V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ygwhence
V2EX  ›  信息安全

怎么协助记忆不能忘的密码

  •  
  •   ygwhence · 57 天前 · 3498 次点击
    这是一个创建于 57 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚用了 keepass 把所有密码统一管理起来,发现还是需要频繁输入主密码,请问主密码和手机锁屏密码需要每隔一段时间就更换一次吗,记不住怎么办,怎样兼顾安全性和输入的便捷性呢?

    如果不换密码一直用(密码很短),一旦被猜到所有的密码都裸奔了……

    第 1 条附言  ·  56 天前
    非常感谢大家的回复,指纹或者人脸解锁有点复杂了,要增加硬件,我想能在公司电脑、笔记本、台式、平板、手机都能直接用,还是换成一个好记的强密码,输入多了就习惯了,如果没有泄露风险就不换了。

    手机锁屏密码从用手机开始就这几个数字,习惯太可怕了,大概是换不成,就这样吧……
    51 条回复    2024-10-17 16:27:24 +08:00
    renmu
        1
    renmu  
       56 天前 via Android   ❤️ 4
    便捷和安全就是冲突的
    seeu2ex
        2
    seeu2ex  
       56 天前 via iPhone
    其实我觉得这种主流管理器也可以引入 faceid 做验证授权也行,每次都要输主密码确实烦
    ruooooooli
        3
    ruooooooli  
       56 天前
    搞一个密码生成规则,比如关键词:床前明月光 -> CqmyG.
    JackMaMa
        4
    JackMaMa  
       56 天前
    规则不一样,很难。

    尤其一些银行 app ,傻逼的设计,有的 6 位,有的 8 位。干
    ruooooooli
        5
    ruooooooli  
       56 天前
    上条没打完就发了😂,在这补充下。有了自己的密码关键词之后,对于每个网站再提取该网站的关键词。比如 gmail ,那结合密码规则最终就可以是:CqmyG.gmail.com
    ruooooooli
        6
    ruooooooli  
       56 天前
    @JackMaMa 纯数字的好像就没辙了
    z7356995
        7
    z7356995  
       56 天前 via Android
    可以把自己最容易记的密码加一下盐 ,然后 md5 一下输出 6 位
    z7356995
        8
    z7356995  
       56 天前 via Android
    md5_hash=$(echo -n "$input_string" | md5sum | awk '{print $1}' | cut -c1-6)
    luodeyitian
        9
    luodeyitian  
       56 天前
    让 keepass 接入指纹锁或者人脸识别呗
    z7356995
        10
    z7356995  
       56 天前 via Android
    这个加密的脚本可以名文存在微信,qq ,和电脑本地,然后密码盐搞一个自己生日什么的记在脑子上,在电脑上运行一下脚本就又好记,又别人永远猜不到了
    Yukineko
        11
    Yukineko  
       56 天前
    这种需要周期更新的密码,我是用固定字符串+递增字符串来更新的,比如说用日期,半年一更新:
    2401xxx
    2407xxx
    2501xxx

    或者直接数字、字母递增
    1xx
    2xx
    3xx
    ...

    axx
    bxx
    cxx
    justfindu
        12
    justfindu  
       56 天前
    我是站点特征生成规则字符串. 只要被泄漏我就废了
    JKOR
        13
    JKOR  
       56 天前
    讲一下我以前的密码规则,比如 Google ,密码就是 123456789Google...

    其中 123456 是一个密码本中根据 Google 这个字符串长度按照一定规则算出来的,789 则是根据首字母 G 通过一定规则算出来的,这样每个服务的密码都是有规律的,但同时密码各不相同。即使一个密码泄露也不会影响其他服务,也不用担心规律被破解,因为密码本在你这,知道规则不知道密码本仍然没用。

