V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hanlin85
V2EX  ›  程序员

现在登录的某系统 2 个月强制更新一次密码,整得我很烦躁

  •  
  •   hanlin85 · 2023-07-26 15:44:25 +08:00 · 3055 次点击
    这是一个创建于 468 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我手上有 3 个账号,每 2 个月都要强制更新一次密码,搞得我不胜其烦。 你密码规则强度高一点我都没意见,2 个月强制更新一次真的很难受,常常不知道自己现在的密码改成啥了。 现在能想到就是预生成全年的密码记录在笔记上,每次到要求改密码的时候就打开笔记复制填进去。 有类似问题的大大们是如何高效又优雅的解决的?

    37 条回复    2023-07-27 13:08:46 +08:00
    dingwen07
        1
    dingwen07  
       2023-07-26 15:46:13 +08:00
    我记得 NIST 已经说了定时改密码对提升安全没有作用,不清楚为什么那么多学校和企业就是喜欢这个……
    mineralsalt
        2
    mineralsalt  
       2023-07-26 15:46:51 +08:00
    用密码管理器啊, 我早就放弃人脑和手抄的方式记录密码了, 各个网站都是随机生成的密码, 主要也是为了安全, 网站太多了, 用同样的密码容易被撞库.
    cairnechen
        3
    cairnechen  
       2023-07-26 15:48:06 +08:00
    @dingwen07

    为啥?改密码不允许重复,不是把一段时间社工暴露的风险重置了吗?
    wheat0r
        4
    wheat0r  
       2023-07-26 15:48:13 +08:00
    @dingwen07 等保要求
    brader
        5
    brader  
       2023-07-26 15:48:17 +08:00   ❤️ 1
    他不会记住历史密码的话就还好。我也是用有个网站,要求定时修改密码,我在记事本,就记 2 个密码,每次改就这 2 个之间换来换去,反正我登录的时候,试完这 2 个密码总有一个对的
    brader
        6
    brader  
       2023-07-26 15:50:31 +08:00
    @mineralsalt 你用的什么密码管理器啊。我都没这么用过这类产品,使用场景方便么,有手机、电脑、家里、公司等等,平时同步、输入方便不
    arvinsilm
        7
    arvinsilm  
       2023-07-26 15:51:55 +08:00   ❤️ 1
    密码前部分固定,最后几位用年份+1/2/3/4/5/6 ,这还需要用本子记下来?
    muunala10221
        8
    muunala10221  
       2023-07-26 15:52:10 +08:00   ❤️ 1
    把改密码的所在月份改成密码的末尾数字就可以了, 如果校验还是提示和旧密码相似,就英文当前月份 + 数字
    mineralsalt
        9
    mineralsalt  
       2023-07-26 15:53:47 +08:00
    @brader #6 我是自建 Bitwarden , 很多 v 友也是这个, 综合来说, 这算是最好用的免费开源全平台密码管理器了
    brader
        10
    brader  
       2023-07-26 15:55:45 +08:00
    @mineralsalt 谢谢,一会去看下这个软件。这些密码管理器生成的密码都是复杂不方便输入的,请问在手机、电脑都支持自动填充吗
    zidian
        11
    zidian  
       2023-07-26 15:58:05 +08:00   ❤️ 1
    固定部分+4 位的年月。只要记住固定部分就行。
    mineralsalt
        12
    mineralsalt  
       2023-07-26 16:01:49 +08:00
    @brader #10 浏览器, ios, 安卓的 app 都可以自动填充, 其他系统没试过, 就是不能自动填充, 手动粘贴复制也不麻烦啊
    xuanbg
        13
    xuanbg  
       2023-07-26 16:10:12 +08:00   ❤️ 1
    哪有那么多不可以泄漏的密码。。。一般的网站,譬如 v2 ,我都是用同一个密码,谁爱扒就扒去好了。重要的密码,譬如 github ,那就一定要独立的密码且双因素认证才行了。
    dingwen07
        14
    dingwen07  
       2023-07-26 16:14:57 +08:00   ❤️ 1
    @cairnechen #3
    NIST 就是这么写的
    https://pages.nist.gov/800-63-FAQ/#q-b05


    Q-B05:
    Is password expiration no longer recommended?
    A-B05:
    SP 800-63B Section 5.1.1.2 paragraph 9 states:

