V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xinbaoCode
V2EX  ›  程序员

如何简单 100%安全存放自己的密码?

  •  1
     
  •   xinbaoCode · 239 天前 · 7034 次点击
    这是一个创建于 239 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看到有产品竟然做物理的冷钱包

    结合比特币早期有很多人忘了钱包密码导致无法取出

    是否有一种算法 OR 架构模式

    能让密码除了自己外无人知晓

    而且自己解锁这个密码的方式要极为的简单🤔

    PS:个人感觉现在的指纹,人脸以及虹膜都是有问题的,数据都存在各大厂的数据库里,是中心化的~

    66 条回复    2024-03-21 18:53:11 +08:00
    lisxour
        1
    lisxour  
       239 天前   ❤️ 1
    无密码认证,参考实物:Yubikey
    7lQM1uTy635LOmbu
        2
    7lQM1uTy635LOmbu  
       239 天前 via iPhone
    安全物理密钥:yubikey
    cmdOptionKana
        3
    cmdOptionKana  
       239 天前
    不想数据存在别人数据库里,就只能自己搞个 vps 之类的,要么麻烦一点手动复制。
    便利和安全必然冲突,这是物理定律,就像永动机一样,定律限制无法实现。
    tool2d
        4
    tool2d  
       239 天前
    弄一个 Time based one-time password 算法,自己稍微改改,就挺安全的。
    wodexinhaoleng
        5
    wodexinhaoleng  
       239 天前
    没看懂想表达什么

    中心化的产品,密码一定存在别人的数据库里,你的账号密码本来就是别人公司的财产。别人不保存你的密码没法给你提供服务。

    去中心化架构,记在脑子里最安全
    wheat0r
        6
    wheat0r  
       239 天前   ❤️ 4
    我认为,人是中心化的,通过拷打你可以获得一切密码的访问权,还可以抢走你的 YubiKey ,未来甚至可以通过人机接口实现。
    不考虑近身肉搏的攻击方式,自建密码管理器,结合 yubikey 认证可能是比较好的办法。
    deepbytes
        7
    deepbytes  
       239 天前 via iPhone
    最近给主要的邮箱都上了 yubikey 的 FIDO2 无密码认证,私钥无法取出,安全级别目前看已经是民用场景比较好的了。配合 yubikey 的 ssh 登陆认证,vps 的 ssh 安全也提高了一个等级。
    shortawn
        8
    shortawn  
       239 天前   ❤️ 1
    没有 100%安全,只能在安全和方便之间做取舍。
    Tumblr
        9
    Tumblr  
       239 天前
    首先, “简单”和“安全”是两个相悖的概念,你只能在其中找到适合你的平衡点;
    其次, 不存在“100%安全”。
    再次, 生物识别基本上都是本地的,比如指纹识别、面容识别等,换句话说,你在 A 手机上设置了指纹,是不能在 B 手机上用这个指纹的。
    GeekGao
        10
    GeekGao  
       239 天前
    那是因为 OP 不了解现代的密码学和个人验证的实践方式。比如可以尝试去了解其他楼层提到 FIDO2 协议
    infun
        11
    infun  
       239 天前
    随机密码 然后找回
    llllllllllllllii
        12
    llllllllllllllii  
       239 天前
    写纸上
    lxdlam
        13
    lxdlam  
       239 天前   ❤️ 2
    BadFox
        14
    BadFox  
       239 天前
    绝对的安全不存在,而越高的安全越会带来更高的成本。
    rickiey
        15
    rickiey  
       239 天前
    如果是钱包私钥的话我们可以提供一种方式,私钥的生成需要随机数,如果把这个随机数换成自己的密码(编码或 hash ),那个就不用记录私钥,只需记录密码,每次按照同样的方式生成,结果还是同样的私钥,缺点就是如果被人猜到可以同样方式生成。用来批量管理钱包可以的
    soulmt
        16
    soulmt  
       239 天前
    @infun 你真是个人才 hhhh
    pikko
        17
    pikko  
       239 天前   ❤️ 1
    我觉得物理是不安全的,可能因为我身份证就丢过三次的原因。
    monkeyk
        18
    monkeyk  
       239 天前
    安全永远是相对的,找到适合的方式就好
    since2021
        19
    since2021  
       239 天前
    lesspass 试试,哪需要记住什么密码~
    since2021
        20
    since2021  
       239 天前
    是 lesspass ,不是 lastpass
    InDom
        21
    InDom  
       239 天前
    对数据使用 RSA 高位数加密,将 RSA 私钥使用高强度密码加密,准备一个物理的密码本,以某种方式从密码本中映射出一段足够高强度的密码,将加密后的数据,RSA 私钥分开储存在不同的地方,将密码本保存好,记住你的密码映射方式。

