标题: [其他] 【原创】图文并茂，我的终极差一点全方位密码解决方案 [打印本页]

---

作者: Kuzuryuusen    时间: 2013-5-12 07:45     标题: 【原创】图文并茂，我的终极差一点全方位密码解决方案

目录

• 前言
• 概述
• 实施
  • 所需软件一览
    
  • PC端
  • Android端
• 总结和不足

前言
今天上来看到版主的提醒帖，马上响应，修改了自己的密码。我这个ID的旧密码是这样的：8k`+ef<[8mt&&f******，新密码是啥说实话我自己都不知道。

其它各种工作中、生活中需要的密码，以前为了省事都设成一样的，有时候为了符合不同的密码规范又要进行一定的修改，容易忘记不说，安全性也不好。前段时间 CSDN等等老牌网站被陆续攻陷，我一查，能找到自己的“万用密码”，不由得冒了一身冷汗。于是开始摸索真正安全又省事的密码管理方案。该方案必须满足如下要求：

• 安全，重中之重。我认为开源并且拥有一定人气的软件最安全。
• 多设备之间同步，包括电脑和移动设备。
  
• 密码管理与同步分离。这样做的好处是可以自由安排同步手段实现多方备份避免单点失败。密码管理与同步的零关联也能更进一步保证安全。
• 必须多平台。虽然现阶段用Windows比较多，不排除以后会转向Mac或者Linux，平台无关性至关重要。
  

回想起来，自从启用这套方案全面接管我的密码以后，需要记忆的密码从以前的上百个急剧减少到现在的不到5个，而且再也没有忘记密码的烦恼。每条密码都按照不同的要求设置成最长最复杂，万一泄漏一两条也不会影响别的账户。摸索出来又自己慢慢测试了几个月，感觉确实比较成熟了。不敢独享，写出来给坛友参考。

概述
该套方案的核心是KeePass。KeePass是一个运行在Windows操作系统上的轻量级、开源密码管理软件。

• 轻量级：启动、运行速度快；
• 开源：安全性有保障，而且容易顾及多平台。

总体思想是在个人电脑上建立一个KeePass数据库（KDBX文件格式），然后通过云端工具同步到工作电脑、手机、平板等其它设备中。
注：本文只涉及运行Windows操作系统的电脑和Android操作系统的移动设备。KeePass由于开源，各种主流平台上都有非官方移植，请谨慎选用。

注2：
这套方案可以让你：

• 不再忘记用户名和密码。
• 不再需要记忆大量密码。

这套方案不可以让你：

• 避免密码泄漏。
• 极大地提高账户安全。
  

实施
所需软件一览：

• PC端：KeePass、云端目录同步软件。我选用的是SugarSync（推荐链接）和SkyDrive，也可以用任何别的服务。
• Android端：KeePassDroid和FolderSync（其中FolderSync是付费软件。另外我选用KeePassDroid的重要原因是它只要求读写存储的权限，不要求网络权限。这里提醒一下，要是某个密码管理软件要求网络访问权限，出于安全考量应该尽量避免使用）

PC端：
安装KeePass和云同步软件。使用KeePass在一个空目录中建立.KDBX文件，并且将该目录备份到云端。
[attach]533336[/attach]
[attach]533335[/attach]


使用上，可以借助密码生成功能制作高强度密码，以及利用各种快捷键以及“自动打字（Auto-Type）”功能。KeePass的具体使用方式这里不再展开。
[attach]533337[/attach]
[attach]533338[/attach]


Android端
安装好上述两款软件后，FolderSync需要事先与云端服务建立连接。FolderSync的具体使用方式这里也不展开。
[attach]533340[/attach]
FolderSync也支持多种云端服务。

[attach]533341[/attach]
然后需要在设备的文件系统中建立一个目录，使用FolderSync将该目录与云端目录同步。
[attach]533339[/attach]
同步完成后，使用KeePassDroid打开.KDBX文件，搜索需要的账户。
[attach]533342[/attach]
然后登录的时候使用通知栏下拉菜单可以很方便地复制帐号密码。
[attach]533343[/attach]


