密码管理器 vs 密码规则？如何选择

CatCode · 2021-01-07T03:20:46Z

可能这算是月经贴吧目前我使用的依然是密码规则（重要的、支持两步认证的网站都开启了两步认证），在考虑要不要使用密码管理器（依然不会关闭已开启的两步认证）。但有点儿犯难。密码规则：某个固定的口令+网站的名称，通过一种只有自己知道的、容易操作的变换方式得到密码密码管理器：例如 1password，keepass，bitwarden 等密码管理软件我使用密码规则的原因：重要的账号有两步认证把关（也导致可以很长时间不改密码），而且密码规则也是相对复杂的一种。不重要的网站就随便了。密码规则比较容易记住。长期使用了之后基本上不会忘记。（丢失风险小）（密码管理软件的主密码泄露或者数据库丢失损坏就很惨了）打算切换密码管理器的原因：更改密码方便：因为不需要考虑新密码和原有的密码规则。（包括某些时候需要用改一个临时密码，把账号给别人操作一下，如 steam 代购）可以用更高熵的密码，复杂密码也能“一键”输入，提高使用体验。大多数密码管理器还能记录一些别的信息，比如密保问题。但是还是有一些顾虑：担心主密码泄露担心密码数据库损坏担心密码管理器的服务商被土啬了，同步体验极差还有一些其他问题希望各位解答：密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面？硬盘加密（例如 Windows Bitlocker ）的恢复密钥要不要放到密码管理器里？如果密码管理器提供了两步验证码的生成功能（类似于 Google Authenticator\Authy 等)，应该使用它的还是使用一个第三方的（目前用的是开源的 Tofu ）？

This topic created in 1957 days ago, the information mentioned may be changed or developed.

<del>可能这算是月经贴吧</del>

目前我使用的依然是密码规则（重要的、支持两步认证的网站都开启了两步认证），在考虑要不要使用密码管理器（依然不会关闭已开启的两步认证）。但有点儿犯难。

密码规则：某个固定的口令+网站的名称，通过一种只有自己知道的、容易操作的变换方式得到密码密码管理器：例如 1password，keepass，bitwarden 等密码管理软件

我使用密码规则的原因：

重要的账号有两步认证把关（也导致可以很长时间不改密码），而且密码规则也是相对复杂的一种。不重要的网站就随便了。
密码规则比较容易记住。长期使用了之后基本上不会忘记。（丢失风险小）（密码管理软件的主密码泄露或者数据库丢失损坏就很惨了）

打算切换密码管理器的原因：

更改密码方便：因为不需要考虑新密码和原有的密码规则。（包括某些时候需要用改一个临时密码，把账号给别人操作一下，如 steam 代购）
可以用更高熵的密码，复杂密码也能“一键”输入，提高使用体验。
大多数密码管理器还能记录一些别的信息，比如密保问题。

但是还是有一些顾虑：

担心主密码泄露
担心密码数据库损坏
担心密码管理器的服务商被土啬了，同步体验极差

还有一些其他问题希望各位解答：

密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面？
硬盘加密（例如 Windows Bitlocker ）的恢复密钥要不要放到密码管理器里？
如果密码管理器提供了两步验证码的生成功能（类似于 Google Authenticator\Authy 等)，应该使用它的还是使用一个第三方的（目前用的是开源的 Tofu ）？

Supplement 1 · Jan 7, 2021

看了一下大家的回复感觉密码管理器更有“前途”
使用 bitwarden 之类的开源的工具自建的呼声也挺高但考虑了一下 vps 的成本还是有点儿高
可能我会更倾向于 bitwarden 官方的付费版吧

