互联网时代,现在的人最无法脱离的就是账号和密码了。存钱、消费、上网冲浪,忘记密码是痛苦的。比这更痛苦的就是密码被人盗了。今天我来分享一下我是如何构建自己的密码体系的。下面规划了 2 套方案供参考。如果您有更好的方法或工具,欢迎留言评论探讨。

方案 1:依据密码的衍生机制逻辑实现最小成本设定密码

需求分析

我们需要一个合理的密码体系,包含几个要求:

  • 肯定不能全部都用一个密码
  • 自己肯定要记得住 (自己都记不住,不是扯嘛~
  • 别人不容易记住、推算
  • 在某个账号失守的时候,不会波及其他账号
  • 比如说撞库
  • 最好不要钱,
  • 核心不依赖软件、硬件。(毕竟有时候确实软件硬件也不靠谱)

那么顺着这个思路,我们需要的密码

  • 不同的账号需要不同的密码
  • 有一个规则或者算法可以简单推算出密码
  • 规则要相对复杂隐私,不能跟个人公开信息相关

需求实现

那么顺着这个思路,我讲一下我的方法。

  • 首先,隔离密码泄漏的风险。
  • 密码泄漏最大的风险是钱
  • 自己的钱
  • 支付宝、银行账号、股票账号、手机号密码、SIM 卡 PIN、以及淘宝、盒马等可以快捷支付的 APP
  • 别人钱
  • 核心社交媒体的账号,比如微信
  • 未来的钱
  • 可以贷款的 APP,比如京东、美团、滴滴
  • 家里的钱(隐私)
  • 包含家庭住址、工作地址,比如外卖
  • 小一点的风险是网上足迹
  • 比如经常逛的社区、豆瓣、之类的
  • 还有就是固定的消费场景,比如健身会员,超市会员啥的
  • 针对两个风险层级设定两套密码
  • 如果对核心 APP 不放心的话,可以设置三套。把 APP 和 银行 切分(实际上我确实也是这么做的。
  • 设置密码的衍生机制
  • 我们需要一个固定的逻辑来生成需要的密码
  • 常用的逻辑就是 主密码 + 账号信息 + 标志符 + 特定的规则 =》 具体的密码

密码的衍生机制

这是核心的内容。

  1. 设定自己的核心密码
  2. 基于人的记忆规则,我们需要设定一个 6~8 位的核心密码
  3. 核心密码不能跟你的信息有直接关联,比如生日、年月、身份证啊(这都是基本常识了。
  4. 比如看一眼现在的时间,“11-20 18:07”,好的核心密码就是 11201807 了。(这只是个示范
  5. 设定密码衍生规则
  6. 常见的规则是拼接
  7. 举个例子,比如现在访问的是语雀,常规做法是 yuque11201807, 但是这样其实有点脑子都觉得有问题,是不是。
  8. 所以我们要避免直接拼接,我个人比较推荐的是挖坑。
  9. 比如,我对 0 不是很喜欢,所以我想要替换核心密码的 0
  10. 我们就拿到了 112y18q7, 支付宝 112z18fb7
  11. 当然还可以更近一步,比如说是我还要到个序,112q18y7, 112b18fz7
  12. 加标记符号
  13. 上面产生的密码其实是不太符合大部分站点的密码要求的,所以我们要增加标记符,同时也是为了增加密码的复杂度。
  14. 找几个你喜欢的符号和大些字母的组合,比如说 $MS(赚钱墨水)、&SC(和社畜)
  15. 找个合适的位置加上,我们就得到了 112q18y7$MS、 &SC112b18fz7

基本上来说,现在有个人拿到了我的语雀密码 112q18y7$MS,

撞库是没有用的,真的要动脑子推算也需要点功夫。

这时候喜欢抬杠的同学肯定就会问了,你这么大的 q、y 在,我还是可以灵机一动推算出来的。

为了增加难度,其实我们也可以在核心密码上加字母。

比如 核心密码 ll20180a -> ll2q18ya$MS

总结

基本就是这个思路,我们设置复杂密码的初衷不是为了躲避 FBI 的猜测,而是避免低成本的密码攻击手段对我们造成损失。 虽然拿量子计算机确实很容易就能算出你的密码,但是你的钱还没有电费贵。。

