目录

• 前言
• 概述
• 实施
  • 所需软件一览
    
  • PC端
  • Android端
• 总结和不足

前言
今天上来看到版主的提醒帖，马上响应，修改了自己的密码。我这个ID的旧密码是这样的：8k`+ef<[8mt&&f******，新密码是啥说实话我自己都不知道。

其它各种工作中、生活中需要的密码，以前为了省事都设成一样的，有时候为了符合不同的密码规范又要进行一定的修改，容易忘记不说，安全性也不好。前段时间 CSDN等等老牌网站被陆续攻陷，我一查，能找到自己的“万用密码”，不由得冒了一身冷汗。于是开始摸索真正安全又省事的密码管理方案。该方案必须满足如下要求：

• 安全，重中之重。我认为开源并且拥有一定人气的软件最安全。
• 多设备之间同步，包括电脑和移动设备。
  
• 密码管理与同步分离。这样做的好处是可以自由安排同步手段实现多方备份避免单点失败。密码管理与同步的零关联也能更进一步保证安全。
• 必须多平台。虽然现阶段用Windows比较多，不排除以后会转向Mac或者Linux，平台无关性至关重要。
  

回想起来，自从启用这套方案全面接管我的密码以后，需要记忆的密码从以前的上百个急剧减少到现在的不到5个，而且再也没有忘记密码的烦恼。每条密码都按照不同的要求设置成最长最复杂，万一泄漏一两条也不会影响别的账户。摸索出来又自己慢慢测试了几个月，感觉确实比较成熟了。不敢独享，写出来给坛友参考。

概述
该套方案的核心是KeePass。KeePass是一个运行在Windows操作系统上的轻量级、开源密码管理软件。

• 轻量级：启动、运行速度快；
• 开源：安全性有保障，而且容易顾及多平台。

总体思想是在个人电脑上建立一个KeePass数据库（KDBX文件格式），然后通过云端工具同步到工作电脑、手机、平板等其它设备中。
注：本文只涉及运行Windows操作系统的电脑和Android操作系统的移动设备。KeePass由于开源，各种主流平台上都有非官方移植，请谨慎选用。

注2：
这套方案可以让你：

• 不再忘记用户名和密码。
• 不再需要记忆大量密码。

这套方案不可以让你：

• 避免密码泄漏。
• 极大地提高账户安全。
  

实施
所需软件一览：

• PC端：KeePass、云端目录同步软件。我选用的是SugarSync（推荐链接）和SkyDrive，也可以用任何别的服务。
• Android端：KeePassDroid和FolderSync（其中FolderSync是付费软件。另外我选用KeePassDroid的重要原因是它只要求读写存储的权限，不要求网络权限。这里提醒一下，要是某个密码管理软件要求网络访问权限，出于安全考量应该尽量避免使用）

PC端：
安装KeePass和云同步软件。使用KeePass在一个空目录中建立.KDBX文件，并且将该目录备份到云端。




使用上，可以借助密码生成功能制作高强度密码，以及利用各种快捷键以及“自动打字（Auto-Type）”功能。KeePass的具体使用方式这里不再展开。




Android端
安装好上述两款软件后，FolderSync需要事先与云端服务建立连接。FolderSync的具体使用方式这里也不展开。

FolderSync也支持多种云端服务。


然后需要在设备的文件系统中建立一个目录，使用FolderSync将该目录与云端目录同步。

同步完成后，使用KeePassDroid打开.KDBX文件，搜索需要的账户。

然后登录的时候使用通知栏下拉菜单可以很方便地复制帐号密码。



总结和不足
这套解决方案的重要特点是密码管理与同步完全分离：KeePass和KeePassDroid都只访问本地文件，而文件的同步由第三方服务提供。这样能确保最高的安全性。这也是为什么我只关注拥有文件系统的Android设备——iOS上有的密码管理软件集成了DropBox同步功能，这点让我非常不安。


不足：

• 实施过程复杂痛苦且漫长。我个人断断续续花了差不多2个月的时间才渐渐把各种账户登录资料转移到KeePass，这一过程甚至持续到现在还未彻底完成。
  
• 密码填充功能依靠剪切板。无法使用剪切板的场合，该方案不适用。比如Windows登录密码、Windows下QQ登录窗口，Flipboard的FaceBook登录页面等等。但总体而言这种情况比较少见，可以酌情给需要手动输入的账户设置稍微简短的密码。
• 难以在没有安装同步KeePass的设备上登录账户。比方说如果经常要去网吧登录QQ，那么还是自己记忆QQ密码算了。

最后说一句，本文只是介绍了密码管理方案的大致情况，并未具体介绍各种软件使用方法。如有问题可以留言，我尽量回答。

[ 本帖最后由 Kuzuryuusen 于 2013-5-13 19:53 编辑 ]

看你这么多图估计都缩光了 搞个1password之类的就完事了

posted by wap, platform: SonyEricsson (Xperia Play)

研究研究

lifehacker上介绍过，现在获取密码的主要途径是暴力破解，所以生成没有规律的杂乱密码没有什么意义。还不如自己想一个能记住的长密码既方便又可靠。

posted by wap, platform: Galaxy Nexus

用lastpass
不过就算密码再厉害，中了木马还是无解的

posted by wap

引用:

原帖由 @offtrack  于 2013-5-12 08:14 发表
lifehacker上介绍过，现在获取密码的主要途径是暴力破解，所以生成没有规律的杂乱密码没有什么意义。还不如自己想一个能记住的长密码既方便又可靠。

暴力破解是从有规律的常用字串开始，所以无规律杂乱密码可以增加暴力破解难度。
另外使用单一长密码会面临一破全破的风险。

posted by wap, platform: iPhone

我用1password

posted by wap

引用:

原帖由 @yiwenzi  于 2013-5-12 08:21 发表
posted by wap, platform: Galaxy Nexus

用lastpass
不过就算密码再厉害，中了木马还是无解的

KeePass可以防范一般的Keylogger类型木马。
主密码防范方式是使用Secure Desktop，其它密码的防范方式是Two-Channel Auto-Type Obfuscation。

posted by wap, platform: iOS

1password路过

用KeePassX，幫頂了，這貼應該加個精華。

posted by wap, platform: iPhone

用孙鸭子密码生成器，用的时候即时生成

posted by wap, platform: iPad

Dls顶楼上

posted by wap, platform: iPad

只记两个密码，支付宝再用另外两组，完事了。

常用的基本上都绑定自己的手机号码，这样被盗也也容易修改。

好文，多谢分享！密码管理确实是个问题。