至于重要密码，在考虑要不要定期（用自己的打印机）打印一份纸质版放到屋里的某本书里面夹着。

密码

管理

规则

恢复密钥

46 replies • 2021-01-08 11:11:50 +08:00

XINHL

Jan 7, 2021

keepass 一次搞个 20 个 key 然后其中选一个，密码用 sha3-512(常用密码+key)生成做密码，放在 OneDrive，隔一段时间直接 rar+10%恢复数据压缩备份丢到百度网盘和 google 云盘，估计不会真的有人把你 20 个 key+128 位的密码暴力破解出来

Jirajine

Jan 7, 2021 via Android

自建+备份
你用规则，如果别人获得了你多个网站的明文密码，就可能导致泄露全部。

Overfill3641

Jan 7, 2021

你还要担心系统是否被监视了，毕竟 win 烂大街的软件都可以截屏，复制剪贴板 😂

yyfearth

Jan 7, 2021

用随机密码弊端是如果没办法用密码管理器你就没办法了
所以最重要的几个密码用复杂的规则自己可以记住的就可以了
其他密码交给密码管理器就好了

processzzp

Jan 7, 2021 via iPhone

都 2021 年了，快来用密码管理器啦😅

wolfan

Jan 7, 2021

所以，花密 https://flowerpassword.com/ 应该很好用吧。

wolfan

Jan 7, 2021

话说，两个密码走天下，其实也没感觉到啥问题啊。

重要的账户资产，现在都有多源提示（短信、邮件、通讯工具），所以一但有异常登录也能及时处理。毕竟再强的密码都能攻破，且重要的账户系统自身也会对用户密码进行二次处理，所以为什么还要自己弄一手呐。

lostberryzz

Jan 7, 2021

还是密码管理器吧，多备份

Takuron

Jan 7, 2021

两个都在用路过，主要是有些网站要求你强制多少天改一次密码就很烦，这种规则也会搞得很麻烦还是随机密码+管理器舒服。

规则也建议自己写个前端脚本来用，可以让规则更加多样并且方便计算。

essethon

Jan 7, 2021

我个人是无脑支持密码管理器，因为我有几百个密码。

密码规则「容易记住」这是个伪命题，除非你满足一系列苛刻的条件：你的账号很少、95% 的不常用网站密码乃至用户名都忘了你也不在意、各种账号相关的信息（注册时间、密保问题之类的）全忘记你也不在意、你的记忆非常稳定、你的密码规则非常明确易记同时还能满足不同网站的密码要求——有的网站要求必须有特殊符号，有的网站要求不能有特殊符号等等。（最后这一条我感觉直接就是自相矛盾的）

能满足这些，你可以继续用密码规则。

当然你对密码管理器的规则也有点道理，如果你实在顾虑可以结合使用。使用一个同步和自动填充体验可能一般的软件，比如 KeePass + Dropbox，记录 95% 不常用网站的用户名密码，以及一些账户恢复信息。平时这个 KeePass 密码库不用频繁打开。最常用的 5% 的大网站，用密码规则记在脑子里就好了。

（但私心觉得这样还不如直接用 1Password 之类的密码管理器，体验好太多，安全性其实没降低多少。

chroming

Jan 7, 2021 via iPhone

自己设计密码规则只能防撞库这种广泛的安全攻击，不容易防特意针对你的攻击，因为规则可能会被猜出来，另外如果你换了网站密码规则，也不能马上用新规则换所有网站密码，这样久而久之就会出现你不记得某个不常用网站是用哪套规则算的密码。

