这是一个创建于 2196 天前的主题,其中的信息可能已经有所发展或是发生改变。
所有网站密码都一样
一开始所有网站的密码都是一样的,但是期间发生了一件事,爱奇艺密码泄露了,于是花了一天修改了所有网站的密码,这酸爽谁试谁知道。
这里要吐槽下爱奇艺,早些年只要开通会员,账号百分百被别人异地登录,甚至被修改手机号,我一直觉得是内部搞的鬼...
密码分级
经历爱奇艺事件后,心想不能把鸡蛋放在一个篮子里,于是把密码分成 2 部分:基础密码+密码扩展字符,并根据账号 zhong,比如:
- 第一级支付类:Qwer.1234/!
- 第二级微信、qq 等:Qwer.1234
- 第三级一般网站:Qwer1234
password-generator+Enpass
- 密码生成:password-generator
- 密码管理:Enpass
- WebDav 服务器:seafile
这样也有一个坏处,qq 等不能黏贴的,每次要手动输入真的是愁人啊,要是各位大佬有什么更好的方式,可以在下面回复哦。
 | 1 kai2ex 2019-10-16 11:16:08 +08:00  4 先说下你的头像怎么回事 |
 | 2 lllllliu 2019-10-16 11:16:20 +08:00 桌面端的搞个按键精灵之类的,按热键自动输入? 移动端 不晓得, 网页有自动填充, |
 | 3 doveyoung 2019-10-16 11:17:29 +08:00 想用 1pass 但是有点贵。。 |
 | 4 lj394139 2019-10-16 11:19:06 +08:00 和你的方案差不多,然后特别小的站或者临时的用 google 生成并保存同步,为什么感觉很少人用 google 密码管理 |
 | 5 sundev 2019-10-16 11:20:28 +08:00 有个 奇密 的 ios app,实现了一个键盘,思路挺不错的,任何地方都能输入。 |
又想骗暗号,我是不会上当的。 | 10 alphadog619 2019-10-16 11:25:26 +08:00 lastpass 更新后连简体中文都没了 |
 | 12 toptyloo 2019-10-16 11:27:32 +08:00 via Android 1 我用 bitwarden |
 | 13 Davic1 2019-10-16 11:27:54 +08:00 用 1Password 生成密码. 稍微重要的加个二次验证 很重要的, 靠脑子 |
 | 14 Atukey 2019-10-16 11:27:57 +08:00 http://ss.acat.vip/ [img]https://s2.ax1x.com/2019/10/16/KiJ9kn.jpg[/img] |
 | 15 Suvigotimor 2019-10-16 11:27:59 +08:00 不是,先开个上午车呗,开车助于活跃血液流动,减少困乏 |
 | 16 marktao99 2019-10-16 11:39:17 +08:00 苹果全家桶的话,直接用苹果家的密码管理系统就好啊 跨平台就 1Password |
 | 17 jasonyang9 2019-10-16 11:40:01 +08:00 如果没记错的话,头像是蜜桃成熟时 |
 | 18 x86 2019-10-16 11:40:56 +08:00 看着跟花密差不多 |
 | 19 benedict00 2019-10-16 11:42:42 +08:00 via Android 1 bitwarden 挺好 |
 | 20 berumotto 2019-10-16 12:03:43 +08:00 avatar!gkd!gkd! |
 | 21 DesertCamel 2019-10-16 12:05:41 +08:00 via Android 安卓用 账号本子,免费,但不能自动填充。 |
 | 22 moonlitlaputa 2019-10-16 12:07:29 +08:00 via Android 1 为什么不用 bitwarden 呢? |
 | 23 ershierdu 2019-10-16 12:09:10 +08:00 借楼问一下 1password 之类的密码管理的正确用法是啥?我感觉每次用都要输主密码很麻烦,经常是把它的弹窗叉掉,直接用 Chrome 的填充…… |
 | 24 yylzcom 2019-10-16 12:17:00 +08:00 via Android Keepass 在安卓和 Windows,Linux 桌面下体验都不错。自己解决同步问题 |
