你还没有用_密码管理软件_来生成你的密码吗？

zpvip

这个世界远没有我们想象得那么安全，这个世界也总有不关心自己密码的人，希望我这几行字能帮到更多人使用密码管理软件。

keepass 1password lastpass 只要google一搜，会有数不完的文章以各种语言告诉你怎么玩转这类软件。

这个帖子那么多页口水，我只想表达
网络服务提供商_不应该_把用户的"敏感信息"用_明文或有可能很简单就被解密的密文_存放在_接入互联网的服务器上:
https://dolc.de/forum.php?mod=viewthread&tid=1682012
但楼中的少数专业IT人士一致认为，就算用户的敏感信息已经涉及账号密码，只要代价太大，用户表面不care，他们都不会从用户的角度做更多保护。虽是管中窥豹，但互联网的险恶环境由此可见一斑。

虽然搜狗这次的事件是被陷害，但是用户数据是否安全还不得而知，这取决于搜狗程序员及其老板的道德底线。
http://tech.qq.com/a/20131107/015305.htm

言规正传，这类软件最大的特点是，你需要记住一个既难猜又能记住的超级密码，洋名：master password，如果这个密码忘记，你所存储的密码都会消失。就我而言，我的master password 是14位，有大小写，数字以及特殊字符，记了很多年了，想忘记都不容易了，这个密码就像微信密码一样，除了自己，最好还让老婆知道。

lastpass 是浏览器插件，可以为每个不同的网站生成不同的登录密码，反正不用你记，登录的时候它又自动为你填好密码，你只要点登录就好了，所以作为lastpass的多年免费用户，我会推荐大家使用。这样可以避免一个网站账号泄漏，会让你基于安全考虑要去改N个网站的密码。

有人担心lastpass会倒闭，自己的密码怎么办，其实很好解决，它有导出功能，你把导出的密码用个密码加密成zip文件保存在本地就好了。keepass是本地软件，开源免费，我也使用，1password给那些有钱人用的，也不错。

以前讨论这个问题的时候，总有人会提出自己的方法，比如银行的密码都在脑子里，论坛的密码用一个，反正也不重要，email密码跟一般的密码不同，会高级一点。这样我觉得也不错，每个人对密码的重视程度不一样而已。但我倾向每个网站用lastpass生成不同的密码，我不希望哪天有个人拿到我的密码后，根据我的 id 在 google 上找到我曾经留过言的论坛，查看我的私信，因为你不知道骗子会想出什么办法。QQ钓鱼的事件其实也是基于你的网络活动，仿冒你的留言特点，对好友亲人进行欺骗。http://kf.qq.com/faq/120322fu63YV130422Jv67vY.html

那些把 Email 密码设置得高级一点的朋友最好也是一个账号一个密码，因为你的密码在天朝很容易就会被抓到
http://zone.wooyun.org/content/2507
如果有人拿到你一个密码，再尝试去登录你的另外的email，如果一样，那你一定会全线崩溃，好多密保或密码找回都是用email作最后防线的。如果你每个email密码都不一样，可以尽量减少你的损失，所以建议：

• 开设一个的email，不用于交流，只用于密码找回，使用一个独立的密码，比如 abc@example.com
• 把其它使用中的email的密码找回email设定为 abc@example.com
• 定期更改其它使用中的email密码，防止email被盗都不知道
• 如果你乱改密码自己都记不住了，可以用abc@example.com重设这些email的密码
  

额外的安全建议

• 用google的高端大气上档次的 DNS 服务：8.8.8.8 和 8.8.4.4
• 使用chrome，在打开网站有总是的时候，它会提示你。比如SSL证书有问题，或有木马。
• 在酒店使用wifi时，最好使用VPN。
• 标记 CNNIC 的证书为“不信任”：https://www.google.de/search?q=C ... 1%E4%BB%BB%E2%80%9D
  

Fazit
没有绝对的安全，但不能因为天下没有破不了的门就让门敞着。

mymy365

楼主，我今天又想到你了，然后你就发了这个
我能说一句，不要老是趴在V2EX么～～～

同样，我再次说一句，不要用极客的思维去设计推广产品

zpvip

极少去V2EX，N天没登录了，我是看到一个卖vpn的软文后想到要发的

知道环境险恶，才要保护自己啊。

zpvip

我知道写半天也不一定有用，因为就有人拿自己的信息不当回事，同时要改变一个人的习惯真的太难了，没有严重的后果，一般是不会改的。

überwachungsstaat - Was ist das?

live

估计本站有很多会员的密码都是弱密码，比方说111111，aaaaaa或者和用户名相类似的内容，并且没有设置安全提问双重保护，这种情况下，密码很容易被破解。
那些发垃圾办证广告的犯罪份子，每天都在用程序暴力破解本站会员的密码，特别是那些1年以上没有登陆过的会员的密码。

mymy365

live 发表于 2013-11-11 22:50
估计本站有很多会员的密码都是弱密码，比方说111111，aaaaaa或者和用户名相类似的内容，并且没有设置安全提 ...

