这是一个创建于 641 天前的主题,其中的信息可能已经有所发展或是发生改变。
这样就不用记忆密码了,举个例子,v2ex.com 输入进去,输出 xxxxx 。 离线就可以算出密码了。
 | 1 clacf1 OP https://flowerpassword.com/ 结案了,貌似就是这个玩楞 |
 | 2 AoEiuV020JP 2024-01-16 11:18:51 +08:00 这种我希望能简化一下算法让人脑在一分钟内可以算出来,不知道有没有可能, 依赖第三方的话我为什么不用专业的密码管理器,离线谁都可以离线, |
 | 3 allplay 2024-01-16 11:20:00 +08:00 via Android 我也考虑过这个问题。 也可以把密码字符在脑中进行运算。 比较简单的是字符替换,可逆,易被破解 稍复杂的是单向字符替换,不宜被破解 更复杂的可能超出人脑承担能力了 |
| 4 allplay 2024-01-16 11:22:27 +08:00 via Android 比如键盘数字小键盘,以前的数字可以对应电话拨号的字母。这个可以做一个字母到数字的单向映射。 |
| 5 allplay 2024-01-16 11:24:39 +08:00 via Android 我想这个东西主要目的是为了避免所有网站使用相同密码。不同网站的代表字母对应一个数字。理论上是可以的,缺点是一旦其中一个密码被破,其它密码依然处于危险状态 |
 | 6 7h3d4wn 2024-01-16 11:24:47 +08:00 1. 一站一码的工具很多, 找个开源的且健壮的就可以 2. 人脑的 entropy 和计算能力都有限, 要在 1min 算个健壮的密码出来, 不大行, 最多就是一个固定的复杂密码+网站域名 比如, 固定复杂密码是 T0morrowIsAnOtherD4y, 在 V2EX 的密码可以是:T0morrowIsAnOtherD4y+v2ex.com |
 | 7 1145148964 2024-01-16 11:26:15 +08:00 hash 自己加盐,最可靠 |
 | 8 76 2024-01-16 12:07:38 +08:00 |
 | 9 leonshaw 2024-01-16 12:13:33 +08:00 via Android KDF? |
 | 10 yumusb 2024-01-16 12:16:25 +08:00 |
 | 12 Sting1226 2024-01-16 14:31:22 +08:00 我都是用了 lastpass 生成密码,然后记住。我懒得记密码。 |
 | 13 x86 2024-01-16 14:41:11 +08:00 花密,以前在异次元上推荐过也用过一段时间 |
 | 14 cmdOptionKana 2024-01-16 14:45:32 +08:00 自己做一个吧,输入一句话,转 md5 或 sha256 之类的(自己选一种),再转 base64 ,再决定取第几位至第几位(比如 11-21 ,每次都是这一段),搞定。 没人知道你采用哪种摘要算法,也没人知道你取第几位,知道了就可以离线算出密码。 |
 | 15 CSGO 2024-01-16 15:08:47 +08:00 |
 | 16 faithxy 2024-01-16 16:45:49 +08:00 自己做一个生成规则记在脑子里就行比如:v2ex.com 首字母或者缩写往后加两位 v 就是 x ,末尾字母往前减两位,x 就是 v ,在加上一些固定的数字字母大小写什么的,一个简单的规则,自己就能计算也不用离线存储了 |
 | 17 ryV60s 2024-01-16 16:53:26 +08:00 @tool2d 花蜜算法很简单的。ios ,搭配捷径不要太爽,Android 就自己写个简单的 app ,windows 使用 quicker 一键获取浏览器地址更爽 |
 | 18 tool2d 2024-01-16 17:37:16 +08:00 |