 | &nsp; 27 loading 2019-10-16 12:36:24 +08:00 via Android 别扯这些没用的,不如一起提升 keepadd |
 | 28 darlinghsu 2019-10-16 13:16:38 +08:00 用的 1password (官网)一年免费试用中 以后可以和信得过的人开 家庭版 反正账号独立 但是便宜多了 |
 | 29 ansonsiva 2019-10-16 13:25:21 +08:00 via iPhone @moonlitlaputa 因为丑 |
 | 30 pocketmiddle 2019-10-16 13:28:06 +08:00 via iPhone 1password 可以跟别人组家庭版,账号都是独立管理的。我的车还有一个位子,有需要的也可以私信我。 |
 | 31 cmdOptionKana 2019-10-16 13:33:07 +08:00 via iPhone @ershierdu 方便与安全不可兼得。每个人追求的安全程度不一样。浏览器记忆密码的安全性稍差一些。 |
 | 32 zhucegeqiu 2019-10-16 13:34:16 +08:00 docker 自建 bitwardern,用了半年了,非常满意 |
 | 34 Kahnn 2019-10-16 13:35:57 +08:00 via Android 我的和你类似,分成了一般、重要、工作三类,一般网站使用花密生成密码 Chrome 同步,重要资金类使用 keepass 保存,工作类因为需要在公司电脑登陆单独使用 bitwarden 同步。像 QQ、微信、Google 这种我一般都使用相同密码,因为有短信验证或两步验证保证安全 |
 | 35 lovedebug 2019-10-16 13:36:42 +08:00 safeincloud + webdav 很香 |
 | 36 passerbytiny 2019-10-16 13:43:11 +08:00 你这个好麻烦。Keepass+Onedrive (或者其他同步工具)就够了, |
 | 37 lewis04 2019-10-16 13:46:42 +08:00 直接手机自带备忘录 |
 | 38 loshine1992 2019-10-16 13:59:17 +08:00 Keepass 不香么。。 Keepass 的密码生成方案不够强大么。。 |
 | 39 bjzhush 2019-10-16 14:04:52 +08:00 @loshine1992 Keepass + 1 Linux+Mac+IOS+Mac 都在用,手机上是通过 Dropbox 同步文件的,总体是 git 管理然后上传的 不知道你的多端同步怎么做的 ? |
 | 40 LaCroqueta12 2019-10-16 14:05:46 +08:00 从 1password 换到 bitwarden 又换到 lastpass。。。 |
 | 41 hmd191012 2019-10-16 14:16:53 +08:00 我自己的方式,首先我会有个自己定义的数字,比如 12345,然后很多规则必须包含大写、小写、数字、特殊符号,例如 Alipay,所以我采用的方式,比如我名字缩写:hmd,可能我的就变成了 Hmd12345Alipay,这样保证都不同,就算有一个需要了,修改下顺序或者更换关键字就行。 |
 | 42 UncleCat01 2019-10-16 14:17:01 +08:00 1 @ershierdu 可以用 Windows Hello,买个 USB 的指纹就可以,上阿里巴巴有几十块的不过两个起批一直没买。 https://support.1password.com/windows-hello/ |
| 43 hmd191012 2019-10-16 14:19:55 +08:00 我的天,注册未满 14 天还不让发,我删了好多关键字。 反正规则就是:某几个特定的字母+某几个特定的数字+改帐号是哪儿的帐号 当然,要是开心的话,中间还可以用特定的连接符:@#!¥%&* |
 | 44 Lentin 2019-10-16 14:21:10 +08:00 via iPhone @loshine1992 keepass 软件体验极差,该能到没什么硬伤 |
 | 45 pyfan 2019-10-16 14:22:54 +08:00 0.o0o.00o00.o00.0o |
 | 46 KiseXu 2019-10-16 14:28:35 +08:00 1 |
 | 47 Yuicon 2019-10-16 14:30:00 +08:00 自己做了个网站存密码 |
