你还没有用_密码管理软件_来生成你的密码吗?
本帖最后由 zpvip 于 2013-11-11 22:14 编辑这个世界远没有我们想象得那么安全,这个世界也总有不关心自己密码的人,希望我这几行字能帮到更多人使用密码管理软件。
keepass 1password lastpass 只要google一搜,会有数不完的文章以各种语言告诉你怎么玩转这类软件。
这个帖子那么多页口水,我只想表达
网络服务提供商_不应该_把用户的"敏感信息"用_明文或有可能很简单就被解密的密文_存放在_接入互联网的服务器上:
http://dolc.de/forum.php?mod=viewthread&tid=1682012
但楼中的少数专业IT人士一致认为,就算用户的敏感信息已经涉及账号密码,只要代价太大,用户表面不care,他们都不会从用户的角度做更多保护。虽是管中窥豹,但互联网的险恶环境由此可见一斑。
虽然搜狗这次的事件是被陷害,但是用户数据是否安全还不得而知,这取决于搜狗程序员及其老板的道德底线。
http://tech.qq.com/a/20131107/015305.htm
言规正传,这类软件最大的特点是,你需要记住一个既难猜又能记住的超级密码,洋名:master password,如果这个密码忘记,你所存储的密码都会消失。就我而言,我的master password 是14位,有大小写,数字以及特殊字符,记了很多年了,想忘记都不容易了,这个密码就像微信密码一样,除了自己,最好还让老婆知道。
lastpass 是浏览器插件,可以为每个不同的网站生成不同的登录密码,反正不用你记,登录的时候它又自动为你填好密码,你只要点登录就好了,所以作为lastpass的多年免费用户,我会推荐大家使用。这样可以避免一个网站账号泄漏,会让你基于安全考虑要去改N个网站的密码。
有人担心lastpass会倒闭,自己的密码怎么办,其实很好解决,它有导出功能,你把导出的密码用个密码加密成zip文件保存在本地就好了。keepass是本地软件,开源免费,我也使用,1password给那些有钱人用的,也不错。
以前讨论这个问题的时候,总有人会提出自己的方法,比如银行的密码都在脑子里,论坛的密码用一个,反正也不重要,email密码跟一般的密码不同,会高级一点。这样我觉得也不错,每个人对密码的重视程度不一样而已。但我倾向每个网站用lastpass生成不同的密码,我不希望哪天有个人拿到我的密码后,根据我的 id 在 google 上找到我曾经留过言的论坛,查看我的私信,因为你不知道骗子会想出什么办法。QQ钓鱼的事件其实也是基于你的网络活动,仿冒你的留言特点,对好友亲人进行欺骗。http://kf.qq.com/faq/120322fu63YV130422Jv67vY.html
那些把 Email 密码设置得高级一点的朋友最好也是一个账号一个密码,因为你的密码在天朝很容易就会被抓到
http://zone.wooyun.org/content/2507
如果有人拿到你一个密码,再尝试去登录你的另外的email,如果一样,那你一定会全线崩溃,好多密保或密码找回都是用email作最后防线的。如果你每个email密码都不一样,可以尽量减少你的损失,所以建议:
[*]开设一个的email,不用于交流,只用于密码找回,使用一个独立的密码,比如 abc@example.com
[*]把其它使用中的email的密码找回email设定为 abc@example.com
[*]定期更改其它使用中的email密码,防止email被盗都不知道
[*]如果你乱改密码自己都记不住了,可以用abc@example.com重设这些email的密码
额外的安全建议
[*]用google的高端大气上档次的 DNS 服务:8.8.8.8 和 8.8.4.4
[*]使用chrome,在打开网站有总是的时候,它会提示你。比如SSL证书有问题,或有木马。
[*]在酒店使用wifi时,最好使用VPN。
[*]标记 CNNIC 的证书为“不信任”:https://www.google.de/search?q=CNNIC+%E7%9A%84%E8%AF%81%E4%B9%A6%E4%B8%BA%E2%80%9C%E4%B8%8D%E4%BF%A1%E4%BB%BB%E2%80%9D
Fazit
没有绝对的安全,但不能因为天下没有破不了的门就让门敞着。 {:5_387:}
楼主,我今天又想到你了,然后你就发了这个
我能说一句,不要老是趴在V2EX么~~~
同样,我再次说一句,不要用极客的思维去设计推广产品 极少去V2EX,N天没登录了,我是看到一个卖vpn的软文后想到要发的
知道环境险恶,才要保护自己啊。 我知道写半天也不一定有用,因为就有人拿自己的信息不当回事,同时要改变一个人的习惯真的太难了,没有严重的后果,一般是不会改的。
überwachungsstaat - Was ist das?
http://www.youtube.com/watch?v=iHlzsURb0WI 估计本站有很多会员的密码都是弱密码,比方说111111,aaaaaa或者和用户名相类似的内容,并且没有设置安全提问双重保护,这种情况下,密码很容易被破解。
那些发垃圾办证广告的犯罪份子,每天都在用程序暴力破解本站会员的密码,特别是那些1年以上没有登陆过的会员的密码。 live 发表于 2013-11-11 22:50
估计本站有很多会员的密码都是弱密码,比方说111111,aaaaaa或者和用户名相类似的内容,并且没有设置安全提 ...
