这是一个创建于 2324 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天看到很多同学上车免费的 1Password
也有人提出这个服务粘性很强,1 年后就只能续费了
于是分享一个我常用的密码生成方式,一般不用通过专门的软件保存,也不会忘记
这个方法就是:
1、用户名用同一个;
2、密码按照类似这样的规格生成: 固定的 3~5 位字母 + 网站域名
例如我习惯用我的第一个笔记本的品牌 ibm
所以 V2 上的密码就是 ibmv2ex
豆瓣上的密码就是 ibmdouban
以此类推
只要你的固定部分自己不忘、也不告知别人,则密码每个网站都不同、也不需要特别记忆
也有人提出这个服务粘性很强,1 年后就只能续费了
于是分享一个我常用的密码生成方式,一般不用通过专门的软件保存,也不会忘记
这个方法就是:
1、用户名用同一个;
2、密码按照类似这样的规格生成: 固定的 3~5 位字母 + 网站域名
例如我习惯用我的第一个笔记本的品牌 ibm
所以 V2 上的密码就是 ibmv2ex
豆瓣上的密码就是 ibmdouban
以此类推
只要你的固定部分自己不忘、也不告知别人,则密码每个网站都不同、也不需要特别记忆
第 1 条附言 2019-06-07 15:19:36 +08:00
1、改密码的问题: 我现在的办公环境,也是要求改密码且不能和上次相同的。一般我的做法是连续改 3 次,前 2 次在原密码后面加数字 1 或 2,第三次改回原密码。1 分钟就搞定了。
2、看到一个就能发现规律泄露别的的问题: 这里只是列举一个思路,并不是你只能这么做。有很多办法解决这个问题,只要你脑洞够大 例如我一般用的方法就是差位法: 固定 ibm,变化网站域名 v2ex,则密码为 ivb2mex。
3、在强调一下,只是提供一个思路,不抬杠。
2、看到一个就能发现规律泄露别的的问题: 这里只是列举一个思路,并不是你只能这么做。有很多办法解决这个问题,只要你脑洞够大 例如我一般用的方法就是差位法: 固定 ibm,变化网站域名 v2ex,则密码为 ivb2mex。
3、在强调一下,只是提供一个思路,不抬杠。
 | 1 tankren 2019-06-06 23:59:55 +08:00 差不多,我是前面几位是网站或者服务的代号,后面是常用的密码,只有 Google 密码是超长超复杂的。 |
 | 2 way2create 2019-06-07 01:15:42 +08:00 我不是记不住密码,web 的基本都就浏览器保存了,也下了 enpass,,最近经常操作服务器和某些浏览器外的软件切来切去输入密码烦了,不想老输入密码,想复制...不过输入主密码也挺烦的。。。主密码设置的太简单或者完全不锁定又感觉 B 死强迫症。。其实我就想要个方便复制的,不知道有没有更好的选择 |
 | 3 widewing 2019-06-07 01:19:15 +08:00 via Android 泄漏一个等于全泄漏 |
 | 4 cnfczn 2019-06-07 01:21:51 +08:00 哈哈,我也感觉 1password 在钓鱼,这玩意迁移成本有多大真不了解. 如题主所说有点小问题,比如某个公司业务比较多,如 google , youtube,之类的.帐号体系相同,有可能需要个别记忆. mark 下,看大家的密码策略. |
 | 5 duskdandelion 2019-06-07 01:24:54 +08:00 类似这种方法设置了密码用了几年,还是随机密码+填充最实在 |
 | 6 version 2019-06-07 01:27:25 +08:00 是的.在这基础上.加些点大小写..然后数字..例如 2019 然后就是按 shift+2019 就是特殊字符.还有很多.或者键盘移位置输入 .一般破解都是批量碰撞.所以这种简单.好用. |
 | 9 jinliming2 2019-06-07 01:35:39 +08:00 via iPhone  1 @widewing 除非专门针对你,不然一般都是批量撞库,不会去猜你的规则的。 |