登录的地方加一个判断，如果密码是111111之类的，直接要求重新设定密码，设置连接发送到邮箱，写上设定成功送一张电话卡哦～～～

loewez

lz写这么多辛苦啦
但是你想过没有，有多少没有技术背景的普通用户能完整看完你的帖子，看完的里边又有几个会去下载那几个软件？
就跟数据备份一样，大家都知道重要，又有几个普通用户能主动去做？
这和技术无关

zpvip

loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有，有多少没有技术背景的普通用户能完整看完你的帖子，看完的里边又有几个 ...

呵呵，不辛苦，地板楼我已经说了，
这事就当提个醒，出了事再回来看还来得及。

shrek_munich

mymy365 发表于 2013-11-11 22:04
楼主，我今天又想到你了，然后你就发了这个
我能说一句，不要老是趴在V2EX么～～～

他这明显是没有做过实际的计算机产品的想法么....
非要觉得不和他想的一样的都不是学info滴

shrek_munich

live 发表于 2013-11-11 22:50
估计本站有很多会员的密码都是弱密码，比方说111111，aaaaaa或者和用户名相类似的内容，并且没有设置安全提 ...

太弱的自动提示一下好了....比如出现的不同字符数不能太少之类的

shrek_munich

loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有，有多少没有技术背景的普通用户能完整看完你的帖子，看完的里边又有几个 ...

这就是理论和产品的差距
一个优秀的产品是要让弱智都能用的很爽的
ios为什么一开始能占领市场，就是ue做得好，很多电脑只懂的qq，劲舞团的小女孩都能轻松上手，最开始的android太麻烦了，现在借鉴了很多app的设计思想才靠谱起来。

loewez

这种软件有一个问题。
我偶尔需要在手机, 平板, 机房，朋友的电脑，公用电脑等不同设备上登陆各个页面，密码管理软件如何能保证我在以上环境都能顺利登陆？不可能在所有环境下都安装它的插件，如果每次都需要先登陆它的网站去查相应网站的密码，那我是为了方便还是为了给自己找麻烦？

moudy

loewez 发表于 2013-11-12 01:15
这种软件有一个问题。
我偶尔需要在手机, 平板, 机房，朋友的电脑，公用电脑等不同设备上登陆各个页面，密 ...

手机平板自己电脑可以用密码管理，机房和朋友电脑就不方便了。其实我自己基本上决不在外人电脑上输自己的密码，鬼知道他电脑上有啥宝贝木马看着呢。倒是gmail hotmail提供一次性临时密码应付这种情况挺方便的。

劈马甲

loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有，有多少没有技术背景的普通用户能完整看完你的帖子，看完的里边又有几个 ...

就跟数据备份一样，大家都知道重要，又有几个普通用户能主动去做？

说的对极了

一个朋友几年前电脑崩溃，历年照片丢失，损失惨重教训惨痛，当时就告诉她重要数据要经常备份的。

前两天又哭着说电脑又崩溃了，数据又没备份，我惊道，这种事情你不是已经历过一次吗，肿么又没备份的？答曰，上次只有一个盘所以全没了，这次有单独D盘放数据，以为就安全了，你也没说有D盘的也要备份……

接下来，我崩溃了……

劈马甲

moudy 发表于 2013-11-12 07:33
手机平板自己电脑可以用密码管理，机房和朋友电脑就不方便了。其实我自己基本上决不在外人电脑上输自己的 ...

俺有一个德国朋友，他离开电脑时候，不关电脑，不锁屏，不屏保…… 鼠标或键盘一动就能进入，干啥都行。

问他干嘛这样，他诡异地一笑，他电脑上安装有 Key Logger，如有好事者来摆弄过他的电脑的话，所有击过的键，都会被秘密记录下来……

老湿不给力

劈马甲 发表于 2013-11-12 08:07
俺有一个德国朋友，他离开电脑时候，不关电脑，不锁屏，不屏保…… 鼠标或键盘一动就能进入，干啥都行。
...