总结和不足
这套解决方案的重要特点是密码管理与同步完全分离：KeePass和KeePassDroid都只访问本地文件，而文件的同步由第三方服务提供。这样能确保最高的安全性。这也是为什么我只关注拥有文件系统的Android设备——iOS上有的密码管理软件集成了DropBox同步功能，这点让我非常不安。


不足：

• 实施过程复杂痛苦且漫长。我个人断断续续花了差不多2个月的时间才渐渐把各种账户登录资料转移到KeePass，这一过程甚至持续到现在还未彻底完成。
  
• 密码填充功能依靠剪切板。无法使用剪切板的场合，该方案不适用。比如Windows登录密码、Windows下QQ登录窗口，Flipboard的FaceBook登录页面等等。但总体而言这种情况比较少见，可以酌情给需要手动输入的账户设置稍微简短的密码。
• 难以在没有安装同步KeePass的设备上登录账户。比方说如果经常要去网吧登录QQ，那么还是自己记忆QQ密码算了。

最后说一句，本文只是介绍了密码管理方案的大致情况，并未具体介绍各种软件使用方法。如有问题可以留言，我尽量回答。

[ 本帖最后由 Kuzuryuusen 于 2013-5-13 19:53 编辑 ]

---

作者: yeyehas    时间: 2013-5-12 07:50

看你这么多图估计都缩光了 搞个1password之类的就完事了

---

作者: 七粒尘    时间: 2013-5-12 08:04

posted by wap, platform: SonyEricsson (Xperia Play)

研究研究

---

作者: offtrack    时间: 2013-5-12 08:14

lifehacker上介绍过，现在获取密码的主要途径是暴力破解，所以生成没有规律的杂乱密码没有什么意义。还不如自己想一个能记住的长密码既方便又可靠。

---

作者: yiwenzi    时间: 2013-5-12 08:21

posted by wap, platform: Galaxy Nexus

用lastpass
不过就算密码再厉害，中了木马还是无解的

---

作者: Kuzuryuusen    时间: 2013-5-12 08:28

posted by wap

引用:

原帖由 @offtrack  于 2013-5-12 08:14 发表
lifehacker上介绍过，现在获取密码的主要途径是暴力破解，所以生成没有规律的杂乱密码没有什么意义。还不如自己想一个能记住的长密码既方便又可靠。

暴力破解是从有规律的常用字串开始，所以无规律杂乱密码可以增加暴力破解难度。
另外使用单一长密码会面临一破全破的风险。

---

作者: Acme    时间: 2013-5-12 08:29

posted by wap, platform: iPhone

我用1password

---

作者: Kuzuryuusen    时间: 2013-5-12 08:33

posted by wap

引用:

原帖由 @yiwenzi  于 2013-5-12 08:21 发表
posted by wap, platform: Galaxy Nexus

用lastpass
不过就算密码再厉害，中了木马还是无解的

KeePass可以防范一般的Keylogger类型木马。
主密码防范方式是使用Secure Desktop，其它密码的防范方式是Two-Channel Auto-Type Obfuscation。

---

作者: 田鸡奸他大叔    时间: 2013-5-12 08:41

posted by wap, platform: iOS

1password路过

---

作者: Jonsoncao    时间: 2013-5-12 08:44

用KeePassX，幫頂了，這貼應該加個精華。

---

作者: eva3d    时间: 2013-5-12 08:48

posted by wap, platform: iPhone

用孙鸭子密码生成器，用的时候即时生成

---

作者: 去日留痕    时间: 2013-5-12 08:49

posted by wap, platform: iPad

Dls顶楼上

---

作者: 死肥仔    时间: 2013-5-12 08:59

posted by wap, platform: iPad

只记两个密码，支付宝再用另外两组，完事了。

---

作者: 伪    时间: 2013-5-12 09:04

常用的基本上都绑定自己的手机号码，这样被盗也也容易修改。

---

作者: 清风飞    时间: 2013-5-12 09:09

好文，多谢分享！密码管理确实是个问题。

---

作者: Kuzuryuusen    时间: 2013-5-12 09:10

与其他密码管理器相比，KeePass有无可替代的优点：

• 开源。开源可以确保该软件没有任何后门，重要性不言而喻。其次是闭源商业软件，毕竟拿来卖钱的不能乱来。但是闭源免费软件则要万分当心。
• 因为其开源，不缺多平台的优秀移植，KDBX无视平台。比如Mac用户可以选用KeePassX，一样免费开源。

