程序员该如何保管好自己的私钥？

连私钥都背不下来还敢自称程序员？！

同时使用多种高强度的认证方式，这样就不用特意去管理私钥了，也可以花式创建各种各样不同的私钥了...

我会在 1Password 里备份一遍私钥

钥念 yuè？

1.给 key 加密放到云盘。
2.那么云盘加密的 key 放哪里呢？
3.再给新的 key 加密放到云盘
4.那么云盘加密的 key 放哪里呢？
5.再给新的新的 key 加密放到云盘
6.那么云盘加密的 key 放哪里呢？
............



还是背下来吧。不然这样就死循环了。

要看自己的私钥有多高的价值了，反正我自己的满世界乱复制，网盘手机工作电脑都存

@YUX 正确的读法是 yue ， 高考过去一年了，这点常识还在的。

但是国内有个密码学大佬，他念 yo ， 然后念 yao 的人也不少，所以就不分到底哪个正确了。

你放心，你的私钥没那么重要。

我回答不止一次了：

打印二维码放抽屉，多地存放。

不怕死的话，匿名注册一个博客服务，贴出来……

@ivmm 密钥的[钥] 的意思我觉得是 钥匙的[钥] 难道不是这个意思？

尝试了 10 分钟，只能背 100 个字符，心累，还是乖乖的打印出来贴床头上吧。

@loading 打印二维码这个好，感谢

@ivmm 钥(yao)匙 or 钥（ yue ）匙

反正苹果的输入法 siyue 打不出这个私钥（ yao ）

1. 密钥要加 passphrase 。使用 ssh-agent 、 ssh-add 在开机的时候输入一次 passphrase
2. 密钥最好专门创建一个帐号，放在那个 home 下的一个目录。记得用 chmod og-rwx -R dir 把所有其他人的权限关掉。这个帐号最好在.bashrc 里面设好 umask ，使得其创建的任何文件都默认只有自己有 r 权限
3. 需要使用 ssh 时，用 su -l 或者 login 以那个专门的帐号来用 ssh

如何保管自己的密码？用 1password ？如何保管好 1password 的密码？

怎么就没人说 USB token 和智能卡呢？

钥 [yuè]
开锁或上锁的用具：锁～（ａ．“锁”和“钥”；ｂ．喻重要关键；ｃ．喻边防要地，如“北方～～”）。
钥 [yào]
义同（一）：～匙（开锁、上锁的用具。“匙”读轻声）。

所以从含义上看 两种音都可以
我比较喜欢读[yào]


我觉得指纹最方便 什么都不用记

@xjp 指纹是最不方便的，太容易泄漏了，又无法更换。
仅适合加密强度最低的场合使用。

一般定期做，私钥 加密打包+伪装成其他文件 放：
- 1Password
- 家里的 Time Capsule
- 某个随身携带的 U 盘

@YUX 文白异读

私钥的保存要点是，不要复用，不同机器不通账户都不要公用。

@YUX 是锁钥的 yue ，不是钥匙的 yao

@ryd994 USB token 没有对 ssh 客户端的标准协议；智能卡更不靠谱了，连读卡器都找不到
相对靠谱一点儿的是，用 OpenPGP card 协议，然后用 gpg-agent 冒充 ssh-agent 给 SSH 用
不过问题是 OpenPGP card 供应很少

@alexapollo 1Password 的主密码是我需要记到脑子里的强密码 当时在键盘里打了一个小时记住的

这个时候 ECC 的优势就出来了吗 233
好记啊（

@YUX
大连人表示
那叫 yue 匙棍儿

@skydiver 比如我在两个机子上做开发，提交到同一个 repo ，这样需要一台机子一个私钥吗


@liwanglin12 求解释

推荐 keepass 哦，装了 keeagent 插件之后还能实现 SSH 自动登录，超级好用

@ivmm 多音字而已

1. 密钥定期换
2. 密钥永远不要离开本地的机器，离开本地机器的密钥视同已泄漏
3. 重要的密钥打印一份出来放银行保险柜

使用 7z ，固实压缩+文件名加密+20 位强密码

@nocwat 我把 keepass 密码给忘了,蛋疼 , 现在用 lastpass

@FlowMEMO 。。(ノ-_-)ノ~┻━┻严格来说这是个抖机灵回答，因为没记错的话 ECC 在给定加密强度下的密钥长度最短所以会比较好记，这样你就可以存在脑子里了

600.

400 也行。

训练一只鹦鹉让它记住你的秘钥，每次要用就问鹦鹉，假如鹦鹉死了，秘钥就没了，这个我叫“秘钥生命周期”哈哈哈！

@sinxccc 2 和 3 冲突吧？

keepass

最近发现把密码什么的放 iPhone 的备忘录里并选择加密。加密的密码忘了？没关系，可以拿 Touch ID 解密，这就是我用备忘录的原因，系统原生支持拿 Touch ID 解密应该比第三方好的多。

@loading 打印机比 PC 更容易被攻克不，不然....更容易泄漏

SmartCard or YubiKey

Keepass + KeeAgent
http://tnt.wicast.tk/2015/01/30/keeagent/

how about this guy.

https://github.com/mstarke/MacPass

你电脑硬盘不全盘加密？你电脑用的外置备份存储盘不全盘加密？你私钥不设置 passphrase ?

