ICDYCT / 我能, 你也行 / I Can Do, You Can Too

为了方便使用, 我觉得 xkcd密码生成器 页面提供复制按钮是一个不错的主意.

Keepass 2.47 支持 Argon2id 加密算法 iOS上的应用 KeePassium 1.21 已经支持 Argon2id

之前在Chrome里使用Google Smart Lock，遇到个问题：不能保存google.com的用户名密码。

为了使用方便和备份，密码库会放在某个网络空间上，也会在网络与电脑/手机之间传输，有可能会被其它人拿到。如果密码库被其它人下载，然后在本地进行暴破/穷举，考验的是密码的复杂程度和加密算法。 一、完全随机的复杂长密码 如果这个密码完全随机，长（16位以上），复杂（包含了大小写和符号），类似这样： +4#(ZKu(aL[Y3}LujR#Q +wT}!E)y34=u[Lp#=@c< VG9M+2B?E<W<yq2B3a\N oz}oK{95wZr%ak@q{dMA x=WM)q%2/U2h@z%[2+4i 人基本上是无法记住的，只能借助物理备份，比如：写在纸条上、金属杆刻字…… 风险：如果这个物理备份丢了，或者保存这个备份的地点发生火灾地震。正好你又想不起来主密码的话，密码库就失效了。 二、有意义的长字符串 类似这样： woaibeijingtiananmen 我爱北京天安门 shufen2008shangdaxue 淑芬2008上大学 120km/hmakesmecrazy 120km/h使我疯狂 看上去密码足够长，放到一些密码检测工具里测试似乎也足够复杂。但实际上，这些密码没有看上去那么安全。名人名言或常用句子，是很容易被黑客做到穷举字典里的。后面两个密码掺入了一些“个性化”的信息，但其它部分没有好到哪里去。 三、无联系的多个词语 类似这样： 海鸥驾驶核能鼠标  haioujiashihenengshubiao 桃子切割天空吵闹  peachcuttingtheskynoisy 忧郁钥匙政委躺下  youyuyaoshizhengweitangxia 这样的密码要好得多了。不过，密码的安全来自于随机性。用人脑去“创造”一个密码，实际上经过潜意识里的“挑选”，这个“挑选”的过程会减弱随机性。 四、随机挑选的词语 类似这样： 权益热量务实挂钩   scuwrvjgtlpurfqq  （五笔） 乳汁人们特使铺设   ruzhirenmenteshipushe  （拼音） by xkcd密码生成器 (们之一) 密码是算法生成的，随机性是可靠的，词典是已知...

一、密码库方案选择 如果是纯苹果用户，推荐使用iCloud Keychain。 如果是跨平台、跨浏览器用户，推荐使用 LastPass 。 如果希望自建密码库，推荐使用 KeePass 。 二、使用一个好的主密码 xkcd密码生成器 分析：< 如何得到一个安全又好用的主密码 > 三、网站和浏览器设置 浏览器不保持网站的登录状态。 浏览器不保存密码的。 网站的保持登录状态功能，实质上是保存cookie，如果浏览器出现漏洞，攻击者有可能拿到你的cookie，然后冒充你的身份登录网站。我们在使用密码库的前提下，不建议让网站保持登录。 * Google Smart Lock是和Chrome浏览器集成的，如果使用Google的密码库服务，那就让Chrome保存密码。 四、KeePass的密码库属性 数据库文件加密算法换成 ChaCha20 密钥导出函数换成 Argon2 使用“1秒延迟”按钮调节参数 注： * ChaCha20和Argon2是最近版本支持的算法。某些平台上的KeePass程序还没有更新支持。 * 1秒延迟按钮是以本机运算能力来测试的。手机芯片的运算能力可能较弱，用时也较长。综合考虑确定参数。 五、KeePass常开时，密码保持星号状态 反例：如果密码呈显示状态，其它应用程序是有可能读取其内容的。 示例中的读取窗口文本工具 <Textify 官网 下载 > 切换密码星号与原文显示 快捷键 Ctrl+H 六、KeePass输入主密码使用安全桌面 七、使用越狱/root设备的注意事项 有些人喜欢使用越狱的iOS设备，或者root过的安卓设备，可以安装功能强大的插件/框架，让某些操作更高效、去广告、“翻墙”等。但是越狱/root过的设备，APP有可能拥有过于强大的能力，比如：截获短信、读取/修改其它APP的内存、读取/修改网络传输数据等。如果小心使用，是有可能安全使用的，但是这个“小心”使用要费的心思太多了。 如果一定要用越狱/root设备，建议： 把自己重要的数据与越狱/root设备分隔开，比如：银行卡的预留手机号、账号的密保/安全手机号（可用于重置密码）、手机银行APP、互联网投资/理财。 在越狱/root设备上使用单独...

