三谈密码保存的安全方法

[reed]

之前我发过两个讨论密码保存方法的帖子：

保存密码有什么好方法？
再谈密码话题 - 你是否会用Google/Facebook登录其他网站？

里面谈过的方法包括：

1. 记在本子上
2. 记在手机/电脑/云端
3. 记在密码管理工具里

密码管理工具似乎是最高级的方法了。

但是，以上方法都没有摆脱一个问题，那就是这些方法其实都是靠另一个密码来保护需要保管的密码。例如把记录的本子锁在抽屉里；手机/电脑/云端的记录文件，还有密码管理工具，本身也需要靠一个密码来保护。也就是说需要一个总密码。

一旦小偷把抽屉的锁砸烂，或把你的总密码攻破，你所有的密码还是会失窃。

其实有一个最简单最基本的方法，能够实现更可靠的保护。这个方法也不是什么神秘东西，都是公开的，例如银行或税局给你寄密码的信件里面，一般都会提醒你使用的方法。

这个方法就是，把账号和密码分开存放，这样，即使盗贼偷到你的账号，他看不到密码；或者偷到密码，却看不到对应的账号。除非盗贼既偷到账号又偷到密码，但只要你把账号和密码放到两个毫不相干的地方，这种可能性就几乎为零。

打个比方，你把账号本放在一家银行的保险箱，密码本放另一家银行保险箱。即使盗贼撬了保险箱拿到账号本，他上哪儿找对应的密码本？

 

[Overmind]

方便和安全是对立的。楼主说的方法不错，很安全。但是方便度就差了。如果你去银行打开自己的保险箱，就得先去另一家银行去查看密码本。就要跑两个地方。

还是自己在常用电脑里面使用密码管理工具比较好。所谓“总密码”，其实最简单的方式是想一句话，提取其首字母，然后进行简单替代就可以。比如楼主这个主题：“三谈密码保存的安全方法”，提取其数字和其他文字的拼音首字母就是：3tmmbcdaqff，然后把第一个出现的字母大写，变成 3Tmmbcdaqff，然后找出其中一个最容易被特殊字符替换的字母，比如 a => @，就变成 3Tmmbcd@qff。这最后一步很容易实现，我举几个栗子：a=>@, s=>$, i=>! 等等。

就这样生成的密码，实际上极难被攻破。一般的暴力算法根本没戏。而且非常好记。很适合做“总密码”。你所要做的就是想一句话。比如自己激励自己的口号啊，咒骂自己的情敌啊，跪舔女神啊什么的，都行。

 

[Chinada]

重要的一点，不同的网站要用不同的密码

如果一个网站信息泄露，不会影响其他网站

 

[reed]

方便和安全是对立的。楼主说的方法不错，很安全。但是方便度就差了。如果你去银行打开自己的保险箱，就得先去另一家银行去查看密码本。就要跑两个地方。

还是自己在常用电脑里面使用密码管理工具比较好。所谓“总密码”，其实最简单的方式是想一句话，提取其首字母，然后进行简单替代就可以。比如楼主这个主题：“三谈密码保存的安全方法”，提取其数字和其他文字的拼音首字母就是：3tmmbcdaqff，然后把第一个出现的字母大写，变成 3Tmmbcdaqff，然后找出其中一个最容易被特殊字符替换的字母，比如 a => @，就变成 3Tmmbcd@qff。这最后一步很容易实现，我举几个栗子：a=>@, s=>$, i=>! 等等。

就这样生成的密码，实际上极难被攻破。一般的暴力算法根本没戏。而且非常好记。很适合做“总密码”。你所要做的就是想一句话。比如自己激励自己的口号啊，咒骂自己的情敌啊，跪舔女神啊什么的，都行。

方便度没问题，银行保险箱只是我打的比方，实际操作是，使用两个密码管理工具（或其他类似手段），一个存放账户，另一个放密码。

这样，需要两个 “总密码”。注意，黑客面对的难度，并非只是两倍，而是高得多，因为在攻击两个密码之前，必须先猜出两者之间的关联，后者几乎无从下手。即使黑客拥有量子计算机，可以秒破任何密码，但他无法猜出两者关联，所以无的放矢。

 

[reed]

重要的一点，不同的网站要用不同的密码

如果一个网站信息泄露，不会影响其他网站

没错，不同地方要用不同的账户名和不同的密码，但数量多了记不来，这就是我这几个帖子谈到的问题。

 

[bbjj]

有时连总密码都想不起来了咋办

 

[reed]

有时连总密码都想不起来了咋办

在中国，带上身份证户口簿，到柜台办理，一定办得成。

在西方，可能完全没有办法，因为他们讲究保护隐私，那些密码管理工具开发时没有留后门，忘记密码就连开发公司自己都无法帮你

 

[HereIAm]

用开源云密码管理器bitwarden.com，个人基本版免费，可用Google授权app作两级登陆验证，验证后的手机app可用指纹快速登录。复杂密码自动生成记忆，手机应用网站自动密码填入。。。有流行浏览器插件，手机台式机笔记本密码共享。除了密码，该保险箱还可用于重要信息保存。
主密码技巧楼主已讲。本人喜欢用诗句，例如，取“黄河远上白云间一片孤城万仞山”首字母稍作变换就很好。