密码管理器的最大风险就是密码库文件，密码库不同步到开发商服务器+限制本地密码库访问权限能减少风险。

另外浏览器的记住密码就类似密码管理器了，密码都记录在本地文件里，chrome 似乎还是用系统密码加密这个密码库文件，安全性比一般密码管理软件弱。

两步验证记在密码管理器里的风险是在本人不知道的情况下密码库泄漏并且被解开时，重要网站就可以直接登陆了，在意这个风险就不要记在里面。

Crusader

Jan 7, 2021

我在用 enpass，密码数据是存在我 nas 本地的

cmdOptionKana

Jan 7, 2021

密码规则有些缺点：更换密码难，调整长度难。

proxychains

Jan 7, 2021

自建 bitwarden

Kirie

Jan 7, 2021

密码管理器用于次要帐号，密码规则用于主要帐号

MrOange

Jan 7, 2021

这是选择题但不一定是单选题，
比如重要性低的密码用密码管理器。
重要性高（支付相关）的密码用密码规则自己记住。
至于临时密码，可以考虑把密码规则的固定口令改成 1234567 或者生日，之后再改回原密码。
密保问题可以使用安全性高的邮箱，以邮件方式发送给自己，比如“百度账号密保，你最喜欢的明星，cxk”

arcadia

Jan 7, 2021

高重要密码我用的是 keepass + 坚果云的方案，电脑手机上都可以很方便的自动输入
不重要的账号会用规则，更不重要的用固定密码

icesof

Jan 7, 2021

优先就是，每个网站单独密码

我的选择：lastpass
*开启二步验证，密码本地解密，服务器上是加密的，保护好主密钥就好。
*免费版的功能完全够用，数据自动同步，多设备的福音。
*插件安装到 chrome 上，登陆省的各种工具来回切换。
*lastpass 数据中心改到欧洲去。欧洲有 GDPR，隐私更有保护

75er

Jan 7, 2021

1.老大哥在注视着你就别扑腾了乐呵的活他 100 岁就够了
2.看看自己浑身上下有多少钱有个鸡儿要加密的

580a388da131

Jan 7, 2021

规则
普通人用无序密码大部分情况都只是徒增烦恼

uncat

Jan 7, 2021

补充一个: https://www.passwordstore.org/

KISS.

goyhlol

Jan 7, 2021

担心主密码泄露：可以增加「密钥文件」或实体 key
担心密码数据库损坏：多点定期备份
担心密码被墙：自我同步，和墙关系不大，安全比体验重要

1.密保问题，两步验证的备用访问码等恢复密钥等都可以放进密码管理器里面
2.硬盘加密的要不要放：随意
3.没有听过

来自一位 keepassXC 的用户，之前写的小文章供参考~https://anoni.sh/keepassXC

mxT52CRuqR6o5

Jan 7, 2021

@wolfan 不是说之前某个公司在日志里明文存密码还是其他啥重要隐私来着吗
你最后落库的方案看上去很安全，但过程可能并不安全

charseer

Jan 7, 2021

keepass 还是好啊,不只能在浏览器里自动填充,在客户端软件里也能 auto-type 真是不一样的体验.

charseer

Jan 7, 2021

bitwarden 有个很不好的点就是离线无法修改, 这个用之前最好了解下,不然实在是不方便

Aria2Hank

Jan 7, 2021

自建 bitwarden_rs 有几个月了。
硬件用的是树莓派 zero w + 8g 内存卡（ 7*24 小时开机，5v1a 电源即可）
买了一年最便宜的.top 域名
每周日手动备份一下数据库
还是比较香的

bigPeanut

Jan 7, 2021

enpass+坚果云路过

willxiang

Jan 7, 2021

enpass+坚果云（免费版）路过 +1，四舍五入等于不要钱。

yolan

Jan 7, 2021

Keepass + 坚果 webdav + 脚本每天备份数据库到硬盘, 问题应该不大

azkaban

Jan 7, 2021

keepass+坚果云，n 端同步，去网吧上 sbeam 都能把密码 copy 下来

cjq8z

Jan 7, 2021 via Android

小孩才做选择题，密码管理器和密码规则本来就不冲突

inhd

Jan 7, 2021

看了楼上有几位朋友是 Enpass+坚果云，想问下在 iCloud 和坚果云之间，坚果云安全性如何？

imn1

Jan 7, 2021

如果你在大白天看到一个人，拿个手电筒对着一张白纸照的，那个就是我，🐶
我把一些不常用的简单密码，用“隐写笔”写到记事本上，那记事本上乱七八糟啥都写，用蓝光可见中间记下的一些数字，但也仅仅是提示，不会记下完整的数字密码，其他人看到是个“手机号”吧，差不多这个意思（规则我这里就不透露了）
这些密码通常是数字，没办法用规则，也不能记在软件……最头痛就是这类密码