方案 2:使用第三方热门的密码管理工具 (有一定成本)

通常很多人都会使用密码管理服务来对登录信息进行统一管理,如大名鼎鼎的 1Password、LastPass 等,也有使用浏览器自带的密码管理服务,查看和管理您登录浏览器个人帐户下保存的密码,方便下次登录某网站时选择 ID 免输入密码即可直接登录,(缺点主要还是针对浏览器端)。这些密码管理服务在一定程度上甚至可以让我们不用再刻意关注「密码记忆」这件事。

目前市面上用的比较火爆或者说推荐的比较多的就是三款密码管理软件。分别是lastpass1passwordkeepass。有兴趣的朋友可以一一试试研究一下。

下面我们来看看到底三款密码管理工具 lastpass,1password 和 keepass 哪个更安全?哪个更适配自己的选择?

密码管理插件优缺点比较:

笔者整理了下三款密码管理插件的各方面对比如下图所示:

可以看出这三款密码管理插件支持的系统如下:

1Password 不开源,共享软件,支持 Win、Mac、Android、iOS 系统。

KeePass 开源,支持 Win、Linux、Mac、Android、iOS、WP 等。

LastPass 不开源,支持 Win、Mac、Android、iOS 系统。
下面我们仔细对比三者的优缺点:

1.KeePass

keepass 的优点:

  1. 客户端软件可以玩得很炫,比如虾米、淘宝的账户信息是相同的,别的软件就会存放两条记录(淘宝和虾米),如果淘宝密码改了密码那虾米的密码就不会同步。这时 kp 可以配置标题匹配规则(一条记录即可),或者用 “引用” 这种神奇的功能(两条,但一个修改后另一个是引用原记录的内容,也会保持最新)…

  2. 只要能发送键击,就能用 kp。安装一个插件后,可以直接自动登录 qq(qq 开启了双通道混淆输入)。

keepass 的缺点:

  1. 不能在线查看

  2. 银行插件(未详细验证)用不了。

  3. 想看密码至少要带着 kp 软件和数据库(貌似问题不大)

  4. 想从浏览器自动保存密码的话要装插件

2.1Password

1Password 的优点:

  1. 一定要说、一定要知道:1Password 的密码数据库天生的优势就是只要有个浏览器就能查看你的密码,它不要求一定要安装客户端,这点很逆天。所以如果出门时就带着一个密码数据库,想看密码时只要从容地打开数据库目录下的 html 即可,太棒了!(极客一点就是弄个服务器,数据库文件放到服务器上)(注:要查看还是要有服务器,直接通过浏览器还是不能直接访问)

  2. 支持主流浏览器,安装插件后登录后可以添加到数据库。

  3. 移动平台客户端都是官方制作的,软件体验很好。

  4. 密码数据库在自己手中

1Password 的缺点:

  1. 按平台收费,死贵。按理说这么贵的东西为毛不提供官方同步服务?

  2. 或许用 kp 习惯了,1Password 总感觉很简单…(简单就是美?)

  3. 只能用于网站自动登录

3.LastPass

Lastpass 的优点:
1.Lastpass 在兼容性、易用性和安全性上都非常不错,并且提供免费版本 chrome 插件。

Lastpass 的缺点:

1.Lastpass 网站本身的安全性如何,做为一个云端在线密码管理服务,Lastpass 将密码保存在网上,密码保护变成了针对 Lastpass 的密码保护,如果 Lastpass 网站有漏洞,或者用户的 Lastpass 密码被攻破,Lastpass 的密码保护就会失效,用户依旧可能失去所有的明文密码。

密码管理插件对比总结

对于大量帐号密码的管理,肯定是需要一个密码管理软件,从跨平台以及易用性上看,Lastpass 做为专业的帐号密码管理软件,使用简单,方便安全,相对其它几款软件有很大的可用性以及实用性。但 Lastpass 的主要缺点是,用户必须要信任 Lastpass 的安全性,而网络攻击可能会主要针对云端的 Lastpass,而一旦 Lastpass 网站被攻破,则用户密码就存在外泄的可能。KeePass 做为本地密码管理非常强大,但易用性相对较差,浏览器自身的密码保存易用性很好,但安全性很差。