目录

• 前言
• 概述
• 实施
  • 所需软件一览
    
  • PC端
  • Android端
• 总结和不足

前言
今天上来看到版主的提醒帖，马上响应，修改了自己的密码。我这个ID的旧密码是这样的：8k`+ef<[8mt&&f******，新密码是啥说实话我自己都不知道。

其它各种工作中、生活中需要的密码，以前为了省事都设成一样的，有时候为了符合不同的密码规范又要进行一定的修改，容易忘记不说，安全性也不好。前段时间 CSDN等等老牌网站被陆续攻陷，我一查，能找到自己的“万用密码”，不由得冒了一身冷汗。于是开始摸索真正安全又省事的密码管理方案。该方案必须满足如下要求：

• 安全，重中之重。我认为开源并且拥有一定人气的软件最安全。
• 多设备之间同步，包括电脑和移动设备。
  
• 密码管理与同步分离。这样做的好处是可以自由安排同步手段实现多方备份避免单点失败。密码管理与同步的零关联也能更进一步保证安全。
• 必须多平台。虽然现阶段用Windows比较多，不排除以后会转向Mac或者Linux，平台无关性至关重要。
  

回想起来，自从启用这套方案全面接管我的密码以后，需要记忆的密码从以前的上百个急剧减少到现在的不到5个，而且再也没有忘记密码的烦恼。每条密码都按照不同的要求设置成最长最复杂，万一泄漏一两条也不会影响别的账户。摸索出来又自己慢慢测试了几个月，感觉确实比较成熟了。不敢独享，写出来给坛友参考。

概述
该套方案的核心是KeePass。KeePass是一个运行在Windows操作系统上的轻量级、开源密码管理软件。

• 轻量级：启动、运行速度快；
• 开源：安全性有保障，而且容易顾及多平台。

总体思想是在个人电脑上建立一个KeePass数据库（KDBX文件格式），然后通过云端工具同步到工作电脑、手机、平板等其它设备中。
注：本文只涉及运行Windows操作系统的电脑和Android操作系统的移动设备。KeePass由于开源，各种主流平台上都有非官方移植，请谨慎选用。

注2：
这套方案可以让你：

• 不再忘记用户名和密码。
• 不再需要记忆大量密码。

这套方案不可以让你：

• 避免密码泄漏。
• 极大地提高账户安全。
  

实施
所需软件一览：

• PC端：KeePass、云端目录同步软件。我选用的是SugarSync（推荐链接）和SkyDrive，也可以用任何别的服务。
• Android端：KeePassDroid和FolderSync（其中FolderSync是付费软件。另外我选用KeePassDroid的重要原因是它只要求读写存储的权限，不要求网络权限。这里提醒一下，要是某个密码管理软件要求网络访问权限，出于安全考量应该尽量避免使用）

PC端：
安装KeePass和云同步软件。使用KeePass在一个空目录中建立.KDBX文件，并且将该目录备份到云端。




使用上，可以借助密码生成功能制作高强度密码，以及利用各种快捷键以及“自动打字（Auto-Type）”功能。KeePass的具体使用方式这里不再展开。




Android端
安装好上述两款软件后，FolderSync需要事先与云端服务建立连接。FolderSync的具体使用方式这里也不展开。

FolderSync也支持多种云端服务。


然后需要在设备的文件系统中建立一个目录，使用FolderSync将该目录与云端目录同步。

同步完成后，使用KeePassDroid打开.KDBX文件，搜索需要的账户。

然后登录的时候使用通知栏下拉菜单可以很方便地复制帐号密码。



总结和不足
这套解决方案的重要特点是密码管理与同步完全分离：KeePass和KeePassDroid都只访问本地文件，而文件的同步由第三方服务提供。这样能确保最高的安全性。这也是为什么我只关注拥有文件系统的Android设备——iOS上有的密码管理软件集成了DropBox同步功能，这点让我非常不安。


不足：

• 实施过程复杂痛苦且漫长。我个人断断续续花了差不多2个月的时间才渐渐把各种账户登录资料转移到KeePass，这一过程甚至持续到现在还未彻底完成。
  
• 密码填充功能依靠剪切板。无法使用剪切板的场合，该方案不适用。比如Windows登录密码、Windows下QQ登录窗口，Flipboard的FaceBook登录页面等等。但总体而言这种情况比较少见，可以酌情给需要手动输入的账户设置稍微简短的密码。
• 难以在没有安装同步KeePass的设备上登录账户。比方说如果经常要去网吧登录QQ，那么还是自己记忆QQ密码算了。

最后说一句，本文只是介绍了密码管理方案的大致情况，并未具体介绍各种软件使用方法。如有问题可以留言，我尽量回答。

[ 本帖最后由 Kuzuryuusen 于 2013-5-13 19:53 编辑 ]

posted by wap

引用:

原帖由 @offtrack  于 2013-5-12 08:14 发表
lifehacker上介绍过，现在获取密码的主要途径是暴力破解，所以生成没有规律的杂乱密码没有什么意义。还不如自己想一个能记住的长密码既方便又可靠。