 | 10 foru17 2019-06-07 02:11:37 +08:00 2 我现在是自己写了一个 Telegram 的机器人, 会自动根据识别网址、关键字,生成指定位数的 hash 值 ,最终生成的密码: {base code} + { hash } 的组合方式,Base code 就是自己记的,后面 4-5 位 hash 每次要登录直接查询一下就好了。 楼主分享的这种,如果别人看到你几个密码,还是能分析出规则的。 |
 | 11 ruxuan1306 2019-06-07 02:18:15 +08:00 多账号比较麻烦,并且一旦改密码,就得增加记忆特殊规则。 事实上,密码管理软件主要方便在,可以自动填充。 |
 | 12 pkookp8 2019-06-07 03:03:32 +08:00 via Android 记一个公式,记密码修改日期 写个简单的算法,明文记日期呗。算法+日期生成密码 |
 | 13 rzti483NAJ66l669 2019-06-07 03:05:27 +08:00 这样不是比记录到 txt 里面还明显? 特征太明显 |
 | 14 Perry 2019-06-07 03:08:25 +08:00 via iPhone 用 1Password 就是图个省事,几百个账号每次都要手动输入还要加上域名我自己是不愿意的 说下车难的基本是没试过 export 功能 |
 | 15 tomato1111 2019-06-07 04:42:41 +08:00 4 楼主说的这种办法我也用了很久。 使用中有两个问题: 1.修改密码后,新规则如何记忆 2.能对抗撞库,但无法对抗社工 第一个问题比较常见,非常烦 现在我完全用 lastpass 的生成密码了,没有自动填充宁愿麻烦一点复制过来 |
 | 16 DravenJohnson 2019-06-07 05:02:01 +08:00 其实这样并不好,但也算一个办法 比如有某个数据库泄漏,很明显能看到是一个 字母数字组合 + 网站名。 那么这样可以按照这种组合去暴力破解 |
 | 17 loading 2019-06-07 05:21:04 +08:00 via Android keepass 又不用钱,楼主试一下再说别的吧。 您说的这种方式这里用密码管理器的基本都已经用过的。 |
 | 18 ShadyK 2019-06-07 05:23:02 +08:00 via iPhone 你是没遇到那种 90 天必须改一次密码,还不能和之前的一样的办公环境。据说是上市公司安全审计要求的,搞不太清楚。 |
 | 19 msg7086 2019-06-07 05:58:09 +08:00 你就说要你改密码的时候怎么办吧。 |
 | 20 maxco292 2019-06-07 06:55:33 +08:00 via Android hash 一下都比这样强,而且现在网站这么多,万一哪个网站被爆库,特征越明显的密码越是进一步挖掘的对象 |
 | 21 Greenm 2019-06-07 08:29:53 +08:00 via iPhone 存在的问题楼上也有人提到了,我说说其他的问题。 重要账号的 recovery code 如何记忆?如 github,gmail 这样的给你一堆随机字母; 软件授权 license 如何记忆? 还有其他乱七八糟的,如安全问题,复杂的压缩密码等等。 |
 | 22 Jirajine 2019-06-07 08:39:40 +08:00 via Android 用户名同一个也很危险好吧。 用户名和密码都应该随机生成 |
 | 23 itechify PRO @widewing 泄漏一个主要是泄漏给人才可怕,可以推理出来,但是泄漏给撞库的就不会泄露全部吧 |
 | 24 roustar31 2019-06-07 09:28:21 +08:00 keepass 这种开源免费的不行吗? 什么?浏览器自动填充?官方网站上的扩展和插件都是看的吗? 什么?嫌麻烦? ? |
 | 26 botian 2019-06-07 10:20:00 +08:00 via Android @ShadyK 我上一家公司就是,60 天密码自动过期,需要立刻去修改密码,如果一定时间内没改,老密码自动作废,然后你就登陆不上了,需要行政联系公司安全部门重置。 |
| 27 foru17 2019-06-07 10:40:22 +08:00 @hzfyjgw 自己用 node 写的,一百行不到代码就搞定啦,用上 aes 之类的加密,生成唯一 hash 就好,不做储存。 |