一、账户的所有权=密码 带来的问题： 【1】如果密码被忘记，这个账户就再也找不回来了。 【2】如果密码被泄漏/破解，不光失去对账户的控制，还可能给自己带来其它麻烦（如：恶意消费、诈骗等）。 包括几种情况： 【2.1】针对用户设备的：欺骗安装执行非法功能的程序（电脑木马程序、手机窃听短信的APP）、利用漏洞入侵设备。 【2.2】针对传输过程的：不安全的Wi-Fi，钓鱼网站。 【2.3】针对网站的：撞库、暴破、入侵。 解决问题： 解决【2.1】使用安全的设备，正版系统、及时更新系统/打安全补丁、非越狱/root的设备、安装靠谱的安全软件，不乱装软件。 解决【2.2】使用安全的Wi-Fi，不乱点链接。 解决【2.3】的撞库：不使用重复的密码。每个网站的密码都不一样 解决【2.3】的暴破：使用复杂密码（长度足够长12-20位，包括大小写字母、数字、符号等） 无法解决【2.3】的入侵网站，需要网站自身提升安全，不是用户解决的范畴。 使用不重复的复杂密码带来问题： 【3】密码太多记不住。 二、第二验证方式 为了解决问题【1】（忘记密码），网站除了密码，增加一些验证方式。 第二验证方式一般是邮箱或手机号（短信验证码）。现在也有用TOTP的。重要的业务都上了实名认证。 其中，邮箱本质上也是一个账户，也会涉及到密码和第二验证方式的结构。 TOTP本质上是一个密码 。可以理解为用一种安全又方便的方式使用一个特别长特别复杂的密码。手机号天然有一个后备保障：实名认证（身份证）。 如果密码被忘记/泄漏，只是临时失去控制，用户可以通过第二验证方式来找回、重置。 为了避免在手机被盗时失去对手机号（短信验证码）的控制。 手机锁屏密码不要太简单容易被猜中，比如123456或者000000这种。有必要的情况下，锁屏密码可以设置得更复杂，比如除了数字还包含字符，或长度大于6位。 手机锁屏时不显示短信内容。 设置SIM卡PIN码，不要太简单被猜中（SIM卡PIN码最长8位数字）。这样SIM卡被取走，也不能装到别的手机上获得短信验证码。 使用手机带来新问题： 【4】手机锁屏密码需要记住。 （可以通过指纹、面部识别等技术缓解。但是遇到升级固件等情况下还是需要锁...

每一位密码可选择的字符也就是键盘上能打出来的那些： 大小写字母(52个) ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz 数字(10个) 0123456789 符号(32个) ~!@#$%^&*()_+|{}<>?`-=\[]'";:,./ 如果全部使用这些字符，生成的密码几乎只能依赖密码工具的自动填充或复制粘贴。 稍微提升一下可读性，去掉一些不便识别的字符。 l|1I0O     它们是小写的l，shift+\打出来的|, 数字1, 大写的I, 数字0，大写的O ,.;:"'`    就是各种小点 ~_          ~在某些字体时会显示在顶部容易看错   _在带框的表格中可能和边框离得很近容易看错 字母+数字的可能性是57。加上符号后，可能性是78。这78个字符，对于人来说，虽然包含符号，但“抄写”起来还不至于特别难受。如果只使用57个字母+数字的话，可读性进一步提升了，另外也更方便“听写”。 在16位密码长度的情况下（现在绝大多数互联网服务的密码长度上限），15位带符号的密码 和 16位仅含字母+数字的密码 复杂度是同一个数量级的（前者约为后者的2倍）。 也就是说，与其在密码中加入符号，不如增加一位密码的长度。