---

作者: only1onely    时间: 2013-5-12 09:39

posted by wap, platform: GALAXY NOTE II

mark

---

作者: 阿道    时间: 2013-5-12 09:39

posted by wap, platform: iPhone

我前个礼拜花钱入了个mSecure，iPhone iPad同步到Dropbox，OK了。就是觉得现在很多密码软件预设了很多模版纯属画蛇添足。

---

作者: zhangf    时间: 2013-5-12 09:47

posted by wap, platform: Android

马克思

---

作者: whenkidspunk    时间: 2013-5-12 09:55

好高端的样子啊

---

作者: westlost    时间: 2013-5-12 10:04

tgfc密码根本不是暴力破解

---

作者: vermilion    时间: 2013-5-12 10:08

tg是数据库泄漏来着？
总之现在不能多网站共用密码，不然一破全破

---

作者: iorilu    时间: 2013-5-12 10:16

以前也用很多软件包括keypass， 现在经过整理也就记几组， 不需要软件了

第一组
最重要个人邮箱， gmail， 经常可用来找回密码

第二组
各种金融账号如 ， taobao， 支付宝

第三组
常用网络服务，论坛， 如tg，weibo等

第四组
工作用电脑，email

第五组
无关紧要的网络服务，论坛等

其实要说软件， 本来用黑莓自带的很好， 现在其他手机上还真没有类似的

---

作者: 夏多南纳特    时间: 2013-5-12 10:18

真心是愿意折腾的人才搞，怕麻烦的如我看看就好了

---

作者: dark272710    时间: 2013-5-12 10:44

还是有点麻烦啊

绑定

---

作者: phoenie    时间: 2013-5-12 11:01

看了顶楼最后的不足，我都哭了，lz太不容易了。。。

我认为密码管理软件都是扯。想也不用想就能输入而且每个网站都不一样的高强度密码才是王道。我是这么干的：个人字根+网站名的某种变体（固定的简单算法，比如倒写）。因为只有你自己和你正在登录的网站是固定不变的，可以靠它们来记忆。欢迎拍砖。

---

作者: Kuzuryuusen    时间: 2013-5-12 11:20

posted by wap

引用:

原帖由 @phoenie  于 2013-5-12 11:01 发表
看了顶楼最后的不足，我都哭了，lz太不容易了。。。

我认为密码管理软件都是扯。想也不用想就能输入而且每个网站都不一样的高强度密码才是王道。我是这么干的：个人字根+网站名的某种变体（固定的简单算法，比如倒 ...

折腾完以后，现在不知道密码的状态实在太舒服了:D
个人字根+变种的做法我也试过，但是随着账户越来越多，再加上各账户的密码强度要求不一样，记忆起来也越来越困难。
比如我公司的内部系统有非常严格的密码政策：8位以上，必须包含大小写数字特殊字符，必须不包括自己的名字和邮箱，必须3个月换一次，每次换完的密码必须与前三次有50%以上的不同……以前光记这一条密码都够头疼了，现在完全不用管，反正我自己都不知道，随便改