 | 48 Frank520 2019-10-16 14:34:13 +08:00 用记事本管理的 有时候忘了就用手机号找回 手机号丢了就全完了 |
 | 49 tankren 2019-10-16 14:52:49 +08:00 我都是大脑记密码 只有支付类 私人账号类密码是不一样的 一般的网站什么的都是一样的 用 chrome 或者 Android 自带的 Google 密码管理 Google 账号密码是 18位大小写数字符号混合。。。 |
 | 50 Leonard 2019-10-16 15:01:27 +08:00 苹果全家桶,直接自动生成并保存密码 |
 | 51 Chieh 2019-10-16 15:02:53 +08:00 keepass+onedrive 除了界面丑没什么缺点 |
 | 52 smilzman OP @jasonyang9 #17  你知道太多了 |
| 53 smilzman OP @loshine1992 #38 Enpass 有密码自动生成功能,chrome 也有密码自动生成功能,那我为什么要多此一举呢?比如我在网吧需要登录某个网站,这时候我可以打开 password-generator 获取密码,这只是一个备份手段,防止在极端情况下找不到密码,比如保存的密码数据丢失了,比如手机没电了。 |
 | 56 pkookp8 2019-10-16 15:56:33 +08:00 via Android 同样的密码前缀,同样的用户名 不同的密码后缀 |
 | 57 ericdeng 2019-10-16 15:58:08 +08:00 via Android lastpass 够用了,全平台支持 |
 | 58 JustRookie 2019-10-16 16:03:22 +08:00 口头禅拼音简写+123 |
 | 59 admc 2019-10-16 16:24:48 +08:00 |
 | 60 Dvel 2019-10-16 16:27:36 +08:00 我是把 qq、steam、战网这些需要经常手动输入的设置成一样,几个月更换一次,其他的全部随机 1password。 |
 | 61 gzzchh 2019-10-16 16:31:44 +08:00 via Android keepass 系列 keepassxc 日用+原版进行管理 涉及隐私的东西肯定要选择开源的啊 所以 1pass 和 last pass 直接排除。 至于同步?坚果云就好了 |
 | 62 BlBana 2019-10-16 16:37:06 +08:00 我们是 1password 的 10 人车,下来一年 40/人,很稳 |
 | 63 CoCoMcRee 2019-10-16 16:37:23 +08:00 我自己和题主差不多 平时就记住 3 个密码, 3 个密码的安全性和使用场景以此分类: 1 级 用于带有支付功能应用, 比如支付宝,微信,还有 AppStore 等. 2 级 用于带有个人隐私的应用, 比如邮箱,个大社交平台. 3 级 用于乱七八糟网站,临时性注册使用, 类似论坛啥的. 然后自己利用提示词在个人云盘上存一分账号密码文档, 密码只用提示词保存,并确保只有自己看懂的. |
 | 64 bandian 2019-10-16 16:46:14 +08:00 我现在是 keepass + 坚果云,不过说实话,感觉在安全性上不一定比得上 1pass 和 lastpass,毕竟人家是专业的。 之前也用过一段时间 lastpass,界面比 keepass 好看,但是加载很慢,而且好像只支持带 google service 的 android 手机。遂弃用。 |
| 65 admc 2019-10-16 16:47:18 +08:00 给个思路,关于密码生成,楼上也提到口头禅,之前看到一个段子,说 cptbtptp 这种密码怎么来的,其实就是“吃葡萄不吐葡萄皮”的首拼。 1.那类似这种谚语古诗都可以拿来当做素材,然后加上 QQ、baidu、这些平台的首拼或者全拼,组成小写字母部分 例如:cjsnyxz //楚江水暖鸭先知 2.自己记忆一组数字,例如 1245,用来将字母部分中的第 1245 位变为大写字母 例如:CJsNYxz //1245 位大写 3.然后可以用注册时间这种非固定的数字当做数字部分 例如:CJsNYxz191016 //加上日期 4.然后固定位置加上自己的标识 例如:CJsNYxz191@admc@016 //输完密码回退 3 格添加 @admc@ 关于记录 记录还是需要的,小本本上记下 注册时间、平台名就可以了 整体思路就是用一串易记忆的长的文字首拼+几串短的不好记忆的短字符串+一串有规律的会变化的字符。 |
