都說要常換密碼. 我有用 bitwarden/keepass 等等. 但如果每半年換一次 master password 會否很笨?
jadeluvlove · 1 天前 · 1699 次点击都說要常換密碼. 我有用 bitwarden/keepass 等等. 但如果每半年換一次 master password 會否很笨?
自己十年來的密碼都是 "xxx". 如果流出過一次, 則我所有數据都等於沒加密.
如果每半年 e.g 24H1, 24H2 等等的換一次大密碼. 好處是即使流出, 也是流出半年.
但如果有天那個 password manager 出事, 便危險了. 而且要記住的是數十到一百個 password. 我猜还有 60 年命吧, 就是 120 個 password.
你們常轉換大密碼嗎?
28 条回复 • 2024-11-02 02:59:22 +08:00
 |
1
halida 1 天前
不换
|
 |
2
cooltechbs 22 小时 2 分钟前 via Android
2017 年开始用 LastPass ,到现在一共换了两次主密码(也就是总共用了三个主密码)
一句话,自己不是高价值目标 |
 |
3
longsays 21 小时 11 分钟前 via Android
不换,主密码+文件 key ,这还能被撞到算我倒霉
|
 |
4
zhangeric 21 小时 9 分钟前
上 2 步认证.
|
 |
5
CTd1DJnr6KlM 21 小时 1 分钟前
yubikey
|
 |
6
bobryjosin 20 小时 39 分钟前 via iPad
有 2fa 的都开了,不支持的估计也没有那么重要,其实也没有多少密码需要记。
|
 |
7
Achophiark 20 小时 33 分钟前
@CTd1DJnr6KlM yubikey 这种仅仅适合搞安全性、但低频使用率的吧
|
 |
8
C5H12O5 20 小时 14 分钟前
从来不换,心里记住一个较复杂的主密码,密码管理类软件记前缀/后缀,泄漏了风险也不大。坏处就是自动登录用不了,还是需要手动输入一次主密码
|
 |
9
klgd 20 小时 12 分钟前
没有换密码 都是用 bitwarden 生成的密码 也记不住,全靠 bitwarden
|
|
11
CTd1DJnr6KlM 20 小时 3 分钟前
@Achophiark 我是说 yubikey 搭配 keepass 这些密码管理器
|
 |
12
ttionya 19 小时 51 分钟前
vaultwarden 主密码超长,70 多位,大小写数字字符,你撞到宇宙毁灭都撞不出来。为了避免输密码,现在都用的客户端的登录请求
至于里面的密码全是 vaultwarden 管理的,几乎都没换过 |
 |
13
3141592653 19 小时 49 分钟前
半年或者一年一换,取一个 N 位数字,每次换都是数字递增,就不难记忆了。
主密码 + key + 系统账号信息 |
 |
14
815979670 19 小时 43 分钟前
首先你得明确定时换密码的目的,换密码的目的就是防止密码已经泄露但你不知道,然后别人可以用已经泄露的密码登录你的账户,或者拿泄露的密码去撞库造成你更大的损失。
如果你使用 bitwarden 生成密码 的话,撞库的可能性是 0 ,因为每个平台的密码都不一样。 所以说 换密码的目的只有第一个 防止有人用已经泄露的密码去登录被泄露密码的平台的账户,如果没有平台泄露密码,那你改密码的操作只是从一个没人知道的字符串 改成另一个没人知道的字符串而已,并且使用 生成器生成的密码复杂度、长度都是一样复杂的,所以密码没有泄露的前提下,并没有换一个密码 安全度更高的说法。 |
 |
15
jpyl0423 19 小时 37 分钟前
除非有后门,换主密码干嘛,别人又不知道我的用户名
|
 |
16
oneisall8955 19 小时 18 分钟前 via Android
主密码比较复杂,和其他密码都不一样,自建的服务,主密码从来没换过
|
|
17
815979670 19 小时 5 分钟前
@815979670 看错了 说的是主密码,不过道理是一样的 如果没有泄露 无法去就是从一个字符串换到另一个字符串而已们只要这个主密码不在其他地方用,就不用担心泄露的问题,并且 我是自建的 域名不公开 安全下也会更高一些
|
 |
18
Admstor 18 小时 59 分钟前
我用的是 keepass
我会不定期更换我的密码和 key file 安全不是你以为或者他以为 安全是严格的执行安全规则 |
 |
19
s7evinz 18 小时 50 分钟前 via iPhone
换密码主要是强迫小白不用同一个密码,这规则不适用于主密码和随机生成的密码。复杂主密码加 2FA 就可以了,换多错多,搞混记不起更惨。
复杂是为了万一 Bitwarden 泄漏了数据库 brute force 不了,2FA 是防止密码泄漏异地登录。 |
 |
20
apt41 18 小时 45 分钟前
讲个笑话,新的密码规范好像删除了经常更换密码。
|
 |
21
JustBecause 18 小时 4 分钟前
1password ,主密码偶尔换换没问题,里面的密码如果泄露会有提醒
|
 |
22
shyangs 15 小时 39 分钟前
[帳密常改反而危險!美國專家公布 7 大設定守則:長度勝於複雜度]( https://newtalk.tw/news/view/2024-09-02/934809)
|
 |
23
mezhangkai 15 小时 6 分钟前
ios18 苹果自带的,现在感觉最好用了,没有 ssh agent ,可以用 kepass xc 替补下,反正 ssh agent 只有电脑会用
|
 |
24
adoal 15 小时 1 分钟前
定期更换密码,在以前是金科玉律,现在则看作官僚主义安全观
|
 |
25
msg7086 14 小时 59 分钟前
我司内网登录已经把密码功能关了,全部走手机 passkey 登录+yubikey fido 二次验证。
|
 |
26
jadeluvlove OP @msg7086 告訴你司, 你这些都是和硬体 bind 的, 都有坏/失去的可能.
我自己的 bitwarden database... 其實好像可以 print 出來. 好似是.json file, 只是 username/password 等等加密了. 另外 username, password 都是可以記下. totp 其實只是一串字"secrets". 這樣 EMP 过后我應該还能有登入的東西, 但被登入的在不在就不知道了. |
|
27
bobryjosin 7 小时 5 分钟前
@jadeluvlove 可以绑很多个的,坏了一个还有另一个,我这是绑了一对 key ,全没了还有打印在纸上的 recovery code ,生产环境最坏的情况管理员可以重置 2fa ,丢失全部权限其实还是很难的。
|
 |
28
EscYezi 2 小时 35 分钟前 via Android
不换,但是给 bitwarden 加两步登录,只要控制账号只能在可信设备上登录,我觉得就已经足够安全了。
|
Select Language