---

作者: EraserKing    时间: 2013-5-12 11:25

算了 还是LastPass吧。
手机上可以用移动网页端，如果不想花钱的话。

---

作者: richiter    时间: 2013-5-12 11:54

posted by wap, platform: Android

谁会去暴力破解普通人的密码，除非吃错药了，密码被破不是中马就是网站密码数据没加密直接泄露，这么整有毛用。

---

作者: refo    时间: 2013-5-12 12:10

LZ这个可以称之为“传统的”密码保护的终极方案。

我个人也很推荐。

另外说一下，目前对于盗取密码黑客们，最大的挑战还是硬件设备，通过另外的硬件设备，确保黑客即使拿到了用户的密码，也无法获得其他途径的随机密码。

所以对安全要求比较高的网银、网购、网付，很多都采用了这种方式。以下是常见的几种

1. 手机短信随机密码。 这个是我个人最推荐的

2. RSA公司的随机密码令牌卡

3. U盾

以上方式，1最好，2也好，但是这个令牌要钱，3我个人不太喜欢。但这个不由人，是银行决定的。

另外现在支付宝搞的什么快捷支付，我是不知道如果哪天黑客开始集中研究IOS/安卓手机病毒、远程控制，会不会爆出大事故。

毕竟把密码全部集中在一个设备上，是非常不安全的

不过IOS和安卓有一点好，默认用户没有ROOT权限的话，其实对病毒、后门也是个很大的技术壁垒。

在这里，对手机安全敏感的同学，就不建议去折腾越狱、ROOT了

---

作者: refo    时间: 2013-5-12 12:13

引用:

原帖由 richiter 于 2013-5-12 11:54 发表
posted by wap, platform: Android

谁会去暴力破解普通人的密码，除非吃错药了，密码被破不是中马就是网站密码数据没加密直接泄露，这么整有毛用。

如果从便利的角度来说。

这么整的好处是，公司内部系统那种严格的密码制度下，不用再每次自己想复杂密码了。

另外，在现有技术、方法下，安全和便利总归是一对矛盾

就像我刚才说的，现在手机密码的出现，对网银的安全性是一个很大的提高，但这个是引入了其他设备的结果。

---

作者: Kuzuryuusen    时间: 2013-5-12 12:15

posted by wap

引用:

原帖由 @richiter  于 2013-5-12 11:54 发表
posted by wap, platform: Android

谁会去暴力破解普通人的密码，除非吃错药了，密码被破不是中马就是网站密码数据没加密直接泄露，这么整有毛用。

别理解错了，这套方案的目的只是让用户从此不用记忆密码。
既然都不用记忆密码了，那就有多复杂弄多复杂总没坏处咯。复杂的密码只是结果，不是目的。

---

作者: g1PY91    时间: 2013-5-13 08:47

windows下可以使用自动填写功能自动登录QQ，不需要手动QQ密码。这是我从roboform转到keepass发现的，然后就一直用keepass。

---

作者: eva3d    时间: 2013-5-13 08:56

posted by wap, platform: iPhone

引用:

原帖由 @phoenie  于 2013-5-12 11:01 发表
看了顶楼最后的不足，我都哭了，lz太不容易了。。。

我认为密码管理软件都是扯。想也不用想就能输入而且每个网站都不一样的高强度密码才是王道。我是这么干的：个人字根+网站名的某种变体（固定的简单算法，比如倒 ...

欢迎使用孙鸭子密码生成器， 一个主码+各种对应匹配码（例如，sina.com）， 根据你设定的长度，难度（字符种类），生成密码，据作者描述，加密过程又撒盐，又倒装，MD5, SHA1什么的混合了一大锅，不明觉厉。

一个html + 一个JS（好像也有JS打包进html的一个文件版本），随便放在什么地方都可以，无论在线离线


http://www.v2ex.com/t/24012    鸭子码的作者说明

http://mop.sunyanzi.cn/password/    鸭子码的地址

反正我现在的所有网站密码都用这玩意来控制了，现用现生成

本帖最后由 eva3d 于 2013-5-13 09:08 通过手机版编辑

---

作者: yuiileo    时间: 2013-5-13 09:08

posted by wap, platform: GALAXY S III

引用:

原帖由 @refo  于 2013-5-12 12:10 发表
LZ这个可以称之为“传统的”密码保护的终极方案。

我个人也很推荐。

另外说一下，目前对于盗取密码黑客们，最大的挑战还是硬件设备，通过另外的硬件设备，确保黑客即使拿到了用户的密码，也无法获得其他途径的 ...