暴力破解是从有规律的常用字串开始，所以无规律杂乱密码可以增加暴力破解难度。
另外使用单一长密码会面临一破全破的风险。

posted by wap

引用:

原帖由 @yiwenzi  于 2013-5-12 08:21 发表
posted by wap, platform: Galaxy Nexus

用lastpass
不过就算密码再厉害，中了木马还是无解的

KeePass可以防范一般的Keylogger类型木马。
主密码防范方式是使用Secure Desktop，其它密码的防范方式是Two-Channel Auto-Type Obfuscation。

与其他密码管理器相比，KeePass有无可替代的优点：

• 开源。开源可以确保该软件没有任何后门，重要性不言而喻。其次是闭源商业软件，毕竟拿来卖钱的不能乱来。但是闭源免费软件则要万分当心。
• 因为其开源，不缺多平台的优秀移植，KDBX无视平台。比如Mac用户可以选用KeePassX，一样免费开源。

posted by wap

引用:

原帖由 @phoenie  于 2013-5-12 11:01 发表
看了顶楼最后的不足，我都哭了，lz太不容易了。。。

我认为密码管理软件都是扯。想也不用想就能输入而且每个网站都不一样的高强度密码才是王道。我是这么干的：个人字根+网站名的某种变体（固定的简单算法，比如倒 ...

折腾完以后，现在不知道密码的状态实在太舒服了:D
个人字根+变种的做法我也试过，但是随着账户越来越多，再加上各账户的密码强度要求不一样，记忆起来也越来越困难。
比如我公司的内部系统有非常严格的密码政策：8位以上，必须包含大小写数字特殊字符，必须不包括自己的名字和邮箱，必须3个月换一次，每次换完的密码必须与前三次有50%以上的不同……以前光记这一条密码都够头疼了，现在完全不用管，反正我自己都不知道，随便改

posted by wap

引用:

原帖由 @richiter  于 2013-5-12 11:54 发表
posted by wap, platform: Android

谁会去暴力破解普通人的密码，除非吃错药了，密码被破不是中马就是网站密码数据没加密直接泄露，这么整有毛用。

别理解错了，这套方案的目的只是让用户从此不用记忆密码。
既然都不用记忆密码了，那就有多复杂弄多复杂总没坏处咯。复杂的密码只是结果，不是目的。

posted by wap

引用:

原帖由 @nokia3315  于 2013-5-13 12:32 发表
看了一下。没明白。用的时候即时生成？
比如我注册一个新邮箱，用生成的密码？我要记住这个新密码，还是主码+辨识码？

应该是你要记住主密码和每个网站的辨识码。比方说你的主密码是1234，TG论坛的辨识码是TGFC，那么就可以生成一个复杂的密码。下次需要登录的时候用1234和TGFC再生成一遍就可以了。

posted by wap

引用:

原帖由 @nokia3315  于 2013-5-13 14:02 发表
哦，如果这样还算方便。

可能还得记忆密码长度和构成……我就见过有的网站要求密码至少8位，有的又最多6位，还有的不允许特殊符号，甚至有更奇葩的不允许大写……

posted by wap

引用:

原帖由 @sleepd  于 2013-5-13 13:09 发表
posted by wap, platform: iPhone

我想知道云服务的密码怎么办

出于便利考虑，有几个密码不适合完全托管，最好记住，其中就包括云服务密码。其它记住的密码包括Windows登录密码，网银密码（我的银行手机App不允许粘贴），储蓄卡密码（用ATM取钱）。

posted by wap

引用:

原帖由 @fatehe  于 2013-5-13 20:56 发表
posted by wap, platform: iOS

没用的，中国规定论坛密码都是明文，方便国家查询。

请阅读注2。

posted by wap

引用:

原帖由 @爱骑车的胖子  于 2014-4-10 20:29 发表
其实密码很容易做的

比如说用一句短语或者词  Titanfall
加上数字 112233
把短语和数字按照一定规律间隔插进去。。。。。
变成 Titan112fall233
然后配上SHIFT 在里面控制大小写和上档 你这个密码就很难直接破解了
至于记录这个密码 你可以做成 短语+数字+间隔规律+SHIFT位置 四部分来记录

当然密码长度很重要 稍微长一点就很难搞定了

还有就是自己要有强弱密码的意识 比如说银行的六位数字密码 我是从来不记录在本子上面的
至于论坛之类的 用些简单的密码也无所谓的

我曾经也是这么处理的，但是终究会遇到极限。比如我现在有超过300个账户密码，你感受一下这么折腾能记忆多少个。

再碰上一些奇葩网站要求必须有特殊字符，必须大小写，必须数字字母，必须8位以上；或者不能有特殊字符，不能大小写，不能有数字或字母，不能超过6位等等，记忆难度无疑会倍增。

自从弄上这套系统以后，完全解放了，再也不用挖空心思想密码，再也不会想不起密码。但是一开始确实麻烦，我给身边的朋友推荐，没一个愿意这么搞，宁可忘密码。这就是个人选择了，我只是分享经验:D