 

[bbjj]

在中国，带上身份证户口簿，到柜台办理，一定办得成。

在西方，可能完全没有办法，因为他们讲究保护隐私，那些密码管理工具开发时没有留后门，忘记密码就连开发公司自己都无法帮你

好怕老人痴呆

 

[reed]

好怕老人痴呆

不怕，用容易记的密码

 

[bbjj]

老人痴呆四位数都记不住

 

[reed]

说到密码设置技巧，需要自己好记，别人难猜。

前面有人说，用激励自己的口号、咒骂情敌的话、或用诗句。

也可以用 π ，我可以背小数点后 26 位，用其中的片段，并打乱次序，这样组成的密码谁能猜呢？

我一个银行账户的密码嵌入了贝多芬一部交响乐的一个片段。

 

[周雅]

之前我发过两个讨论密码保存方法的帖子：

保存密码有什么好方法？
再谈密码话题 - 你是否会用Google/Facebook登录其他网站？

里面谈过的方法包括：

1. 记在本子上
2. 记在手机/电脑/云端
3. 记在密码管理工具里

密码管理工具似乎是最高级的方法了。

但是，以上方法都没有摆脱一个问题，那就是这些方法其实都是靠另一个密码来保护需要保管的密码。例如把记录的本子锁在抽屉里；手机/电脑/云端的记录文件，还有密码管理工具，本身也需要靠一个密码来保护。也就是说需要一个总密码。

一旦小偷把抽屉的锁砸烂，或把你的总密码攻破，你所有的密码还是会失窃。

其实有一个最简单最基本的方法，能够实现更可靠的保护。这个方法也不是什么神秘东西，都是公开的，例如银行或税局给你寄密码的信件里面，一般都会提醒你使用的方法。

这个方法就是，把账号和密码分开存放，这样，即使盗贼偷到你的账号，他看不到密码；或者偷到密码，却看不到对应的账号。除非盗贼既偷到账号又偷到密码，但只要你把账号和密码放到两个毫不相干的地方，这种可能性就几乎为零。

打个比方，你把账号本放在一家银行的保险箱，密码本放另一家银行保险箱。即使盗贼撬了保险箱拿到账号本，他上哪儿找对应的密码本？

想法很丰满，现实不方便。

 

[Long Vacation]

我用规律密码。

比如Amazon.com
取其域名最后一个字母，是n，的后一个字母，o,然后大写，放在密码的第一位。
后面用一个符号，比如@，再加上你的幸运数字，比如我用0304
再取域名的最前面一个字母，是A，的前面一个字母，就是z，直接小写。
后面再用一个符号，比如%，再加上你的第二个幸运数字，比如我用0329


这样，一个以大写字母为首，包括字母，符号，数字的密码就形成了。
肯定超过八位，肯定有一个大写，一个小写字母。
而且每个网站各自不同。

如果你有幸破解了其中一个，我不把规律说给你听，
你还是不能破解我的全部密码。

 

[密林深处]

都是给“专家”吓得，整天提心吊胆，疑神疑鬼。密码泄露问题没有那么严重。
我的Email被盗，我都懒得换密码，让盗者随意游览。他还不错，还帮我回了很多帖，骂那些广告帖Fake。只不过好景不长，一个星期后，那家伙对我失去兴趣，再也不来看我的Email.

 

[reed]

想法很丰满，现实不方便。

不会太麻烦，就是多登录一个地方，而且是忘了密码才需要查，平时常用的密码一般都能记住。

 

[reed]

我用规律密码。

比如Amazon.com
取其域名最后一个字母，是n，的后一个字母，o,然后大写，放在密码的第一位。
后面用一个符号，比如@，再加上你的幸运数字，比如我用0304
再取域名的最前面一个字母，是A，的前面一个字母，就是z，直接小写。
后面再用一个符号，比如%，再加上你的第二个幸运数字，比如我用0329


这样，一个以大写字母为首，包括字母，符号，数字的密码就形成了。
肯定超过八位，肯定有一个大写，一个小写字母。
而且每个网站各自不同。

如果你有幸破解了其中一个，我不把规律说给你听，
你还是不能破解我的全部密码。

你这个自己定义的算法，可以写代码去实现，查询方便。

 

[Long Vacation]

你这个自己定义的算法，可以写代码去实现，查询方便。

心里记住就行啦，不留在存储介质中。

 

[Chinada]

我一个银行账户的密码嵌入了贝多芬一部交响乐的一个片段。

我猜是33455432

 

[reed]

都是给“专家”吓得，整天提心吊胆，疑神疑鬼。密码泄露问题没有那么严重。
我的Email被盗，我都懒得换密码，让盗者随意游览。他还不错，还帮我回了很多帖，骂那些广告帖Fake。只不过好景不长，一个星期后，那家伙对我失去兴趣，再也不来看我的Email.

我记得这里管理员就 “吓” 过大家几次

你居然任由别人进你的 email ，不怕泄漏隐私？