在生活中，有一些密码会遇到需要抄写的情况。比如：Microsoft账号，在安装系统的时候会用到，此时密码管理软件肯定无法提供复制粘贴的功能。或者你刚刚添加or重置了一个手机or电脑，密码管理软件还没有工作起来。 如果使用过于复杂的密码，抄写的时候容易看错，抄写速度太慢。 可以用Keepass的密码生成策略，适当地简化密码。 参考： https://keepass.info/help/base/pwgenerator.html 以“连续4个字符里只有大写或小写字母”为例，我用的策略是： a{4}U{4}a{4}U{4} 使用方法 为了方便识别，去掉容易误读的字符 生成的密码长这样，是不是更方便抄写了呢。 做好的密码策略可以保存起来，方便下次使用。 也可以保存到“为新记录自动生成密码”，这样新建记录的时候，密码默认就是按这样的策略生成了。

二次验证 (2FA) Two-Factor Authentication 是指：在用户名/密码之外，增加一个一次性密码的验证方式。表现形式有很多种，一般有：U盾、手机短信验证码、电话语音验证码、APP或系统弹窗、软件实现（验证器APP）。 二次验证要解决的问题是：用户名/密码是相对固定不变的，如果被窃取（偷看/内存破解/键盘记录/拦截数据传输解密），其它人可以冒充身份。二次验证加入了一个一次性密码以后，这个密码使用一次后即失效，即使使用过程中被窃取也不能被拿来再次通过身份验证。 从这样的原理来看，针对二次验证一次性密码的攻击就是要在生成密码到使用密码之间窃取密码，并抢在用户使用之前用于身份验证。所以现在的各种骗术都是要拿到短信验证码（有的是通过手机木马的方式，有的是通过骗取信任的方式） 分析一下安全性： 1. iOS手机不越狱、安卓手机不解锁的话，短信验证码还是可靠的。这也是目前手机银行APP采用的方案。 2. 如果出境，手机号的方案就不方便了。还是要靠验证器APP。 验证器APP的原理是： 1.生成一个密钥，服务器和用户都知道这个密钥。密钥保管好后，以后不再传输； 2.用密钥+当前时间用一个单向算法生成动态密码。 3.服务器通过动态密码间接验证用户是否持有正确的密钥，进而验证身份。 实际应用中密钥需要保证一定的长度，如：BPPC7YHP2KD2BZFGPGMLZBBOUOO4627H，时间同步按30秒刷新一次，算法使用的是HMAC-SHA1，最终的动态密码是6位数字。 第1步中，密钥可以生成得足够复杂，间接解决了用户喜欢使用弱密码的问题。这一步需要在安全的环境中进行，保证密钥不被泄漏。 整个方案叫做TOTP（Time-based One-time Password 基于时间的一次性密码）。算法本身是公开的( https://tools.ietf.org/html/rfc6238 )，所以有很多APP可选，比如：Google Authenticator、Authy、Microsoft Authenticator、Tofu等。不同的APP在细节上有一些不同，比如密钥的备份、同步等。 为了方便第1步的实践，一般网站会让你用APP扫一个二维码，它的内容实际是像这样子的： otpauth://totp/Cloudflare: bob ?...

keeweb.info 可以看到下载、github等资源 app.keeweb.info 可以直接在线使用，支持打开本地、WebDav、DropBox、Google Drive、OneDrive 挺有意思的。 应用场景：在安全的环境下有一台安全的机器/手机，但是不允许下载、安装软件。 提醒：keeweb不是keepass的官方应用

我的keepass里建了两个组，一个是社交，一个是资产。 先在社交下面建了一条微信的记录。 然后右键菜单里选 Duplicate Entry 弹出的窗口里选 ... by refrences 再将复制出来的记录移到到资产组下面。 这样，如果修改了社交下面的记录的用户名和密码，资产下面的记录也会同步修改。 不过，需要注意的是，打开复制出来的记录可以看到，只是用一串特定的字符串表示对原记录的用户名和密码的引用。 所以 1. 只有单向同步关系，对复制记录的修改不会影响原记录 2. 原记录里的其它属性（包括：Notes、Advanced添加的字符串和附件等）只在生成复制记录时会复制一次，此后对原记录的其它属性的修改是不会同步到复制记录的。 =========== 如果希望同步 Title URL Notes也是有办法的，左下角菜单里选一选。 =========== 这个用法可以用于一个场景就是： 先在社交组里建一个微信的记录。然后复制到财产组里。把UserName和Password都同步过来。再在Advanced里面加一条“支付密码”。