登录的地方加一个判断,如果密码是111111之类的,直接要求重新设定密码,设置连接发送到邮箱,写上设定成功送一张电话卡哦~~~
{:5_387:} lz写这么多辛苦啦
但是你想过没有,有多少没有技术背景的普通用户能完整看完你的帖子,看完的里边又有几个会去下载那几个软件?
就跟数据备份一样,大家都知道重要,又有几个普通用户能主动去做?
这和技术无关 loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有,有多少没有技术背景的普通用户能完整看完你的帖子,看完的里边又有几个 ...
呵呵,不辛苦,地板楼我已经说了,
这事就当提个醒,出了事再回来看还来得及。 mymy365 发表于 2013-11-11 22:04
楼主,我今天又想到你了,然后你就发了这个
我能说一句,不要老是趴在V2EX么~~~
他这明显是没有做过实际的计算机产品的想法么....
非要觉得不和他想的一样的都不是学info滴 live 发表于 2013-11-11 22:50
估计本站有很多会员的密码都是弱密码,比方说111111,aaaaaa或者和用户名相类似的内容,并且没有设置安全提 ...
太弱的自动提示一下好了....比如出现的不同字符数不能太少之类的 loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有,有多少没有技术背景的普通用户能完整看完你的帖子,看完的里边又有几个 ...
这就是理论和产品的差距
一个优秀的产品是要让弱智都能用的很爽的
ios为什么一开始能占领市场,就是ue做得好,很多电脑只懂的qq,劲舞团的小女孩都能轻松上手,最开始的android太麻烦了,现在借鉴了很多app的设计思想才靠谱起来。 这种软件有一个问题。
我偶尔需要在手机, 平板, 机房,朋友的电脑,公用电脑等不同设备上登陆各个页面,密码管理软件如何能保证我在以上环境都能顺利登陆?不可能在所有环境下都安装它的插件,如果每次都需要先登陆它的网站去查相应网站的密码,那我是为了方便还是为了给自己找麻烦?
loewez 发表于 2013-11-12 01:15
这种软件有一个问题。
我偶尔需要在手机, 平板, 机房,朋友的电脑,公用电脑等不同设备上登陆各个页面,密 ...
手机平板自己电脑可以用密码管理,机房和朋友电脑就不方便了。其实我自己基本上决不在外人电脑上输自己的密码,鬼知道他电脑上有啥宝贝木马看着呢。倒是gmail hotmail提供一次性临时密码应付这种情况挺方便的。 loewez 发表于 2013-11-11 23:18
lz写这么多辛苦啦
但是你想过没有,有多少没有技术背景的普通用户能完整看完你的帖子,看完的里边又有几个 ...
就跟数据备份一样,大家都知道重要,又有几个普通用户能主动去做?
说的对极了
一个朋友几年前电脑崩溃,历年照片丢失,损失惨重教训惨痛,当时就告诉她重要数据要经常备份的。
前两天又哭着说电脑又崩溃了,数据又没备份,我惊道,这种事情你不是已经历过一次吗,肿么又没备份的?答曰,上次只有一个盘所以全没了,这次有单独D盘放数据,以为就安全了,你也没说有D盘的也要备份……
接下来,我崩溃了……
{:4_297:} moudy 发表于 2013-11-12 07:33
手机平板自己电脑可以用密码管理,机房和朋友电脑就不方便了。其实我自己基本上决不在外人电脑上输自己的 ...
俺有一个德国朋友,他离开电脑时候,不关电脑,不锁屏,不屏保…… 鼠标或键盘一动就能进入,干啥都行。
问他干嘛这样,他诡异地一笑,他电脑上安装有 Key Logger,如有好事者来摆弄过他的电脑的话,所有击过的键,都会被秘密记录下来…… 劈马甲 发表于 2013-11-12 08:07
俺有一个德国朋友,他离开电脑时候,不关电脑,不锁屏,不屏保…… 鼠标或键盘一动就能进入,干啥都行。
...