| 66 admc 2019-10-16 16:49:38 +08:00 我始终不相信第三方密码管理软件,密码这种东西最好掌握在自己手上 |
 | 67 klgd 2019-10-16 16:56:35 +08:00 @zhucegeqiu #32 @benedict00 #19 @moonlitlaputa #22 借楼问一下,为什么 bitwardern 要去他们网站生成 Installation Id & Key ? |
| 68 loshine1992 2019-10-16 16:57:54 +08:00 |
| 69 loshine1992 2019-10-16 17:01:33 +08:00 |
 | 70 d5 2019-10-16 17:05:49 +08:00 从 1password 切换到了 enpass,最近 1p 在我这里总是间歇性无法同步,需要开全局,同步速度也不太行。 所以回到了 enpass+坚果云。 |
 | 71 qcgzxw 2019-10-16 17:10:49 +08:00 只有我一个人用的谷歌浏览器自动生成和保存吗??? |
 | 72 ftu 2019-10-16 17:17:44 +08:00 无脑 1password,什么密码都靠这货,组了家庭车 |
 | 73 dai640 2019-10-16 17:17:45 +08:00 via iPhone 密码管理器首推 keepass,无它,开源,安全审核机制。主要是操作易用性拦倒了一堆用户,其实只要用得好,完全不逊色任何一款密码管器,这得看个人熟练程度,丰富插件+触发器,所向无敌。剩下的是颜值 UI,毕竟这是没有任何盈利来源的开源作品,与商业产品所拥有的专业设计师,肯定是不一样的。次选 Bitwarden。 |
 | 76 haisua 2019-10-16 18:14:41 +08:00 用了很多年 lastpass,外加两步验证确保安全 |
| 77 dai640 2019-10-16 18:37:16 +08:00 2 @Awes0me #75 手机有 strongbox,keepassium,这 2 个都是开源的,个人推荐 strongbox,内置各网盘的 api 接口,同步是实时的,而 keepassium 实际上是不含这些接口的,虽然官方文档说的是支持大部分网盘,实则需要通过系统的 “File” APP 来加载第三方网盘 app 里存放的 kdbx 文件,也就是说你必须要在系统上保证有这几个 APP,如 dropbox,onedrive,google drive 等,如果这些 APP 没装,或者是删了,那你是无法同步,事实上就算你装了,它的同步也是很困难的,哪怕你不断下拉刷新,也是无法刷新同步,这个问题已经跟作者反馈过好多次,但是作者坚持同步是没有问题的(在 twitter,reddit,github issues,邮件都提过这个同步的问题,作者不鸟),这 2 个都可以免费使用,有内购,可以先试用对比再选择。 |
 | 78 spirit1431007 2019-10-16 18:53:30 +08:00 via Android keepass xc+坚果云 |
 | 79 zhenzinian 2019-10-16 19:03:27 +08:00 pc 上一个 bitwarden 够了 关键是手机上自动填写好像没什么好办法?手机上复制粘贴忒费劲 求达人指教 |
 | 80 hengstchon 2019-10-16 19:11:48 +08:00 @zhenzinian 之前用 keepass,现在转到 Bitwarden,觉得比 keepass 方便好用。电脑端用 chrome 插件,Android 手机也有客户端,可以自动填写密码,什么场景下需要复制粘贴呢? |
 | 81 youngxu 2019-10-16 19:16:53 +08:00 via Android 1 楼问头像是什么意思? |
 | 82 aoe2ex 2019-10-16 19:31:09 +08:00 lastpass |
 | 83 Cabana 2019-10-16 20:18:10 +08:00 via Android Keepass + owncloud |
 | 84 mageemeng 2019-10-16 20:32:10 +08:00 via iPhone 最开始 1password + Dropbox、后来用 1password+iCloud |
 | 85 shingoxray 2019-10-16 21:25:40 +08:00 KeePass+iCloud,目前 iPhone+Mac+Windows 用的挺好的。 |
