不来看我的Email.

reed : 2021-02-11#16

周雅说:
想法很丰满，现实不方便。

不会太麻烦，就是多登录一个地方，而且是忘了密码才需要查，平时常用的密码一般都能记住。

reed : 2021-02-11#17

Long Vacation 说:
我用规律密码。

比如Amazon.com
取其域名最后一个字母，是n，的后一个字母，o,然后大写，放在密码的第一位。
后面用一个符号，比如@，再加上你的幸运数字，比如我用0304
再取域名的最前面一个字母，是A，的前面一个字母，就是z，直接小写。
后面再用一个符号，比如%，再加上你的第二个幸运数字，比如我用0329

这样，一个以大写字母为首，包括字母，符号，数字的密码就形成了。
肯定超过八位，肯定有一个大写，一个小写字母。
而且每个网站各自不同。

如果你有幸破解了其中一个，我不把规律说给你听，
你还是不能破解我的全部密码。

你这个自己定义的算法，可以写代码去实现，查询方便。

Long Vacation : 2021-02-11#18

reed 说:
你这个自己定义的算法，可以写代码去实现，查询方便。

心里记住就行啦，不留在存储介质中。

Chinada : 2021-02-11#19

reed 说:
我一个银行账户的密码嵌入了贝多芬一部交响乐的一个片段。

我猜是33455432

reed : 2021-02-11#20

密林深处说:
都是给“专家”吓得，整天提心吊胆，疑神疑鬼。密码泄露问题没有那么严重。
我的Email被盗，我都懒得换密码，让盗者随意游览。他还不错，还帮我回了很多帖，骂那些广告帖Fake。只不过好景不长，一个星期后，那家伙对我失去兴趣，再也不来看我的Email.

我记得这里管理员就 “吓” 过大家几次

你居然任由别人进你的 email

，不怕泄漏隐私？

reed : 2021-02-11#21

Chinada 说:
我猜是33455432

必须是自己易记，别人难猜

密林深处 : 2021-02-11#22

reed 说:
我记得这里管理员就 “吓” 过大家几次

你居然任由别人进你的 email ，不怕泄漏隐私？

我的Email里大部分是广告、账单、小孩学校通知，那有什么私密的事，盗者对这事没兴趣。
借宝地说件有趣的事，刚移民来加时闲在家里无聊，语言又不好。一个自称是微软工程师的印度人，搞到我的电话，并能远程操控我的电脑。于是打电话给我，说是要帮助我解决电脑“臭虫”问题，我装着不懂，请他帮忙，还夸他服务好，每天聊两个小时，聊了一个星期，这期间我的英语听说水平突飞猛进。最后他要我买他们的软件时，我说我的电脑太老了，已经不值得花钱维护了，气得他再也不打电话来了。

WhiteWind : 2021-02-12#23

HereIAm 说:
用开源云密码管理器bitwarden.com，个人基本版免费，可用Google授权app作两级登陆验证，验证后的手机app可用指纹快速登录。复杂密码自动生成记忆，手机应用网站自动密码填入。。。有流行浏览器插件，手机台式机笔记本密码共享。除了密码，该保险箱还可用于重要信息保存。
主密码技巧楼主已讲。本人喜欢用诗句，例如，取“黄河远上白云间一片孤城万仞山”首字母稍作变换就很好。

要支持2FA每年10美刀，并不贵，关键是开源。

lazyzyf : 2021-02-12#24

bitwarden免费开源安全易用，你值得拥有。

starry starry night : 2021-02-12#25

最好的办法是记在脑子里

reed : 2021-02-12#26

密林深处说:
我的Email里大部分是广告、账单、小孩学校通知，那有什么私密的事，盗者对这事没兴趣。
借宝地说件有趣的事，刚移民来加时闲在家里无聊，语言又不好。一个自称是微软工程师的印度人，搞到我的电话，并能远程操控我的电脑。于是打电话给我，说是要帮助我解决电脑“臭虫”问题，我装着不懂，请他帮忙，还夸他服务好，每天聊两个小时，聊了一个星期，这期间我的英语听说水平突飞猛进。最后他要我买他们的软件时，我说我的电脑太老了，已经不值得花钱维护了，气得他再也不打电话来了。

和印度人练英语，学到大舌头发音

Mona Dosa : 2021-02-12#27

我有一个本子记密码，里边有以前的账单和记事，见缝插针地记密码，密密麻麻的，需要用密码的时候本子翻烂了都找不到

。就是贼偷了都找不到密码。

密林深处 : 2021-02-12#28

reed 说:
和印度人练英语，学到大舌头发音

耐心认真，不厌其烦，任劳任怨，还又免费，你要有多好的运气才能找到这样的英语陪练老师啊？

reed : 2021-02-12#29

密林深处说:
耐心认真，不厌其烦，任劳任怨，还又免费，你要有多好的运气才能找到这样的英语陪练老师啊？

他是另有目的，你揣着明白装糊涂把人家耍了

加拿大家园论坛三谈密码保存的安全方法

原文链接：https://forum.iask.ca/threads/921645/

加拿大家园论坛

三谈密码保存的安全方法