刚用了 keepass 把所有密码统一管理起来,发现还是需要频繁输入主密码,请问主密码和手机锁屏密码需要每隔一段时间就更换一次吗,记不住怎么办,怎样兼顾安全性和输入的便捷性呢?
如果不换密码一直用(密码很短),一旦被猜到所有的密码都裸奔了……

非常感谢大家的回复,指纹或者人脸解锁有点复杂了,要增加硬件,我想能在公司电脑、笔记本、台式、平板、手机都能直接用,还是换成一个好记的强密码,输入多了就习惯了,如果没有泄露风险就不换了。手机锁屏密码从用手机开始就这几个数字,习惯太可怕了,大概是换不成,就这样吧……

便捷和安全就是冲突的

其实我觉得这种主流管理器也可以引入 faceid 做验证授权也行,每次都要输主密码确实烦

搞一个密码生成规则,比如关键词:床前明月光 -> CqmyG.

规则不一样,很难。尤其一些银行 app ,傻逼的设计,有的 6 位,有的 8 位。干

上条没打完就发了😂,在这补充下。有了自己的密码关键词之后,对于每个网站再提取该网站的关键词。比如 gmail ,那结合密码规则最终就可以是:CqmyG.gmail.com

纯数字的好像就没辙了

可以把自己最容易记的密码加一下盐 ,然后 md5 一下输出 6 位

md5_hash=$(echo -n "$input_string" | md5sum | awk '{print $1}' | cut -c1-6)

让 keepass 接入指纹锁或者人脸识别呗

这个加密的脚本可以名文存在微信,qq ,和电脑本地,然后密码盐搞一个自己生日什么的记在脑子上,在电脑上运行一下脚本就又好记,又别人永远猜不到了

这种需要周期更新的密码,我是用固定字符串+递增字符串来更新的,比如说用日期,半年一更新:2401xxx2407xxx2501xxx或者直接数字、字母递增1xx2xx3xx...axxbxxcxx

我是站点特征生成规则字符串. 只要被泄漏我就废了

讲一下我以前的密码规则,比如 Google ,密码就是 123456789Google...其中 123456 是一个密码本中根据 Google 这个字符串长度按照一定规则算出来的,789 则是根据首字母 G 通过一定规则算出来的,这样每个服务的密码都是有规律的,但同时密码各不相同。即使一个密码泄露也不会影响其他服务,也不用担心规律被破解,因为密码本在你这,知道规则不知道密码本仍然没用。这样你需要记得只有计算规律以及密码本,可以选取某个不规则小数前 100 位作为密码本。

我的 wifi 密码是 jbjhhzstslbldhbfh. 从来没输错过一次 :d

junbujianhuanghezhishuitianshanglaibenliudaohaibufuhui

显然这是一个密码分级问题,不应该也没必要主密码你肯定应该记住,而且只用于你的密码管理器,这是最高密级,只要不将它乱用在其它地方,大可不必担心丢失,可以将更换周期拉长手机锁屏密码应该是低密级密码,毕竟手机一般都不离手,真的丢失了也能立即将机器锁定,而且锁屏密码都有重试锁定策略,人工破解可能性很低其它密码同理,你自己可以定几个密级,只要确定不跨密级滥用密码,那么泄露的可能性和泄露造成的影响就可以尽可能降低

xkcd.com/936/

其实猜是很难的,例如老婆外婆生日倒着写,暴力爆破或者被窥视倒是可能我曾用过拆迁前老家地址里面的所有数字,用这个密码时这地址早已不存在了,谁会用这个猜啊

找个固定的特殊分隔符,比如#找你喜欢的数字,比如 1024找一句熟悉的古诗,比如窈窕淑女君子好逑现在组合一下10#1ts~#Jzh0#24是不是足够当成主密码了

记一个词然后 base64 ,如果经常输入其实应该会形成肌肉记忆的,我很多 WiFi 密码使用出厂默认的底下标签上的随机密码,输入个几次也就记住了,这种可以自己设置的有规律密码就更好记忆了

keepass 支持指纹吧, 我用 bitwarden 就是 pc 用 windows hello 指纹代替输入主密码, 手机用面容

1password ,用这个吧,支持浏览器插件

纹在身上

用纸写下来放在家里保险柜里

KeePassXC 支援 Windows Hello, Windows Hello (生物辨識、臉部辨識、指紋辨識). 

在自己电脑上确实可以用这个功能 感谢提醒

[每隔一段时间就更换一次吗,记不住怎么办]考虑人肉脑的记忆宫殿 memory pegging 定桩呢?好处是你不改原密码,你自己可以混入你想要的方式。就是你的原码中插入你想出来的东西:比如这个月要加进 Alien+plumbing ,你就想象你家厕所里+丝袜蒙头的 Alien 在修水管。画面越奇葩越能记住。每次就在你熟悉的场合换场景就好了。

我个人的方法也是用 keepassxc(kps), 不过是外加了一个 sync 文件同步系统, 在我所有常用终端上实时同步密码本当然这只是解决了跨设备的问题, 实现这套需要一定的动手能力至于密码轮换, 我其实也思考过要不要进行轮换, 最后得出的结论是, 只给常用的网站 or 身份进行不定期(看啥时候想起来)密码轮换其实对个人来说密码轮换算是个伪需求吧

前前女友生日当密码,社工都社不了一点😋

主密码 6 8 都是固定的密码,例如身份证号 后 x 位 或者 qq 前/后 x 位 ,其他的就用密码管理器随机生成的咯

YubiKey 可以定义一段文本,长按自动输入,只要不丢还算安全吧,毕竟比较小众

肌肉记忆啊。以前密码都是这么管的。不光有顺序,甚至节奏不对都能输错。但是后来指纹、刷脸多了,每次要手动,要在电脑前酝酿半天。

我都是用一句话的缩写,比方说:qnys250$=前女友是 250 ,lzyfc100w=老子要发财一百万