    这样你需要记得只有计算规律以及密码本,可以选取某个不规则小数前 100 位作为密码本。
    JunerLee
        14
    JunerLee  
       56 天前
    我的 wifi 密码是 jbjhhzstslbldhbfh. 从来没输错过一次 :d
    oneisall8955
        15
    oneisall8955  
       56 天前
    @JunerLee junbujianhuanghezhishuitianshanglaibenliudaohaibufuhui
    snipking
        16
    snipking  
       56 天前   ❤️ 1
    显然这是一个密码分级问题,不应该也没必要
    主密码你肯定应该记住,而且只用于你的密码管理器,这是最高密级,只要不将它乱用在其它地方,大可不必担心丢失,可以将更换周期拉长
    手机锁屏密码应该是低密级密码,毕竟手机一般都不离手,真的丢失了也能立即将机器锁定,而且锁屏密码都有重试锁定策略,人工破解可能性很低
    其它密码同理,你自己可以定几个密级,只要确定不跨密级滥用密码,那么泄露的可能性和泄露造成的影响就可以尽可能降低
    CapNemo
        17
    CapNemo  
       56 天前   ❤️ 1
    NoOneNoBody
        18
    NoOneNoBody  
       56 天前
    其实猜是很难的,例如老婆外婆生日倒着写,暴力爆破或者被窥视倒是可能
    我曾用过拆迁前老家地址里面的所有数字,用这个密码时这地址早已不存在了,谁会用这个猜啊
    jackmod
        19
    jackmod  
       56 天前
    找个固定的特殊分隔符,比如#
    找你喜欢的数字,比如 1024
    找一句熟悉的古诗,比如窈窕淑女君子好逑
    现在组合一下
    10#1ts~#Jzh0#24
    是不是足够当成主密码了
    XiLingHost
        20
    XiLingHost  
       56 天前
    记一个词然后 base64 ,如果经常输入其实应该会形成肌肉记忆的,我很多 WiFi 密码使用出厂默认的底下标签上的随机密码,输入个几次也就记住了,这种可以自己设置的有规律密码就更好记忆了
    yidev
        21
    yidev  
       56 天前
    keepass 支持指纹吧, 我用 bitwarden 就是 pc 用 windows hello 指纹代替输入主密码, 手机用面容
    Braid
        22
    Braid  
       56 天前
    1password ,用这个吧,支持浏览器插件
    shaozelin030405
        23
    shaozelin030405  
       56 天前
    纹在身上
    iamwin
        24
    iamwin  
       56 天前
    用纸写下来放在家里保险柜里
    shyangs
        25
    shyangs  
       56 天前   ❤️ 1
    KeePassXC 支援 Windows Hello, Windows Hello (生物辨識、臉部辨識、指紋辨識).
     
    ygwhence
        26
    ygwhence  
    OP
       56 天前
    @shyangs 在自己电脑上确实可以用这个功能 感谢提醒
    xuanjiangsara
        27
    xuanjiangsara  
       56 天前
    [每隔一段时间就更换一次吗,记不住怎么办]

    考虑人肉脑的记忆宫殿 memory pegging 定桩呢?

    好处是你不改原密码,你自己可以混入你想要的方式。

    就是你的原码中插入你想出来的东西:比如这个月要加进 Alien+plumbing ,你就想象你家厕所里+丝袜蒙头的 Alien 在修水管。画面越奇葩越能记住。每次就在你熟悉的场合换场景就好了。
    nzbstn
        28
    nzbstn  
       56 天前
    我个人的方法也是用 keepassxc(kps), 不过是外加了一个 sync 文件同步系统, 在我所有常用终端上实时同步密码本
    当然这只是解决了跨设备的问题, 实现这套需要一定的动手能力
    至于密码轮换, 我其实也思考过要不要进行轮换, 最后得出的结论是, 只给常用的网站 or 身份进行不定期(看啥时候想起来)密码轮换
    其实对个人来说密码轮换算是个伪需求吧
    GeruzoniAnsasu
        29
    GeruzoniAnsasu  
       56 天前
    前前女友生日当密码,社工都社不了一点😋
    aw2350
        30
    aw2350  
       56 天前
    主密码 6 8 都是固定的密码,例如身份证号 后 x 位 或者 qq 前/后 x 位 ,其他的就用密码管理器随机生成的咯
    liuzhaowei55
        31
    liuzhaowei55  
       56 天前 via Android
    YubiKey 可以定义一段文本,长按自动输入,只要不丢还算安全吧,毕竟比较小众
    acorngyl
        32
    acorngyl  
       56 天前
    肌肉记忆啊。以前密码都是这么管的。不光有顺序,甚至节奏不对都能输错。
    但是后来指纹、刷脸多了,每次要手动,要在电脑前酝酿半天。
    KingHL
        33
    KingHL  
       56 天前
    我都是用一句话的缩写,比方说:qnys250$=前女友是 250 ,lzyfc100w=老子要发财一百万
    kratzer
        34
    kratzer  
       56 天前
    @ruooooooli 可以对应九宫格
    zhjmv6
        35
    zhjmv6  
       56 天前 via iPhone
    @GeruzoniAnsasu
    没事但凡你有隱瞞一段戀情,卻把她當作前女友,社工就會搞錯🤣🤣🤣🤣
    xuanbg
        36
    xuanbg  
       56 天前
    @ruooooooli 对的,我就是用唐诗密码的。哪怕我告诉你是哪句诗,你也猜不到正确的密码。拼音夹英文,有些还用符号指代,哈哈哈
    yaytohkay
        37
    yaytohkay  
       56 天前
    好记性不如烂笔头,使用密码管理软件吧
    gaju
        38
    gaju  
       56 天前
    很多年前在逼乎写的,看看能不能帮到大家,我一直是这样搞密码的