    不要经常使用,最后你会发现,映射方式早就忘记是啥了。
    Rickkkkkkk
        22
    Rickkkkkkk  
       239 天前
    想象一个场景

    你现在有个急事需要用密码

    但是一时半会找不到了

    解决办法是?
    SoyaDokio
        23
    SoyaDokio  
       239 天前
    给出主意的诸位提个小小的建议:便捷性和可行性应优先考量。
    wy315700
        24
    wy315700  
       239 天前
    安全和方便是跷跷板的两端。。

    安全了就不会方便。

    方便了就不会安全。
    evada
        25
    evada  
       239 天前
    blackmirror
        26
    blackmirror  
       239 天前
    建立自己的记忆宫殿,所有密码全部脑中留
    Hancock
        27
    Hancock  
       239 天前
    Passkey WebAuthn
    Levox
        28
    Levox  
       239 天前
    就是不用密码,自己成为权力的中心
    veni2023
        29
    veni2023  
       239 天前
    短信登录
    zzzmh
        30
    zzzmh  
       239 天前
    买一本记事本,一支钢笔,一瓶墨水,和一个保险箱。前者锁进保险箱。
    那么问题来了,保险箱的密码怎么办?只能建议用指纹解锁的保险箱
    barbery
        31
    barbery  
       239 天前
    aes 加密
    Aixtuz
        32
    Aixtuz  
       239 天前
    没有 100%的,记脑子里还有说梦话的呢...
    考虑安全和便利,在可接受的范围作出自己能接受的选择就行了。
    hokori
        33
    hokori  
       239 天前
    保险柜+笔记本
    FengMubai
        34
    FengMubai  
       239 天前
    设置一个复杂的主密码, 背下来. 为了防止遗忘, 写在一张纸上, 存到银行保险柜里
    n2l
        35
    n2l  
       239 天前
    脑子是个好东西
    sn0wdr1am
        36
    sn0wdr1am  
       239 天前
    古人云:雕刻在干燥山洞的岩壁上。
    jurassic2long
        37
    jurassic2long  
       239 天前
    100%安全的话记在脑子里,且别说梦话
    paradoxs
        38
    paradoxs  
       239 天前
    重要的东西开二步验证就行了

