保管和使用密码的正确方式

Ningbo

一直用 KeePass, 不过担心哪天被破解

gifox

Ningbo 发表于 2018-7-28 17:35
一直用 KeePass, 不过担心哪天被破解

没有无敌的解决方案，你只能选相对最强的。

这些专门做安保的公司，自己会做pen测试，也有外面的pen team经常发表报告。除了本身安全程度比一般网站高很多，发现问题修复也会更快

红高粱

手机验证码，最简单最有效

maxdll

外行有个问题不明白，有种加密狗的密钥usb，是不是可以防止密码被盗用。如果是，手机验证+软密码+硬密码的组合方式会不会更周全呢。

gifox

maxdll 发表于 2018-7-28 18:39
外行有个问题不明白，有种加密狗的密钥usb，是不是可以防止密码被盗用。如果是，手机验证+软密码+硬密码的 ...

手机验证+软密码+硬密码 本身是很安全的，但是你无法控制你要去的网站是否支持这种登入方式。事实上大部分网站都是不支持的加密狗的

gifox

红高粱 发表于 2018-7-28 18:18
手机验证码，最简单最有效

那也就是2fa了，如果遇到不支持2fa的网站呢？
比如新足迹就不支持了。

Zwlt123

Interesting!!! 看了收获不少

楼主能不能介绍怎么挑选Cloud 云储存？比如for banking documents

gifox

Zwlt123 发表于 2018-7-29 21:17
Interesting!!! 看了收获不少

楼主能不能介绍怎么挑选Cloud 云储存？比如for banking documents ...

我没有研究过大部分方案

不过就无论是MS还是Google的云支持2FA，你要开启了，登录安全性很高的

而交换数据和储存安全性上，这两家的标准都挺高的

Zwlt123

gifox 发表于 2018-7-29 21:24
我没有研究过大部分方案

不过就无论是MS还是Google的云支持2FA，你要开启了，登录安全性很高的

谢了

gzrain

symeteor 发表于 2018-7-25 12:02
用lastpass或者1password上面有人说了

嫌麻烦的可以使用基准密码+网站来设置

这种解决方案可以升级到使用determined password， 就是根据 master password， site， user， version/salt 来生成 固定密码； 优点是只需要记住master password，软件基本是免费的；缺点就是如果master password leak， 那基本可以访问所有知道你username的账号；这种方案应该适合轻度要求用户；代表软件是 lesspass

ylbeethoven

我本来还想着自己host一个密码比如说BitWarden，后来发现至少要2GB内存以上的服务器，我自己blogging的服务器1GB都嫌多，懒得专门花钱自己hosting了。

之前用Keepass，现在是SafeInCloud

BitWarden也挺好

bulaohu

gzrain 发表于 2018-7-29 23:10
这种解决方案可以升级到使用determined password， 就是根据 master password， site， user， version/s ...

缺点就是如果master password leak， 那基本可以访问所有知道你username的账号；

使用password manager的话肯定要用2 factor了，只是靠密码的强度是不行的，密码再强，一旦泄漏就失效了。

iLeac

我用的是onesafe

定点

我用铅笔记在一个破本子里

astina

好文加精

gcc

马克

viviancn

加手机短信确认的，如果手机不在身边或丢了就很麻烦。

某天我的手机忘在公司了，回到家用ipad上微信，在新设备上登录要手机短信认证，要不就要找两个微信好友帮忙。。。我选择放弃。

zigzag

OZBargain 上正好有一个DEAL：
12 Month LastPass Premium Membership $6 USD (~$8.13 AUD) (Was $24 USD) @ Humble Bundle (New/Existing Users)
https://www.ozbargain.com.au/node/392866

请问一下，假使我用LastPass管理我的密码
1. 如果我要用某公共电脑查Yahoo Email，但手机不在身边的话，怎么办？是登录LastPass网站，然后可以看到我的Yahoo Email密码？（此场景为：出国旅游，钱包加手机丢了）

2. 感觉我一旦开始用，我就一直得用下去了？如果不想用了，LastPass网站上可以导出我所有网站的密码吗？

谢谢

gifox

zigzag 发表于 2018-7-30 22:29
OZBargain 上正好有一个DEAL：
12 Month LastPass Premium Membership $6 USD (~$8.13 AUD) (Was $24 USD)  ...

其实免费的last pass账户就够很多人的基本需求

1 你可以在手机last pass app上面view 密码然后手动输入。如果手机不在身边，你可以尝试它们的紧急应用机制。但是，如果你开了2FA然后手机没了是会比较麻烦，就好像你有一个超级保险库但是钥匙丢了。要是没钥匙也能轻易打开那就不保险了。出国前关掉2FA，那么你还记得你的last pass master key 就好了


2 可以导出成txt 格式然后打印出来。记得把这张纸张保管好。全副身家在上面了

bulaohu

zigzag 发表于 2018-7-30 22:29
OZBargain 上正好有一个DEAL：
12 Month LastPass Premium Membership $6 USD (~$8.13 AUD) (Was $24 USD)  ...

1. 如果我要用某公共电脑查Yahoo Email，但手机不在身边的话，怎么办？是登录LastPass网站，然后可以看到我的Yahoo Email密码？（此场景为：出国旅游，钱包加手机丢了）

Yahoo Email自己也用2FA，方式就是通过手机上的Yahoo App来验证登录，所以你手机丢了的话...在一台新的电脑上是没法登录的。除非你的Yahoo还没开启2FA？那样的话太危险了...

在公共电脑上千万不要登录lastpass，如果有keylogger的话你的master password就泄漏了。

所以这个场景的话，如果你的Yahoo没有2FA，让家里人从家里电脑里把password找出来发给你，登录后立刻改密码并enable 2FA. 如果已经开启2FA，那就别折腾了，回家再说吧

另外，Yahoo Mail十亿用户的密码几乎全都泄漏过，你多久没改过了...考虑改用gmail吧

2. 感觉我一旦开始用，我就一直得用下去了？如果不想用了，LastPass网站上可以导出我所有网站的密码吗？

Yes.

zigzag

bulaohu 发表于 2018-7-30 22:41
Yahoo Email自己也用2FA，方式就是通过手机上的Yahoo App来验证登录，所以你手机丢了的话...在一台新的 ...

Yahoo Email早改过了。一般一两年改一次。谢谢关心。

viviancn

Lz有没用过iCloud的keychain？

老婆是CPA

Markkk

gifox

viviancn 发表于 2019-11-23 07:45
Lz有没用过iCloud的keychain？

有啊也是一个方案，但是管理起来没那么方便

gifox

zigzag 发表于 2018-7-30 22:29
OZBargain 上正好有一个DEAL：
12 Month LastPass Premium Membership $6 USD (~$8.13 AUD) (Was $24 USD)  ...

lastpass有导出所有密码的方法。

出国游前可以关闭2FA啊，就是暂时没那么安全了

路过一次

网上有个段子，说一个人在网上注册用户名时，都用网站的名字，例如：微博上注册王微博，腾讯上注册王腾讯，等等。当有一天，有人给他手机上打电话的时候，问他：请问是王微博先生吗？他就知道谁泄露了他的信息。。。

superdollar

一直都是组合式包含分等级

viviancn

2 factor authentication是个双刃剑啊，如果手机丢了怎么办？

Lastpass的紧急应用机制是怎样的？