的确 一个设备上再怎么折腾也不如直接多个设备多管齐下

中行手机验证加密保 OK了

---

作者: 富士山    时间: 2013-5-13 10:28

引用:

原帖由 Kuzuryuusen 于 2013-5-12 11:20 发表
posted by wap

折腾完以后，现在不知道密码的状态实在太舒服了:D
个人字根+变种的做法我也试过，但是随着账户越来越多，再加上各账户的密码强度要求不一样，记忆起来也越来越困难。
比如我公司的内部系统有非常 ...

这个本公司也有类似规定，但是简单的用一种算法就解决了，比如倒写，或者什么有规律的做法，这里就不详述了

---

作者: ppst    时间: 2013-5-13 10:45

要用软件记，这个太麻烦了。
我密码的原则是3个，独立，易记，复杂。
比如一般常用论坛的8位密码，我一般就是论坛前两位之母+4位常用数字（如TG用1024，公司相关的用内线号码）+一大写字母及一字符（键盘上相邻的）
这样每个论坛的密码都是独立，但记起来却很方便，不怕泄漏被盗不会影响其他密码，暴力破解也不容易。
当然缺点也有，论坛马甲号也用同一密码。。。

[ 本帖最后由 ppst 于 2013-5-13 10:48 编辑 ]

---

作者: xbox720    时间: 2013-5-13 10:54

只用roboform

---

作者: nokia3315    时间: 2013-5-13 12:32

引用:

原帖由 eva3d 于 2013-5-12 08:48 发表
posted by wap, platform: iPhone

用孙鸭子密码生成器，用的时候即时生成

看了一下。没明白。用的时候即时生成？
比如我注册一个新邮箱，用生成的密码？我要记住这个新密码，还是主码+辨识码？

---

作者: bigbadpasco    时间: 2013-5-13 12:33

看了几行，已经头晕了。。。。

这是极客玩的，小白伤不起

---

作者: wtq    时间: 2013-5-13 12:36

posted by wap, platform: GALAXY S III

95%以上的网站都无所谓，丢就丢，所以就是个统一密码，重要的也就三两个，记一下，反正自己记的不超过5个。

---

作者: sleepd    时间: 2013-5-13 13:09

posted by wap, platform: iPhone

我想知道云服务的密码怎么办

---

作者: Kuzuryuusen    时间: 2013-5-13 13:14

posted by wap

引用:

原帖由 @nokia3315  于 2013-5-13 12:32 发表
看了一下。没明白。用的时候即时生成？
比如我注册一个新邮箱，用生成的密码？我要记住这个新密码，还是主码+辨识码？

应该是你要记住主密码和每个网站的辨识码。比方说你的主密码是1234，TG论坛的辨识码是TGFC，那么就可以生成一个复杂的密码。下次需要登录的时候用1234和TGFC再生成一遍就可以了。

---

作者: nokia3315    时间: 2013-5-13 14:02

引用:

原帖由 Kuzuryuusen 于 2013-5-13 13:14 发表
posted by wap

应该是你要记住主密码和每个网站的辨识码。比方说你的主密码是1234，TG论坛的辨识码是TGFC，那么就可以生成一个复杂的密码。下次需要登录的时候用1234和TGFC再生成一遍就可以了。

哦，如果这样还算方便。

---

作者: Kuzuryuusen    时间: 2013-5-13 18:13

posted by wap

引用:

原帖由 @nokia3315  于 2013-5-13 14:02 发表
哦，如果这样还算方便。

可能还得记忆密码长度和构成……我就见过有的网站要求密码至少8位，有的又最多6位，还有的不允许特殊符号，甚至有更奇葩的不允许大写……

---

作者: Kuzuryuusen    时间: 2013-5-13 18:18

posted by wap

引用:

原帖由 @sleepd  于 2013-5-13 13:09 发表
posted by wap, platform: iPhone

我想知道云服务的密码怎么办

出于便利考虑，有几个密码不适合完全托管，最好记住，其中就包括云服务密码。其它记住的密码包括Windows登录密码，网银密码（我的银行手机App不允许粘贴），储蓄卡密码（用ATM取钱）。