不涉及手机号的，各种资源、信息站点的账密，32 位，一站一密，没法记，我扔进浏览器就算了，密码工具只做备份，不调用，没啥要紧的

涉及个人信息的，我有个程序“算”，每次用主密码+参数算出来，不记在密码工具，只备份这个程序

2FA/TOTP 之类用另一个工具，和存放密码的地方分开，放在一起那不叫 2FA，只是 1FA

恢复码是权限最高的，也要单独分开

除了前面说的放浏览器的那些，我现在基本脱离云端保存密码了，仅使用本地

Anarchy

Jan 7, 2021 via Android

大部分密码管理器，重要的依赖二步验证了

littlewing

Jan 7, 2021

重要的单独设置，其他所有的都一样

xiangyuecn

Jan 7, 2021

围观一下高级玩家的做法

xiangbohua

Jan 7, 2021

Apple 的 KeyChain 。非常好用

Chobits

Jan 7, 2021

只相信自己能掌握的，所以用 KeePass，同步用坚果云。14 位的主密码，AES-256 密钥，如果要再提升，就上 U 盘+密码文件。

以前用过 LassPass，还是不放心。

way2create

Jan 7, 2021

我 win10 商店装的 enpass 突然就用不了了存的也不是啥重要密码就没去深究了

flexbug

Jan 7, 2021 via Android

我用 bitwarden 官方，一年 10 刀，2fa 也都有

taogen

Jan 7, 2021 via Android

@xiangyuecn #36
不明觉厉

ashiamd

Jan 7, 2021

一直用的 keepass+服务器自搭 syncthing，实现手机-电脑之间的密码数据同步。

Lemeng

Jan 7, 2021

重要的自己保存，一般的交给 lastpass

PinLock

Jan 7, 2021

论坛账户：论坛邮箱，随机密码，LastPass 扩展保存； 
游戏账户：游戏邮箱，规则密码，Enpass 只记规则； 
金融账户：一个账户一个邮箱，规则主密码，规则支付密码，Enpass 只记主密码，支付密码大脑记； 


总的来说，非常重要的但是无规则用纸记，非常重要有规则的用大脑记，比较重要的有规则的用 Enpass 记规则，一般重要用 Enpass 记随机密码，无所谓只考虑便利的用 LastPass 记。

totoro625

Jan 8, 2021

@inhd 32# Enpass+坚果云走的是 webdav，主要是方便同步，icloud 的话除非都是 Apple 全家桶，不然 Win10 下使用体验很蛋疼的
Apple 的 KeyChain 我曾经碰到过 bug，所用密码都恢复不了，也没有本地备份文件，客服让我抹掉数据重新来过
LassPass 的同步服务器一度拉胯，同步体验极差，久而久之就不用了
自建 bitwarden_rs 主要需要注意的是服务器别折腾炸了
1password 基本上每年感恩节送 10 个月，剩下两个月冻结账户 /或者付费就好了，官方同步服务也很好用，就一直用下来了

同样做了账户分级：

个人 /小公司账户 /不常用的小号：随机密码，因为安全性无保障，做好信息泄露的心理准备
阿里巴巴 /腾讯 /Apple/Google/Microsoft/密码管理器主账户：超长规则密码，因为可能要频繁输入，有两步验证能保护
锁屏 /金融级别账户：6 位数字，用的多个前女友 /前基友生日组合规则，既能牢记生日，又能减少信息相关性

最后点名批评腾讯 qqWin10 版本不支持密码填充，腾讯微信不支持密码登录

leekafai

Jan 8, 2021

密码规则管理器