我去,这算反钓鱼吗?{:3_241:} mymy365 发表于 2013-11-11 22:04
楼主,我今天又想到你了,然后你就发了这个
我能说一句,不要老是趴在V2EX么~~~
我想起几年前给一个老板设计过一个所谓的软件,这个软件打开后只有一个窗口,窗口中只有一个大大的按钮,因为老板想让每天的数据采集,分析,出结果,打印全部自动化,但又不能是计划任务这么自动化,他想享受按按钮的那种一切在握的快感。
你不要跟他说软件的多功能,他不需要,也不要说参数都写死了不好改,他有的是人给他打工。
这就是典型的用户。
但密码管理这种事,那个老板一定不会去做,但只要会泡论坛的,尤其是家电版的,上手也就是分分钟的事,除非自己不愿意。这种要亡羊才知补牢的多了去了,有人亡羊了也不知补牢。我见过用 iPhone 的说刷机联系人全没有了,请大家给他发电话号码,设置联系人同步真有那么难吗?懒而已,不想学习。 劈马甲 发表于 2013-11-12 08:07
俺有一个德国朋友,他离开电脑时候,不关电脑,不锁屏,不屏保…… 鼠标或键盘一动就能进入,干啥都行。
...
那以后用别人的电脑还是用软键盘吧,用之前,最好把软键盘拖一下,key logger不会连鼠标坐标也记下来了吧。 zpvip 发表于 2013-11-12 08:38
那以后用别人的电脑还是用软键盘吧,用之前,最好把软键盘拖一下,key logger不会连鼠标坐标也记下来了 ...
记录鼠标轨迹,屏幕截图,这是keylogger的基本功能啊 mymy365 发表于 2013-11-11 22:53
登录的地方加一个判断,如果密码是111111之类的,直接要求重新设定密码,设置连接发送到邮箱,写上设定成 ...
如果你改过 discuz 的代码就知道,很麻烦的,他一年一升级,你又不能不跟着升,你升级的时候,所有的修改都没了,又要重新来,除非以插件的形式,这种工作,既费钱又招用户不喜欢,就让他们这么玩吧。 zpvip 发表于 2013-11-12 08:44
如果你改过 discuz 的代码就知道,很麻烦的,他一年一升级,你又不能不跟着升,你升级的时候,所有的修改 ...
密码强度检查很讨厌的。用户有的就这一个密码,别家都行就你这不行,仇恨度立马爆表。 moudy 发表于 2013-11-12 08:47
密码强度检查很讨厌的。用户有的就这一个密码,别家都行就你这不行,仇恨度立马爆表。
对!+1000000
所以我现在都是拿个小本本把所有的用户名密码都记下来,用的时候翻,楼主这篇文章介绍的也是软件,软件就有可能被人黑,还是小本本安全{:5_332:} 顶lz,keepass挺好用的,我的主密码有18位。
lz又没说要让那些玩劲舞团的女生也要用,发在这个版上很合适!有些人就喜欢没事找事。鸡蛋里挑骨头! 谢谢lz分享,已经装上了,很好用啊 自己写个lasspass...
看需要我会开源。 milo_j 发表于 2013-11-12 10:04
自己写个lasspass...
看需要我会开源。
顶大牛
代码开源,但服务器怎么办,不然不能同步啊?
如果只是本地填表单的话,keepass也有很多开源插件可用
http://keepass.info/plugins.html
比如说 keefox 就是 firefox 的插件
http://keefox.org/ zpvip 发表于 2013-11-12 10:23
顶大牛
代码开源,但服务器怎么办,不然不能同步啊?
我不是大牛,有编程基础的都应该可以做,只是看愿不愿意花时间。
我有自己设计的安全同步机制。
本帖最后由 moudy 于 2013-11-12 11:46 编辑
老湿不给力 发表于 2013-11-12 09:49
对!+1000000
所以我现在都是拿个小本本把所有的用户名密码都记下来,用的时候翻,楼主这篇文章介绍的也 ...
小本本要是丢了,或者被人拍照了{:4_293:}
还是这个保险哦
http://img.gawkerassets.com/img/18ixoxba4vk6djpg/original.jpg moudy 发表于 2013-11-12 11:44
小本本要是丢了,或者被人拍照了
还是这个保险哦
这是人人都要CIA情报分析员的节奏吗? {:2_232:} 劈马甲 发表于 2013-11-12 11:50
这是人人都要CIA情报分析员的节奏吗?
我们都用iCloud keychain,密码自动送上门,不麻烦CIA,NSA,NSC等大神们,啦啦啦{:5_379:}
页:
[1]
2