V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
wuruxu
V2EX  ›  分享创造

用 bitbucket 来托管所有的帐号密码

  •  
  •   wuruxu ·
    wuruxu · 2017-03-28 13:24:10 +08:00 · 5161 次点击
    这是一个创建于 2824 天前的主题,其中的信息可能已经有所发展或是发生改变。

    alipay, qq, weibo 太多的帐号密码,一开始我用户名和密码都一样的,发现太坑了,一个泄漏就全部泄漏了
    后来一直明文记录在记事本里,维护也挺不方便,被人家发现,帐号密码就泄漏了

    目前在 bitbucket 上建立一个私有的 git 库,把每个帐号密码用 GPG 的密钥加密后保存在上面 个人感觉已经很安全了,通过 git 来更新保存密码也很方便,容易追溯历史密码

    30 条回复    2017-04-01 20:28:13 +08:00
    line
        1
    line  
       2017-03-28 13:29:04 +08:00   ❤️ 1
    为什么不用密码管理软件
    yidinghe
        2
    yidinghe  
       2017-03-28 13:29:51 +08:00 via Android
    用什么工具读取
    benjaminliangcom
        3
    benjaminliangcom  
       2017-03-28 13:37:27 +08:00 via Android
    keepass 不止安全,还能自动填充
    不过我个人更喜欢 lastpass
    Ouyangan
        4
    Ouyangan  
       2017-03-28 13:41:43 +08:00
    enpass 试试看
    SourceMan
        5
    SourceMan  
       2017-03-28 13:51:21 +08:00
    可以的,好思路,就是略繁琐点
    还是上密码管理软件好,就是没有版本管理
    wuruxu
        6
    wuruxu  
    OP
       2017-03-28 13:59:00 +08:00
    @yidinghe gpg -d 可以解密
    RqPS6rhmP3Nyn3Tm
        7
    RqPS6rhmP3Nyn3Tm  
       2017-03-28 14:02:32 +08:00 via iPad
    @SourceMan 1Password 订阅版的版本管理还不错
    TangMonk
        8
    TangMonk  
       2017-03-28 14:16:51 +08:00
    不错
    xdz0611
        9
    xdz0611  
       2017-03-28 14:21:58 +08:00
    哈哈, 我现在就是这么做的, 用 emacs 直接打开就自动解密了...
    Dlad
        10
    Dlad  
       2017-03-28 17:34:29 +08:00
    思路不错。
    我的方案是选一个密码,记住。
    缺点是换密码吃力。
    wuruxu
        11
    wuruxu  
    OP
       2017-03-28 17:46:22 +08:00
    @Dlad 一个密码风险太大,泄漏了,就全泄漏了
    fyl00
        12
    fyl00  
       2017-03-28 17:53:50 +08:00
    假设身边没有电脑,手机不记得密码咋办……
    notes
        13
    notes  
       2017-03-28 18:18:35 +08:00 via Android
    是滴,这个方案依赖于电脑有 gpg
    fy
        14
    fy  
       2017-03-28 19:34:22 +08:00
    这掩耳盗铃吧,安全性没有本质上的提升,只相当于加了一个双保险(密钥、 bitbucket 帐号)。
    wuruxu
        15
    wuruxu  
    OP
       2017-03-28 19:58:59 +08:00
    @fy 即使你能进入 bitbucket 的帐号,由于所有信息都是 GPG 加密过的密文,一般情况下是无法破解的
    wuruxu
        16
    wuruxu  
    OP
       2017-03-28 19:59:57 +08:00
    @notes 是的,现在手机上也有 gpg 的 app ,使用便利性还是有保证的
    jybox
        17
    jybox  
       2017-03-28 21:08:15 +08:00
    直接用公开仓库好了 https://github.com/jysperm/passwords
    wuruxu
        18
    wuruxu  
    OP
       2017-03-28 21:17:16 +08:00
    @jybox 当然可以这么操作,私有仓库更安全,哈哈
    假如人家用超级计算机来破解,估计也能被解出来的
    yangqi
        19
    yangqi  
       2017-03-28 21:30:53 +08:00
    @wuruxu GPG 密文现在是没法破解,但你不知道之后会不会有漏洞爆出来,或者有先进技术可以破解。而且还要看你密钥放在哪。如果放在本地电脑的话,那也是不安全的。有可能你电脑先被侵入,先获得密钥,然后再摸到 bitbucket, 你所有密码就有了。
    Tink
        20
    Tink  
       2017-03-28 22:21:29 +08:00
    并不方便啊
    wuruxu
        21
    wuruxu  
    OP
       2017-03-28 22:24:03 +08:00
    @yangqi 电脑被物理接触,这是很大的风险
    但 GPG 的密钥可以添加密码保护的,所以一般即使接触到电脑,也无法通过密钥很快破解的 GPG 内容的
    nodin
        22
    nodin  
       2017-03-28 22:37:08 +08:00 via iPhone
    @SourceMan keepass 有历史记录的
    daiv
        23
    daiv  
       2017-03-28 23:47:31 +08:00
    别折腾 用 lastpass
    pezy
        24
    pezy  
       2017-03-29 11:36:13 +08:00
    最安全的办法是根本不存密码. 记住你的规则, 每次都去生成就可以了: http://password.devnotes.org/
    Dlad
        25
    Dlad  
       2017-03-29 11:50:05 +08:00
    @wuruxu
    我是根据网站可信度分级 + 主密码拼合生成新密码,配合部分独立密码。
    比如腾讯、 google 用一个密码,淘宝系用一个密码,其他大厂用一个密码,所有小厂用一个密码(这个密码是从使用频率最高的 100 个密码中选出来的,不透露个人偏好)

    咋听有点复杂:
    1 、形成习惯就不复杂了;
    2 、不是一次成为这样的,是十几年间随着逻辑成熟及安全形势变化,逐步演化而来的。
    timothyye
        26
    timothyye  
       2017-03-29 12:36:14 +08:00 via Android
    为啥不用现有的产品呢,各种名字带 pass 的工具
    wuruxu
        27
    wuruxu  
    OP
       2017-03-29 12:43:04 +08:00
    @timothyye 自己可以控制更多,而且 git 也适合这么做
    introom
        28
    introom  
       2017-03-29 14:03:55 +08:00 via Android
    @xdz0611 我刚刚还在担心这个问题呢。 emacs 自动解密,你 gpg 有没有额外设置密码?毕竟本及其他程序也可用调 gpg -d,而这样的程序哪里都可能有,比如你 melpa 上安装的插件,或者和 emacs 完全没关系的本机程序。


    还是我想太多了,,,,
    xdz0611
        29
    xdz0611  
       2017-03-29 14:13:37 +08:00
    @introom #28 gpg 有密码的, 启动 emacs 时要打开这个文件, 所以会提示我输入密码. 所以也不能说自动了.
    Humorce
        30
    Humorce  
       2017-04-01 20:28:13 +08:00 via Android
    我感觉你还不如直接用 keepass
    你说的功能都有,你没说的也有,没有的,你可以自己写插件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5658 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.