 | 86 jqtmviyu 2019-10-16 22:12:56 +08:00 公司办公密码用 bitwarden 私人账号密码用 keepass |
 | 87 Awes0me 2019-10-16 22:50:02 +08:00 @shingoxray 用的都是哪几个客户端呢 |
 | 88 GoTop 2019-10-16 23:25:30 +08:00 我用 lastpass 会不会被鄙视? |
 | 89 augustpluscn 2019-10-17 08:32:45 +08:00 google 自带就很好用呀,能解决 90%的问题.剩下的 10%不用解决.因为那有所有问题都解决的 |
 | 90 695975931 2019-10-17 08:33:15 +08:00 lastpass-->bitwarden-->lastpass |
| 91 UncleCat01 2019-10-17 08:48:24 +08:00 @zhenzinian 谷歌 autofill,国产小米现在带这个框架,别的不知道,一加应该也有 |
| 92 smilzman OP @augustpluscn #89 google 之前在用,后面基本上用的少了,怕哪一天变成局域网或者 google 停止大中华的服务呢=。= |
| 93 lllllliu 2019-10-17 10:01:16 +08:00 -.-除了谷歌用的最多的,也是最好用的我感激 就是 iCloud 的钥匙串。 |
 | 94 AN3O 2019-10-17 10:48:31 +08:00 @klgd https://hub.docker.com/r/bitwardenrs/server 对配置要求低,无需 Installation Key |
 | 95 FantasyPupil 2019-10-17 11:12:46 +08:00 KeePass 开源,免费。 可以借助坚果云同步保存。有历史记录 80150348 |
 | 97 rbforelle 2019-10-17 19:05:50 +08:00 via Android 为啥大家不用 keepass ?开源免费,各个平台上的客户端都很好用,密码自动填充啥的都没问题,安全性也更高,自己解决同步问题就好了 |
| 98 shingoxray 2019-10-17 22:17:02 +08:00 @Awes0me KeePass for Windows | Strongbox for macOS | KeePassium for iOS |
 | 100 shansing 2019-10-18 21:57:29 +08:00 楼主竟然在代码里投毒! 因为基于花密做了自己的修改版( https://shansing.com/read/477/ ),我看到楼主也是记忆密码+区分代号的形式(之后也从代码看出借鉴花密的地方),想稍微看看优缺点(其实主要是看缺点的,逃)。花一会儿工夫看懂代码以后,却怎么也调试不出预期结果。费了好几番心思才发现,楼主提供的 .js 和 .min.js 不一致!我调试时用网页加载的 .min.js ,然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。 然后来说说我的拙见。 楼主的可选项确实比我的丰富一些:我的沿袭花密,没有让用户决定更多东西。让我感兴趣的是,楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码,原来是使用了可改变的字母表( alphabet 变量)。然后根据 hash hex 每个字符的 ASCII 码,每次累加,索引字母表。初看我觉得这个想法很好,不过越想越觉得不优雅。 现在讨论 .min.js 那一套,也就是网页上使用的算法;默认设置,即使用标点,字母区分大小写。根据 hash hex 的特性,每个字符只有 16 种可能,加上大小写的指定,有 22 种。那么对应的 ASCII 码也是 22 种可能( 48~57,65~70,97~102 )。由此得出,最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加,也只有 22 种特定分布的步长,也许会造成最终密码中一些字符比另一些更可能出现。话说回来,即使步长是均匀分布的,也会造成类似情况。当然这不是硬伤,只是最终密码没有看上去那么强壮。 我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值,在我看来这既没必要(除非坚持可变字母表)也增加安全风险,好似篡改了 hash 算法。而密码学最佳实践要求,不要自造加密算法。我想 hash 算法是类似的道理吧。 |
Select Language