这是一个创建于 690 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近被 github 强制开启了 2FA ,突然想到一串的密码管理问题,干脆攒一起问问大佬:
1.本人一直用的 chrome 的管理密码,想查看的时候电脑端输入开机密码或者手机端输入解锁密码就能看明文了。这种方式安全吗?如果 google 账号被盗 or 电脑丢失(电脑密码很容易解) or 手机密码泄露,存在 chrome 中的所有密码不就被一锅端了?
2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗?
3.用 microsoft authenticator 存了 2FA ,以防万一需要登录备份,这样话微软账户密码泄露了是不是同样等于一锅端?
 | 1 weazord 2023-12-05 05:14:40 +08:00 > 2.因为密码不安全所以要启用 2FA ,但是我可以复杂密码记在脑海里,启用 2FA 还得搞个恢复密钥吧,恢复密钥如果泄露跟密码泄露的效果不是一眼的吗? 2FA 的话恢复密钥泄露只是等同于那个验证码泄露,不掌握密码/邮箱这些的话还是没法登录的,开启 2FA 至少不会让账户安全性变差。 > 针对 1/3 Google/Microsoft 账号被盗的概率还是挺低的,毕竟都有验证,别密码手机一起掉就行了。 “电脑丢失(电脑密码很容易解)” 这确实是是一个风险,Windows 在登录状态可以很轻松的拿到 Chrome 存的密码,直接在 Windows 用户已登录用 Win 的一个公开 API 就可以解密: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d |
 | 2 msg7086 2023-12-05 05:29:03 +08:00 电脑丢失的问题可以 bitlocker 加密。 另外如果 2FA 用 TOTP 不放心的话也可以考虑用 FIDO 。当然 FIDO 也是要保护好的,丢了一样会有问题。 |
 | 3 NnMmOo 2023-12-05 05:42:19 +08:00  1 经典自己没做的事情就不重要,什么叫你可以记复杂密码?你可以做到每个网站都用类似 3p70RzkZbBBp6Bu5KgMk 这样的密码还不重复吗?如果不行,就不叫可以记复杂密码。而且目前来说,加了 2fa 的账号一定是比没加的要更安全的。况且微软 2fa 你可以设置无密码登录,也就不存在密码泄露这个说法了,只要做好 2fa 的备份,完全没任何问题。 |
| 4 weazord 2023-12-05 05:48:55 +08:00 @msg7086 现在 BitLocker 默认都是开着的,OP 应该担心的是 Windows 用户被别人登录,那种情况下 BitLocker 防不住的 |
 | 5 totoro625 2023-12-05 09:19:36 +08:00 1. 任何软件都可以轻易盗取你的 Chrome 内保存的密码 非常不安全 2. 你打开 edge 浏览器,看看你 Chrome 内的密码在不在 3. 安全设计人员考虑的比一般人多得多,不用考虑你自己比他们强 如果你的恢复密钥泄露了,你的密码应该也泄露了 你要解决的是泄露的事情,而不是担心密码安全了 建议的做法是把恢复密钥打印出来,夹在一本书里,而不是保存在电脑里 恢复密钥是最后的保障 |
 | 6 Dukec 2023-12-05 09:21:53 +08:00 Microsoft Authenticator 存 2FA 有一定风险,这个 APP 的逻辑有些问题。建议换成其他 2FA 工具,而且鸡蛋别放在一个篮子里面就行了。 |
 | 7 tool2d 2023-12-05 09:44:05 +08:00 @totoro625 Chrome 密码逻辑设计不对,应该把 masterkey 保存到云上的,就和 metamask 一样,那样本地就完全没办法盗取密码。 保存到本地,是为了节省服务器资源? google 服务器那么多,搞不懂。 |
 | 8 forvvvv123 2023-12-05 10:24:14 +08:00 重要的,我一般弄个复杂密码,然后写纸上 |
 | 10 zuotun 2023-12-05 23:28:59 +08:00 使用自建或者第三方密码管理器, 我用 Bitwarden 一个快捷键自动填充账号密码, 密码长度取决于网站上限. 对于 2FA 再用另一个软件负责管理, 对于管理员密码这种高危密码我在长度上能够保证不会想去手打一遍. |
 | 11 duke807 2023-12-06 10:18:28 +08:00 @NnMmOo 完全可以只记一个复杂密码,即邮箱密码 然后,所有其它网络服务都应该免密码登录 免密码登录的方法是:发送一条验证登录的邮件,点击邮件中的链接即可完成登录 (登录一次可以保持一段时间,譬如一小时、一天、一周、一个月等) |
 | 13 reg66sun 2023-12-06 16:52:41 +08:00 1.用第三方密码管理工具,比如 1Passward 或 Bitwarden 。设定一个主密码即可。如果电脑丢失或被别人使用,不知道你的住密码同样无法获取你的其他密码。 2.恢复密钥放密码管理器里,还担心的话就用自己才能看懂的加密方式写(比如所有字母递进一位之类)。 3.同上。实在担心就买个带指纹的 passkey ,丢了也不怕。 |
| 14 duke807 2023-12-06 18:47:34 +08:00 via Android |
 | 17 uuhhme 2023-12-14 07:57:25 +08:00 via Android 推荐 ente auth ,界面美观,ios 和 Android 可以云同步,可以导出二维码,完美! |
Select Language