前言
在 CSDN 的密碼事件爆發(fā)之前白翻,我都是用的一個(gè)密碼,所以出事之后換了方案一绢片。
方案一
第一批密碼的規(guī)則是類(lèi)似這樣的
{前綴}#{網(wǎng)站標(biāo)識(shí)}{后綴}
這樣的好處是滤馍,我只要看下網(wǎng)站,就能知道這個(gè)網(wǎng)站的密碼是什么了杉畜。不好的地方就是纪蜒,如果是有心人看到,大概能推測(cè)出其它網(wǎng)站的密碼是長(zhǎng)什么樣子的此叠。
不同網(wǎng)站的密碼規(guī)則不同纯续,有的需要必須含有大寫(xiě)字母,有的不允許特殊字符灭袁,導(dǎo)致現(xiàn)在有的密碼不能簡(jiǎn)單的推導(dǎo)出來(lái)了猬错。于是一些級(jí)別較低的網(wǎng)站的密碼規(guī)則現(xiàn)在是這樣子的
{前綴}233{網(wǎng)站標(biāo)識(shí)}
網(wǎng)站標(biāo)識(shí)這里統(tǒng)一第一位字母大寫(xiě)。這樣的規(guī)則能應(yīng)付絕大多數(shù)的網(wǎng)站了茸歧。在這些規(guī)則之外倦炒,級(jí)別最高的幾個(gè)帳號(hào),Gmail软瞎,QQ逢唤,淘寶則是獨(dú)立密碼,哪怕別的網(wǎng)站的密碼被知道涤浇,也可以通過(guò)找回密碼找回鳖藕。
方案二
最近在試用 KeePass 這個(gè)軟件,至于為什么是這個(gè)而不是其它的 1Password 或其它的密碼管理軟件只锭,僅僅是因?yàn)檫@個(gè)軟件在 ubuntu 官方的源里面有著恩。不過(guò)這類(lèi)軟件都是類(lèi)似的,通過(guò)一個(gè)密碼去保存更多的密碼,這些密碼軟件也提供各種隨機(jī)密碼的生成喉誊。
KeePass 本身是不支持同步的邀摆,所以需要額外的同步軟件去同步這個(gè)他的數(shù)據(jù)文件。這里我用的是 堅(jiān)果云伍茄,它有 ubuntu 的客戶(hù)端栋盹,免費(fèi)的額度也是夠用的。同時(shí)敷矫,同步的文件夾也放在 Win10 的 onedrive 的同步目錄下面贞盯,這樣就又備份了一份了。
KeePass 官方客戶(hù)端本身也是支持各種的同步手段的沪饺,F(xiàn)TP,webdav 等等闷愤。webdav 的方式去連接 onedrive 和堅(jiān)果云我是沒(méi)弄成功過(guò)整葡,所以只能是知道有這種方式。另外讥脐,KeePass 本身是有另外的 key 文件一起進(jìn)行加密的遭居,這個(gè)文件推薦使用別的途徑去保存,例如郵件旬渠。
我看別人也有一些有趣的用法俱萍,就是用互聯(lián)網(wǎng)上一個(gè)公開(kāi)的不變的文件當(dāng)作 key(開(kāi)源協(xié)議文檔,舊的協(xié)議標(biāo)準(zhǔn)文檔告丢,某個(gè)版本的經(jīng)典代碼)枪蘑,或者一個(gè)你能記住的文本當(dāng)作 key 文件。這樣就不用額外去保存這個(gè)文件了岖免。
至于手機(jī)登錄問(wèn)題岳颇,安卓版的 Keepass2Android 本身是支持 onedrive 和 Google Drive 的。這樣子整個(gè)應(yīng)用場(chǎng)景基本就行了颅湘,至于使用的話话侧,沒(méi)有自動(dòng)填充的確很麻煩,但是大多數(shù)時(shí)候也僅僅是一次而已闯参。
除了幾個(gè)比較重要的網(wǎng)站以外瞻鹏,其它網(wǎng)站的密碼都用 KeePass 來(lái)生成隨機(jī)密碼,借助瀏覽器和 APP 的緩存鹿寨,在大多數(shù)情況下僅僅需要輸入一次密碼即可新博。這是目前我覺(jué)得比較適合我自己的方案。
理想的狀態(tài)
無(wú)密碼释移,這是最最最理想的狀態(tài)了叭披,但是基本不可能實(shí)現(xiàn)。未來(lái)希望能大批量的推廣 Google Authenticator 的二次驗(yàn)證,通過(guò)手機(jī)驗(yàn)證碼和這個(gè)二次驗(yàn)證涩蜘,我覺(jué)得基本就可以解決大多數(shù)問(wèn)題了嚼贡。其實(shí)每次重新登錄重新設(shè)一次密碼對(duì)我來(lái)說(shuō)也是可以接受的。
現(xiàn)在很多時(shí)候也借助第三方登錄了同诫,這樣子就減少了不少的帳號(hào)密碼的組合粤策。這個(gè)國(guó)內(nèi)的話希望更多的渠道借助微信登錄,掃碼真的挺方便的误窖。
一些想法
我看了下別人的用法叮盘,很多時(shí)候使用這些密碼管理工具的時(shí)候,都是設(shè)置瀏覽器不保存密碼的霹俺。個(gè)人感覺(jué)沒(méi)有必要柔吼,雖然瀏覽器的密碼是明文保存的,但是還是有加密的丙唧,不擔(dān)心在同步的過(guò)程中被看到愈魏。如果是說(shuō)擔(dān)心被人用你的電腦看到瀏覽器的保存的話,這個(gè)也是怪個(gè)人而已想际,畢竟物理接觸到你電腦了培漏,任何安全工具都沒(méi)什么用了。當(dāng)然胡本,如果密碼管理工具本身就支持自動(dòng)填充那就最好了牌柄。
我覺(jué)得密碼管理工具更多是用在防止網(wǎng)上的密碼泄漏之后導(dǎo)致的其它的密碼被人知道。使用者本身的安全意識(shí)比工具更重要侧甫。