我去，这算反钓鱼吗？

zpvip

mymy365 发表于 2013-11-11 22:04
楼主，我今天又想到你了，然后你就发了这个
我能说一句，不要老是趴在V2EX么～～～

我想起几年前给一个老板设计过一个所谓的软件，这个软件打开后只有一个窗口，窗口中只有一个大大的按钮，因为老板想让每天的数据采集，分析，出结果，打印全部自动化，但又不能是计划任务这么自动化，他想享受按按钮的那种一切在握的快感。

你不要跟他说软件的多功能，他不需要，也不要说参数都写死了不好改，他有的是人给他打工。

这就是典型的用户。

但密码管理这种事，那个老板一定不会去做，但只要会泡论坛的，尤其是家电版的，上手也就是分分钟的事，除非自己不愿意。这种要亡羊才知补牢的多了去了，有人亡羊了也不知补牢。我见过用 iPhone 的说刷机联系人全没有了，请大家给他发电话号码，设置联系人同步真有那么难吗？懒而已，不想学习。

zpvip

劈马甲 发表于 2013-11-12 08:07
俺有一个德国朋友，他离开电脑时候，不关电脑，不锁屏，不屏保…… 鼠标或键盘一动就能进入，干啥都行。
...

那以后用别人的电脑还是用软键盘吧，用之前，最好把软键盘拖一下，key logger不会连鼠标坐标也记下来了吧。

moudy

zpvip 发表于 2013-11-12 08:38
那以后用别人的电脑还是用软键盘吧，用之前，最好把软键盘拖一下，key logger不会连鼠标坐标也记下来了 ...

记录鼠标轨迹，屏幕截图，这是keylogger的基本功能啊

zpvip

mymy365 发表于 2013-11-11 22:53
登录的地方加一个判断，如果密码是111111之类的，直接要求重新设定密码，设置连接发送到邮箱，写上设定成 ...

如果你改过 discuz 的代码就知道，很麻烦的，他一年一升级，你又不能不跟着升，你升级的时候，所有的修改都没了，又要重新来，除非以插件的形式，这种工作，既费钱又招用户不喜欢，就让他们这么玩吧。

moudy

zpvip 发表于 2013-11-12 08:44
如果你改过 discuz 的代码就知道，很麻烦的，他一年一升级，你又不能不跟着升，你升级的时候，所有的修改 ...

密码强度检查很讨厌的。用户有的就这一个密码，别家都行就你这不行，仇恨度立马爆表。

老湿不给力

moudy 发表于 2013-11-12 08:47
密码强度检查很讨厌的。用户有的就这一个密码，别家都行就你这不行，仇恨度立马爆表。

对！+1000000
所以我现在都是拿个小本本把所有的用户名密码都记下来，用的时候翻，楼主这篇文章介绍的也是软件，软件就有可能被人黑，还是小本本安全

kaihumuc

顶lz，keepass挺好用的，我的主密码有18位。
lz又没说要让那些玩劲舞团的女生也要用，发在这个版上很合适！有些人就喜欢没事找事。鸡蛋里挑骨头！

dodosai

谢谢lz分享，已经装上了，很好用啊

milo_j

自己写个lasspass...
看需要我会开源。

zpvip

milo_j 发表于 2013-11-12 10:04
自己写个lasspass...
看需要我会开源。

顶大牛

代码开源，但服务器怎么办，不然不能同步啊？

如果只是本地填表单的话，keepass也有很多开源插件可用
http://keepass.info/plugins.html

比如说 keefox 就是 firefox 的插件
http://keefox.org/

milo_j

zpvip 发表于 2013-11-12 10:23
顶大牛

代码开源，但服务器怎么办，不然不能同步啊？

我不是大牛，有编程基础的都应该可以做，只是看愿不愿意花时间。
我有自己设计的安全同步机制。

moudy

老湿不给力 发表于 2013-11-12 09:49
对！+1000000
所以我现在都是拿个小本本把所有的用户名密码都记下来，用的时候翻，楼主这篇文章介绍的也 ...

小本本要是丢了，或者被人拍照了

还是这个保险哦

劈马甲

moudy 发表于 2013-11-12 11:44
小本本要是丢了，或者被人拍照了

还是这个保险哦

这是人人都要CIA情报分析员的节奏吗？

moudy

劈马甲 发表于 2013-11-12 11:50
这是人人都要CIA情报分析员的节奏吗？

我们都用iCloud keychain，密码自动送上门，不麻烦CIA,NSA,NSC等大神们，啦啦啦