    “Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

    Users tend to choose weaker memorized secrets when they know that they will have to change them in the near future. When those changes do occur, they often select a secret that is similar to their old memorized secret by applying a set of common transformations such as increasing a number in the password. This practice provides a false sense of security if any of the previous secrets has been compromised since attackers can apply these same common transformations. But if there is evidence that the memorized secret has been compromised, such as by a breach of the verifier’s hashed password database or observed fraudulent activity, subscribers should be required to change their memorized secrets. However, this event-based change should occur rarely, so that they are less motivated to choose a weak secret with the knowledge that it will only be used for a limited period of time.
    hanlin85
        15
    hanlin85  
    OP
       2023-07-26 16:19:14 +08:00
    @muunala10221 这个可以,用数字的月份被提示和原密码相同了
    brader
        16
    brader  
       2023-07-26 16:31:40 +08:00
    @mineralsalt 有些 APP 就是这么狠,不给复制粘贴的
    GeorgeGalway
        17
    GeorgeGalway  
       2023-07-26 16:37:05 +08:00
    苹果改密码的话,不能和近期的相同,我真是吐血🥵
    leonshaw
        18
    leonshaw  
       2023-07-26 16:41:45 +08:00
    @dingwen07 确实,上面几楼就给出了几个 common transformation 的例子。。
    DefoliationM
        19
    DefoliationM  
       2023-07-26 17:16:54 +08:00
    vaultwarden 很好用
    vivisidea
        20
    vivisidea  
       2023-07-26 17:52:54 +08:00
    所有历史密码都不能使用么?如果没有这个限制,那可以准备 3 个密码,轮流来就行。。

    或者说服你们领导改成双因子,安全性也更高
    li746224
        21
    li746224  
       2023-07-26 17:58:32 +08:00   ❤️ 4
    我们是每个月更新一次,不能重设为前 3 次使用过的密码。我的解决方案是直接重设 4 次密码,继续用当前的。
    PrinceofInj
        22
    PrinceofInj  
       2023-07-26 18:11:36 +08:00
    @mineralsalt #12 你试试看数字人民币的 app ,不支持密码管理器,不支持复制粘贴,不支持切屏,一旦切屏强制清空已输入内容。
    PrinceofInj
        23
    PrinceofInj  
       2023-07-26 18:12:52 +08:00
    @li746224 你的这个方式打开了新世界……
    shyangs
        24
    shyangs  
       2023-07-26 18:13:56 +08:00
    Password_2023-07
    Password_2023-09
    Password_2023-11
    Password_2024-01
    hicdn
        25
    hicdn  
       2023-07-26 18:18:50 +08:00 via Android
    azio7
        26
    azio7  
       2023-07-26 20:41:01 +08:00
    @brader bitwarden 体验我来说一下,android 里 qq 最恶心,粘贴都不给粘贴,部分应用不能自动填充,电脑浏览器插件非常香,有快捷键自动填充,见框就按快捷键
    GoodRui
        27
    GoodRui  
       2023-07-26 23:38:44 +08:00 via Android
    @li746224 系统密码最短更换时间:1 天
    cnevil
        28
    cnevil  
       2023-07-27 09:05:17 +08:00
    那是因为你没见过 7 天改一次,三个账号都要改的
    改密码对安全没帮助是什么新奇理论。。除非你是 AB 两个密码来回改
    包括谷歌在内,我记得不少网站还要求改的密码不能与多久时间内的重复
    GuguDan
        29
    GuguDan  
       2023-07-27 09:12:52 +08:00
    等保要求
    fumichael
        30
    fumichael  
       2023-07-27 09:30:47 +08:00
    我也是想到了常用密码加上年月
    但是如果一段时间没用过,再次登录要记得上一次修改密码是什么年月😂
    coffeesun
        31
    coffeesun  
       2023-07-27 09:35:36 +08:00 via Android
    有个奇怪的现象,我一直用密码管理器的,然后设置复杂的密码,有的网站过一两年再登陆的时候就会告诉你密码错了!!!!这就离谱,怎么可能错呢?然后要求手机验证。遇到过好多次了,每次都是国内的网站这么搞,无非是要实名手机验证,但告诉我密码错了是啥意思?每次上网都上一肚子气
    M003
        32
    M003  
       2023-07-27 09:49:37 +08:00
    pwd_2023_07
    pwd_2023_09


    这玩意有啥记不住的..
    hanlin85
        33
    hanlin85  
    OP
       2023-07-27 09:53:48 +08:00
    @M003 一段时间没用也很难想起来的 3 个账号使用的频率也不一样
    Linken404
        34
    Linken404  
       2023-07-27 10:09:09 +08:00
    keepass 啊,开源、全平台、各种插件、密码文件加密保存
    leefor2020
        35
    leefor2020  
       2023-07-27 10:12:47 +08:00
    @azio7 qq 密码输入框好歹还是系统输入法
    有些脑残的手机银行 App ,密码输入框调用他自己的,键位乱序/输入无反馈/卡顿掉帧,如果你密码是随机生成的长密码,爽死
    M003
        36
    M003  
       2023-07-27 10:48:37 +08:00
    @hanlin85 哥哥,三个账号的密码都可以设置一样吧....

    难道这破系统 设置密码还会跟别的用户的密码进行比较?
    一般存密码都是 密码加密+盐 再加密,等等处理 一般用户密码直接加密后的都不会让人直接接触到.
    lee015
        37
    lee015  
       2023-07-27 13:08:46 +08:00 via Android
    @leefor2020 这种不让粘贴还用自己输入法的,我只能被迫降低密码复杂度以便能手动输入
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3388 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 11:03 · PVG 19:03 · LAX 03:03 · JFK 06:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.