    大部分的网站没那么重要
    LeslieLeung
        39
    LeslieLeung  
       239 天前   ❤️ 1
    有个猫因素认证(Cat Factor Authentication)可以看一下: https://ruby.social/@christine/111767112757646400
    Mxinx
        40
    Mxinx  
       239 天前
    个人使用的方式是
    在脑海里记一组基础密码
    然后笔记里添加各个密码的关键 key , 登录密码就是基础密码+关键的 key
    qxdo1234
        41
    qxdo1234  
       239 天前
    密码是为了保障你在某个系统中的数据和信息安全,比较好的方式是上 生物认证,就不需要密码了,
    现在这么多密码,只是因为没有统一的认证中心,每个 app 或网站他只有授权和用户特征,说白了 还是 app 或网站 都想要你的个人信息,
    理想情况下,如果大家都不需要信息的话,统一接入一个完整的身份认证厂商,这个厂商使用 生物特征当作解锁密码,再提供给其他 app 带授权时效的登录 token ,以及用户唯一 id 和用户的特征,这样才能保证密码不泄露,因为这个过程中,只有这个最大的认证中心才持有你唯一一个密码,只要这个最大的认证中心 不被攻破 你的密码就是绝对安全,并且可以保障你的信息安全,不被乱泄露出来,但这种机构, 不一定能产生。
    chenyu923132714
        42
    chenyu923132714  
       239 天前 via Android
    bitwarden 自建服务器
    eber
        43
    eber  
       239 天前 via Android
    没有 100%的安全。就算记脑子里,面对剁手剁脚的威胁你会交出来不?😂
    chenyu923132714
        44
    chenyu923132714  
       239 天前 via Android
    @chenyu923132714 更进一步就存的密码还需要加一个 lesspass 的密码 字符串拼接后使用
    ixoy
        45
    ixoy  
       239 天前
    @wheat0r 果然,严刑拷打这才是真正的暴力破解。
    littlewing
        46
    littlewing  
       239 天前
    对于 yubikey 这类的硬件,我有 2 个问题
    1. 平常得一直带着,万一哪天忘了或是丢了怎么办?
    2. 如果被公安或其他抓了,直接拿走你的 yubikey 是不是比拷打你问你密码更简单
    YouKnowIt
        47
    YouKnowIt  
       239 天前
    @since2021 没有办法生成指定的密码,比如有的股票账户,购物 app 的支付密码只能是 6 位数字
    x2ve
        48
    x2ve  
       239 天前 via iPhone
    安全够用就行 不绝对
    a1558
        49
    a1558  
       239 天前
    添加 Google 安全验证器
    8863824
        50
    8863824  
       239 天前
    @littlewing 是的,用硬件钱包和家里摆保险柜一样愚蠢
    woctordho
        51
    woctordho  
       239 天前
    回复楼上各位:物理拷打不是没办法对付,对付物理拷打的方法是“可否认加密”
    wuhao
        52
    wuhao  
       239 天前
    1password
    samling
        53
    samling  
       239 天前
    搞一台恩尼格玛密码机放家里
    yanyao233
        54
    yanyao233  
       239 天前 via Android
    自建密码管理器,搭配 yubikey 使用
    zeroDev
        55
    zeroDev  
       239 天前
    后面中心化的论证是错的, 参考 https://developer.android.com/privacy-and-security/keystore
    churchmice
        56
    churchmice  
       239 天前 via Android
    @InDom 没有研究表明非对称算法比对称算法更安全,密钥不是越长他就越安全
    ivvei
        57
    ivvei  
       239 天前
    生物信息(人脸除外)不是本地的吗,哪有存放在别人的数据库里?
    Centt
        58
    Centt  
       239 天前
    我是 txt 文档放进 VeraCrypt 里
    bianhui
        59
    bianhui  
       239 天前
    没有事情可以会说能 100%做到吧,儿子都不一定
    since2021
        60
    since2021  
       238 天前
    @YouKnowIt 可以的呀,-h 看看,我记得 -L n 这种就是指定长度,--no-symbol 不用特殊字符
    thinkm
        61
    thinkm  
       238 天前
    写纸上塞菊花里
    INTOX8O
        62
    INTOX8O  
       238 天前
    记脑袋里
    crocoBaby
        63
    crocoBaby  
       238 天前
    每用一次改一次,无敌
    fanyingmao
        64
    fanyingmao  
       238 天前
    把密码记录在 m 个字条上,m 可能会遗失些,但保证有剩余大等于 n 的字条存留,就可以组合出密码。
    fanyingmao
        65
    fanyingmao  
       238 天前
    @fanyingmao 好像这叫 Shamir 秘密共享算法。
    some2
        66
    some2  
       238 天前 via Android
    有没有那种除非自己愿意,即使被施以暴力情况也无法给出密码的,高概率稳定密码?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2717 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 00:21 · PVG 08:21 · LAX 16:21 · JFK 19:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.