 | 19 Ericality 2024-01-16 17:52:08 +08:00 发散了一下 如果根据网址直接进行不可逆变换 那使用同一个网址还是同一个算法的人得到的结果就一样了 于是就要加盐偏移 其中可能的有 用户的自定义词 可选的预设词汇 各种连接符 但是这样除了第一种无形之中缩小了攻击时的选择范围 而第一种的话 用户的自定义词就成了整个系统最薄弱的一环 优点是记住一个复杂密码就好了 但是同时攻击者掌握一个复杂密码全网的账号就都没了(和密码管理器有点像) (这里之所以可以覆盖是因为网址和生成算法都是开源的) 此外 因为网址如果加参数 以国产的尿性后面一堆不唯一或者部分唯一的跟踪参数 你不是同一时刻复制出来的网址都是不同的 所以取域名比较好 但是这种情况同一个域名 + 都用生日做提示词的用户 密码直接一样了... 所以这就要求加盐的提示词不能重复 或者不能大面积重复 于是我能想到的就是干脆生成 uuid 好了 那么我们一开始的问题是啥来着? 哦 创建一个好记且可以自动填充的密码 那以 uuid 的复杂程度为什么不直接用它呢? 而且离线还有个问题就是 当你在一个陌生电脑临时登录的话 要怎么做呢? 生成那一长串你也不想手动输入吧? 要不还是个密码管理器+一个复杂密码? 反正你在一个陌生电脑先打开网页登录一下 就全都有了..... |
 | 20 OnlyShimmer 2024-01-16 18:05:20 +08:00 @AoEiuV020JP 你对象生日(如果有)/名字大写拼音首字母开头+@+网站网址/网站中文拼音小写 |
 | 22 YsHaNg 2024-01-16 18:25:46 +08:00 via iPhone |
 | 23 lchynn 2024-01-16 21:10:05 +08:00 找个在线/离线 HMAC_SHA 工具, 网站 URL 作为文本串,你在该网站的用户名作为 Text 密钥,也可以加一个自己知道的 salt 值简单前缀,比如 20230101 或者你生日年月日; 然后生成的 SHA 值,取开头 10 位作为密码即可。 例如 网站(文本):www.v2ex.com, 用户名 clacf1 吗, 加了 salt 就是 密钥为 20230101clacf1; 生成的 HMAC_SHA1:3DA3D6C99CF4AECC00ABDE43A9148EDDD697F6D8 取前 10 位:3DA3D6C99C 作为你这个网站的密码即可。 HMAC_SHA 加密算法是开源的,工具随处可见。 |
 | 24 wyx119911 2024-01-16 21:33:25 +08:00 如果网站要求特殊密码规则,比如必须有特殊符号、规定长度和大小写,怎么办? |
 | 25 stimw 2024-01-16 23:48:58 +08:00 能人脑简单算的还有点用。。不能人脑算的为什么不用密码管理器? |
 | 26 hj960511 2024-01-17 01:57:35 +08:00 via Android 恕我直言,没有密码才是最好的密码。 |
 | 27 yangxiaopeipei 2024-01-17 08:15:14 +08:00 @tool2d 夹带私货 |
 | 28 alading11 2024-01-17 13:48:24 +08:00 @AoEiuV020JP #2 自定义规则就行,比如用网站名+自己姓名缩写+生日再加一个自己的专属单词再加两个特殊符号,已经属于强密码了 |
| 29 AoEiuV020JP 2024-01-17 16:14:24 +08:00 @alading11 #28 你这种规则密码的明文太简单,有点应付, 我希望是多少能有点雪崩效应的,需要一定计算的,明文泄露也猜不出规则, |
 | 30 wdssmq 2024-01-17 17:21:37 +08:00 GenCode - 一个特殊的 TOTP 生成工具 - 水水的演示站 https://demo.wdssmq.com/tools/GenCode/ 我的方案是不基于网站,而是基于时间。。 选一个剩余周期适中的四位字母拼接在密码后边,用几次就能记住最新的,旧的如果不需要手动输一般不会主动改,需要手动输的就会事实层面按一定周期修改。。 |
| 31 hj960511 2024-01-19 15:06:19 +08:00  |
Select Language