@julyclyde 2 说得简单了，写作：私钥文件不可以在除本机以外的任何电子存储设备上有副本…总之体会意思就行了，咱也不是在写法律文件…


3 的话 @sobigfish 提了个醒，很重要的私钥的话，不要用一体机打印，用私人的便宜打印机

纹在大腿上，这不最近减肥，有点看不清了~

@FlowMEMO 需要

@julyclyde 我描述的不清楚
有 USB 的 gpg 智能卡读卡器，卡+读卡器也没多贵，亚马逊上一大把，靠不靠谱我没试过
我一直以为 USB 的读卡器和卡直接一体的就叫 USB token
然后最近常见的 yubikey ，我用的就是 yubikey 当智能卡
同时 yubikey 也可以用作 otp ，这个需要服务器上配置 pam

@sobigfish 你直接写明个人密码，然后到处打印，怪谁……

私钥（ yao ）。这个读法为什么不可以，英文翻译过来的词

@ivmm 语言是人类交流的工具 只要能用于交流怎么读都是对的 如果非要选个正确的 应该选最流行的

我有个朋友读：私钥（ shi ）
不过被我改过来读 yao 了。

忘记了可以在云服务器上通过 web 登录嘛

@Balthild +1

@xpol ...本文盲一直以为是私 shi

什么 yao 啊 yue 啊，都不及金轮来的生动

private key 是有密码的，设一下就好，丢了起码可以缓一缓
或者可以买个 digispark ，改 ssh 客户端，读默认私钥的时候通过 usb 获得私钥内容

@griffinqiu 英文翻译的词。。。私钥这个概念只能用在加密的时候呀。

一直念私 yao ，每次都是输入法提示私 yue 。。查了下，好像除了“钥匙”，其他都读 yue 。。

打包。。加密。密码用中文。中文总背得下来吧。。。随便一句话都能让超级计算机破解一万年。比如这句

加 passphrase

打电话给微软，都是说你的密钥（ yao ）密钥（ yao ），平时也是说钥（ yao ）匙。

@azurexie 君子所错略同。

私钥不是本身可以弄一个 passphrase 么。 Mac 下第一次用时可以存到 Keychains 里去，以后不用每次都输。

私钥后多加点随机字符，然后用 7z 固实加密压缩，用分卷的，把每个卷存到不同的网盘，硬盘等等，这样只要缺一个卷就拿不到私钥。
当然，这只是用来备份的一种方法，讲道理私钥是要不定期更换的。

@ericls 不。 yao 只是官话的音变产生，随普通话被扶正，除了「钥匙」外都读 yue 。钥，形声字，从金，音部为月，所以读作 yue 才是正确的。

没那么重要，我直接放 google drive 的

@Balthild 按照现在的形式来说 这个词应该被定义为两种读音均可 如果读 yao 是被人玩错误的 那么这个语言吃枣药丸

背下来不就行了
另外，就算知道钥的正确读音 还是喜欢读要

我是直接放 dropbox 上

@vus520 你还真背啊，汗……

我的自己本地生成的密钥，然后密钥再加密码，密码用 lastpass 生成的高强度密码，然后本地存一份，再放一份到 onedrive ，然后密钥的密码查看需要验证 lastpass 的密码才能复制

论男人如果保管好私房钱

@akagi 不排除意外的事故导致的短时或长期的失忆，以及自身疾病带的健忘等情况导致你忘了密码这回事。。。

@loading 好方法

@ivmm 好在发音这个事情是可以改的，说不定以后的正统发音变成私(zuo)钥(si)了

base64 一遍 生成二维码

@ericls 不是被人玩错误的，是本来这个读音就是音变，后来在「钥匙」这个词上被扶正了。

纠结 siyao ，还是 siyue 的。多音字好吧。打出来就好啦。而且，题主既没有说念 yue ，也没有说念 yao 啊。只是问怎么保存嘛。

@ ericls 而且补充说明一下，钥这个字是简化字，繁体字，当初简化汉字时不是被简化成「钅药」之类的而是简化成「钅月，也说明了本音是 yue 」。

表示在我方言里面『药』、『钥』、『乐』（音乐的乐）都是同一个发音，跟『月』的发音是不一样的 = =

@YUX 是的，还有密钥，读音为蜜月。

.ssh 文件夹扔 Google Drive 。即用即下载即删除

习惯的力量

看了大家的评论，果然还是赞同 1L ：
连私钥都背不下来还敢自称程序员？！

向你推荐 Keepass 。用这个加密，然后上传到云上。

用 cryptomator 加密，扔 bitbucket 上面的 private repo 做同步
尽量用 x25519 算法（ openssh 和 gpg 都兹瓷了， openssl 很快也会兹瓷），避免 NIST 后门同时缩短长度
密码是一串字符串的 sha512 fingerprint ， base64 过的

@ryd994 gpg 智能卡 是你自己定义的么？这货相当非主流，并不是随便一个卡都能给 GPG 用的

先 Encrypt ，然后 Dropbox 。

随便放哪，记住第 512 位和 1024 位。然后把源文件的这两位改了。用的时候再改回去

@kelos 也不要过于当真 不过根证书颁发机构的私钥都是锁保险柜的 所以还是看密级~

我还想考虑背诵一下 private key ，但一看有 1600 多个字符。。。果断放弃了。

可以买个 Yubikey ，那是个硬件加密工具。

放 google 云盘

@loading 我是指打印机驱动的后门什么的 不是指自己 zuo

@sobigfish 所以你应该去路边打印，这样你那张图可以淹没在大量图里面。

gist