    https://www.zhihu.com/question/27493911
    luofei
        39
    luofei  
       56 天前
    诗经
    moioooo
        40
    moioooo  
       56 天前
    首先你得有一个不能被任何人知道得主密码,这个是没法只能靠硬记了。也可以找一个记忆的规律。
    找一串字母或者数字,最好 16 位左右,背下来。然后每年/每月在前后加上字符,比如年月、日期首字母等等。
    前面那 16 位可以用常见的常量,比如派的 20~35 位,e 的 100~120 位等等。也可以找一首歌,歌词的首字母等等。
    习惯了之后可以做替换。比如 两只黄鹂鸣翠柳,可以是 lzhlmcl ,也可以是 2zhlmcl 。
    zhangeric
        41
    zhangeric  
       56 天前
    1.上动态密码,1 分钟 1 变得那种,不过随身要带这个设备.
    2.简单好记得密码然后上多重认证,大部分需要有网络.
    Censhuang
        42
    Censhuang  
       56 天前
    我的主密码是组合的,我的 qq 号有规律性,前三位相同是 2 ,所以我就换成 z ,然后密码的后面组合一下使用场景用+分隔开,因为是浏览器插件所以设定成系统锁定时候再输入密码,这样就避免忘记了。
    不过说起便捷性,让我想起 iOS 的问题。他的验证过于依赖 faceid 了,以至于容易让你忘记密码,有一次我就忘记了,想了好久才想起来。安卓( MIUI )这方面做了个 48h/72h 强制验证还是挺好的
    zbowen66
        43
    zbowen66  
       56 天前
    @JackMaMa #4 还有不让有连续数字的💩
    Aixtuz
        44
    Aixtuz  
       56 天前
    用你记得滚瓜烂熟的 “原始词”,再用非常好记的 “逻辑” 去转换。
    楼上诸位说的很多都是这种思路。
    记忆难度上不大,但别人猜到你用的什么“原始词”和“逻辑”就很难。

    我的主密码是:中 --译--> 英 --谐音--> 字母/数字
    仅在自己机器上使用,绝不用于网站服务等。

    网站服务上用的,需要保护的就是主密码前半句+网站记忆词;
    不需要保护的,统一用一个大小写+数字的熟悉的密码,丢了也损失不了啥,验证码找回就行了。
    xiaokaup
        45
    xiaokaup  
       56 天前
    momooc
        46
    momooc  
       55 天前
    这个里面有一个密码短语、将密码加密后发到邮箱或者微信上,只需要记住密码短语即可解密。本站某个大佬开发的。
    https://vitock.github.io/webecc/
    Daybyedream
        47
    Daybyedream  
       55 天前
    我个人密码是一个统一的 加上那个软件的简称或者什么的
    每个都不一样 但是被别人知道就不好了
    kero991
        48
    kero991  
       55 天前
    其实并不难,比如这个
    dhxdl,tsd**cbd
    你觉得它是什么?其实它是
    “大河向东流,天上的星星参北斗”
    复杂吗?应该够了。
    你觉得好记吗?
    你总有点熟悉的诗句,歌词吧
    Serino
        49
    Serino  
       54 天前
    考虑下不要记密码,而是记加密方式?
    junyee
        50
    junyee  
       48 天前
    如果不同的网站、APP ,设置不同的密码。单凭记忆还好。
    要命的是,有要求 纯数字的,有要求加字母、大小写混用的,有的要加特殊符号(有的不允许加)。
    这样下来混乱不堪,到头来只好拿个小本本一一写下来。
    lmdown
        51
    lmdown  
       36 天前
    @shyangs 请问这一项是灰色不可修改是什么原因啊,电脑是带指纹的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2896 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 07:58 · PVG 15:58 · LAX 23:58 · JFK 02:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.