 | 29 2exploring 2019-06-07 11:07:45 +08:00 我用 pass,然后存 github 上,linux 上直接能用浏览器插件很方便,win 就用 qtpass。android 有 passwordstore,完美。 |
 | 32 trafficMGR 2019-06-07 11:45:46 +08:00 via Android 借楼问用 chrome 存密码可以吗 |
 | 33 txwd 2019-06-07 12:24:32 +08:00 一两密通行,暂时没翻过车,所以没想过那些有的没的 |
 | 35 rus4db 2019-06-07 14:34:46 +08:00 钥匙链:本地存储,多份备份,绝不上网,纸质备份。→keepass 账号安全性分级: 核心账号(依赖众多,或价值较高,丢失代价无法承受):超长全随机密码+两步验证+官方密保全开 一般账号(比较重要,但丢失代价可承受):规则构造,但注意避免字典和社工 次要账号(丢了也无所谓):同一密码 |
 | 36 AlexEcho 2019-06-07 14:40:24 +08:00 「只能续费」啧啧啧,亏得各位还是从业者。 |
 | 37 Admstor 2019-06-07 15:15:43 +08:00 不想花钱就 keepass 哪有你这么折腾了 而且楼主的方法折腾半天安全性还没随机密码高,有什么意义呢 |
 | 38 dmql 2019-06-07 15:43:30 +08:00 一个人能记住的规则就那么几种,总有一些并不重要的网站(账户丢了都无所谓)非要你搞个贼复杂的规则密码,导致我进这些网站每次都要找回重设密码(我复杂的规则密码都用在有价值的网站上) 比如你豆瓣密码可以设置为 ibmdouban,上 p 站你人家要你有数字有大小写,说不定有的网站还要你有特殊字符你只能设成 ibmpixiv_1,等好几天重新登录结果规则给忘了又要重新找回 换了 1password,不说找密码方不方便,用户名都不用担心忘记(有的网站还有小号) |
 | 39 dingyaguang117 2019-06-07 15:47:32 +08:00 好了 LZ,我知道你密码了 |
 | 40 KiseXu 2019-06-07 17:55:34 +08:00 |
 | 41 Elliota 2019-06-07 18:14:35 +08:00 简单,设置几个变量,比如年份,当前网站类型之类的。最后在加几个特殊关键字。关键字定期换一次,其他的变量也跟着换。 我一般一年换一次 |
 | 42 hyyou2010 2019-06-07 18:22:53 +08:00 我跟楼主基本类似。 只要密码分级了就不难:1,涉及金钱的或非常重要的,2,一般的,3,随便的 |
| 43 hyyou2010 2019-06-07 18:25:51 +08:00 看了一下,似乎多数人都差不多:按自己的习惯规则构造密码 没有用过 1Password,好奇一下,要是这软件出个故障怎么办? |
 | 44 feelinglucky 2019-06-07 18:57:40 +08:00 个人用随机密码,然后自动填充 https://github.com/mingcheng/genpasswd.go |
 | 45 OeuJyi 2019-06-07 19:39:01 +08:00 via iPhone 找个本子记下来多做几个备份 |
 | 46 parametrix 2019-06-07 19:40:07 +08:00 |
 | 47 crella 2019-06-08 11:49:22 +08:00 via Android 水平太差,你们就不会内容提供商->英文名->26 个字母转 t9 键盘->三角函数变换 吗,最后把英文名和三角函数变换结果取八位小数合起来就可以了。可以几个函数一起用,比如 sin cos log 等等等等,当然 sin 用弧度制…… |
 | 50 songteng0604 2019-06-08 22:09:41 +08:00 我用 Bitwarden,有 iOS 和 Windows10 版 |
 | 51 whan 2019-06-13 10:50:08 +08:00 推荐免费的 keepass 啊,各个平台都有,关键是免费的。。。 |
Select Language