---

作者: 撸一管    时间: 2013-5-13 18:19

posted by wap, platform: iPhone

楼主是神！！

---

作者: 任黑    时间: 2013-5-13 19:22

随便乱打然后复制到txt

---

作者: vermilion    时间: 2013-5-13 20:01

网银密码可以保存到keepass里去的，免得经常忘记
不能粘贴，但是可以帮你记住

---

作者: fatehe    时间: 2013-5-13 20:56

posted by wap, platform: iOS

没用的，中国规定论坛密码都是明文，方便国家查询。

---

作者: Kuzuryuusen    时间: 2013-5-13 21:55

posted by wap

引用:

原帖由 @fatehe  于 2013-5-13 20:56 发表
posted by wap, platform: iOS

没用的，中国规定论坛密码都是明文，方便国家查询。

请阅读注2。

---

作者: zhiwu    时间: 2013-5-13 22:35

posted by wap, platform: UC

马克

---

作者: momo.    时间: 2014-4-10 04:57

posted by wap, platform: UC

马克

---

作者: Uranus    时间: 2014-4-10 11:20

posted by wap, platform: Android

用得着这么麻烦么？把密码交给这些软件还要同步，本身就增加了风险，就像上面几楼朋友说的，密码按照重要程度分级设置，用通用码+特征码来成密码，只要记几组就可以了，比如gametgfc2014，gamea9vg2010什么的，又好记密码强度又够。

---

作者: 睡睡平安    时间: 2014-4-10 17:18

先马克 再学习

---

作者: 爱骑车的胖子    时间: 2014-4-10 20:29

其实密码很容易做的

比如说用一句短语或者词  Titanfall
加上数字 112233
把短语和数字按照一定规律间隔插进去。。。。。
变成 Titan112fall233
然后配上SHIFT 在里面控制大小写和上档 你这个密码就很难直接破解了
至于记录这个密码 你可以做成 短语+数字+间隔规律+SHIFT位置 四部分来记录

当然密码长度很重要 稍微长一点就很难搞定了

还有就是自己要有强弱密码的意识 比如说银行的六位数字密码 我是从来不记录在本子上面的
至于论坛之类的 用些简单的密码也无所谓的

---

作者: 女武神    时间: 2014-4-11 15:04

posted by wap, platform: 华为

我用xpadder这个手柄转键盘软件来帮忙输入密码   这个软件可以一键键盘序列输入  

最主要这个是手柄转键盘软件  不会有木马会在这个配置文件里找密码

---

作者: Kuzuryuusen    时间: 2014-4-11 15:27

posted by wap

引用:

原帖由 @爱骑车的胖子  于 2014-4-10 20:29 发表
其实密码很容易做的

比如说用一句短语或者词  Titanfall
加上数字 112233
把短语和数字按照一定规律间隔插进去。。。。。
变成 Titan112fall233
然后配上SHIFT 在里面控制大小写和上档 你这个密码就很难直接破解了
至于记录这个密码 你可以做成 短语+数字+间隔规律+SHIFT位置 四部分来记录

当然密码长度很重要 稍微长一点就很难搞定了

还有就是自己要有强弱密码的意识 比如说银行的六位数字密码 我是从来不记录在本子上面的
至于论坛之类的 用些简单的密码也无所谓的

我曾经也是这么处理的，但是终究会遇到极限。比如我现在有超过300个账户密码，你感受一下这么折腾能记忆多少个。

再碰上一些奇葩网站要求必须有特殊字符，必须大小写，必须数字字母，必须8位以上；或者不能有特殊字符，不能大小写，不能有数字或字母，不能超过6位等等，记忆难度无疑会倍增。

自从弄上这套系统以后，完全解放了，再也不用挖空心思想密码，再也不会想不起密码。但是一开始确实麻烦，我给身边的朋友推荐，没一个愿意这么搞，宁可忘密码。这就是个人选择了，我只是分享经验:D

---

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)

Powered by Discuz! 6.0.0