一直以来,密码管理机制是个头痛的问题。似乎很难找到一个在简单和容易记忆之间取得平衡的方案。 所有的网络使用同一个密码固然容易记忆,但当一个网站泄露时,比如CSDN,所有的网站都泄露了。 每个网站使用随机生成的密码,固然安全,但是人工的记忆似乎是不可能。 或者使用分级制,多数不重要的网站使用同一简单密码,重要的网站使用不同密码。这样还是需要记忆不少的密码。 或者,将密码分成两部分(或者更多部分)。第一部分是固定的,比如“12345%”,第二部分根据网站的名称或者域名生成,比如“sina”就是“s”,”baidu”就用“b”,“google”就用“g”。密码由这两部分组合而成:“12345%s”,“12345%b”,“12345%g”。不过作为被迫害妄想狂,我挺担心这个规律被人找到。 等我遇上 LastPass 时,我不再头痛了。每个网站都使用不同的密码,用 LastPass 保存密码,我只需要记住 LastPass 的密码。LastPass 还支持 Google 密码验证器或者是Yubikey。目前来看是较为完美的解决方案。 或许有人担心将密码保存在 LastPass 服务器上的安全。我粗略地看了 LastPass 的说明,其他网站的密码是在加密之后保存在 LastPass 上的,只能用主密码进行解密。关心机理的同学可以仔细看下说明。 以前也使用过 keepass,觉得不够方便。Keepass 是本地软件,只能一台机器上使用,(变通的方法是使用 dropbox 在多台电脑之间进行同步);keepass 不与浏览器结合,似乎要ctrl+C ctrl+V,使用体验不够好。 v2ex 上的讨论 另外
Posts Tagged ‘password’
2012年05月15日
2008年11月22日
见过不少朋友的密码都设得很简单: 比如单纯数字,(甚至见过某个公司信息部的同学把公司所有邮箱的密码设为“1234567890”,把企业网站的管理密码设为“000000”,长达几年 -.-); 比如身份证或者电话号码或者手机号码或者生日; 比如名字拼音或拼音简写加几个简单的数字,往往还是“123”; 比如键盘上有规律的密码,比如q!w@e#r$t%或者qwer1234等; 也见过一些文章,建议每个网站、服务的密码都设置为不同的,但我觉得这对记忆是一个相当大的挑战,我并不赞同。 对于一般人,我建议密码采用至少四个级别,每个级别的密码都要至少8位,没有特殊含义的大小写字母、数字、特殊符号混合排练。 第一级:最简单的密码,因为经常使用,建议使用键盘上容易输入的按键;这个密码主要用于随意注册、不重要的网站; 第二级A:针对国内的网站,复杂的密码,用于稍微重要、若遗失账号可以对自己造成不便的网站,;第二级B:针对国外的网站,与第二级A同样复杂的密码; 第三级:对于重要的服务,比如最主要的邮箱、QQ密码、MSN密码,网银、支付宝等涉及财务的账号,要分别设立,相当相当重要,建议12位以上; 第四级:工作用密码,单位分配的各种账号,不要与前面三种密码混淆,因为这个密码可能单位的网络管理员能够看到的。注意,换新工作后要换新上密码。 另外,可参考: 密码的艺术 有史以来最糟糕的500个密码 江东:合理设置网站的密码 定期设置账号安全 如何管理并设计你的口令 北极星:你的密码能多快被破解
