记不得，憋不住 | Can't Remember, Can't Shut Up

问题 今天调试 Pastebin 发现一个bug, 如果直接把path改为'password', 就会显示KV中的密码. 以前短链系统的时候, 因为短链系统会把查出来的value做302跳转, 而密码并不是一个网址, 在跳转时就会出问题, 所以就没有暴露这个bug. 修正 在按path查询了KV之后, 如果path是'password', 让查询结果为空.  这样后续处理就和 path 不存在是一样的. ======= 完 Github:  https://github.com/crazypeace/url-Shorten-Worker/ 演示站:  https://pastebin.icdyct.cloudns.asia/tieludasiliqiuweiyue https://pastebin.icdyct.cloudns.asia/password 的结果是和错误的path一样的了.

之前在Chrome里使用Google Smart Lock，遇到个问题：不能保存google.com的用户名密码。

为了使用方便和备份，密码库会放在某个网络空间上，也会在网络与电脑/手机之间传输，有可能会被其它人拿到。如果密码库被其它人下载，然后在本地进行暴破/穷举，考验的是密码的复杂程度和加密算法。 一、完全随机的复杂长密码 如果这个密码完全随机，长（16位以上），复杂（包含了大小写和符号），类似这样： +4#(ZKu(aL[Y3}LujR#Q +wT}!E)y34=u[Lp#=@c< VG9M+2B?E<W<yq2B3a\N oz}oK{95wZr%ak@q{dMA x=WM)q%2/U2h@z%[2+4i 人基本上是无法记住的，只能借助物理备份，比如：写在纸条上、金属杆刻字…… 风险：如果这个物理备份丢了，或者保存这个备份的地点发生火灾地震。正好你又想不起来主密码的话，密码库就失效了。 二、有意义的长字符串 类似这样： woaibeijingtiananmen 我爱北京天安门 shufen2008shangdaxue 淑芬2008上大学 120km/hmakesmecrazy 120km/h使我疯狂 看上去密码足够长，放到一些密码检测工具里测试似乎也足够复杂。但实际上，这些密码没有看上去那么安全。名人名言或常用句子，是很容易被黑客做到穷举字典里的。后面两个密码掺入了一些“个性化”的信息，但其它部分没有好到哪里去。 三、无联系的多个词语 类似这样： 海鸥驾驶核能鼠标  haioujiashihenengshubiao 桃子切割天空吵闹  peachcuttingtheskynoisy 忧郁钥匙政委躺下  youyuyaoshizhengweitangxia 这样的密码要好得多了。不过，密码的安全来自于随机性。用人脑去“创造”一个密码，实际上经过潜意识里的“挑选”，这个“挑选”的过程会减弱随机性。 四、随机挑选的词语 类似这样： 权益热量务实挂钩   scuwrvjgtlpurfqq  （五笔） 乳汁人们特使铺设   ruzhirenmenteshipushe  （拼音） by xkcd密码生成器 (们之一) 密码是算法生成的，随机性是可靠的，词典是已知的，整个密码的安全性是确定的。它的安全性来自算法本身，而不依赖算法是否秘密。以引用的 这

一、账户的所有权=密码 带来的问题： 【1】如果密码被忘记，这个账户就再也找不回来了。 【2】如果密码被泄漏/破解，不光失去对账户的控制，还可能给自己带来其它麻烦（如：恶意消费、诈骗等）。 包括几种情况： 【2.1】针对用户设备的：欺骗安装执行非法功能的程序（电脑木马程序、手机窃听短信的APP）、利用漏洞入侵设备。 【2.2】针对传输过程的：不安全的Wi-Fi，钓鱼网站。 【2.3】针对网站的：撞库、暴破、入侵。 解决问题： 解决【2.1】使用安全的设备，正版系统、及时更新系统/打安全补丁、非越狱/root的设备、安装靠谱的安全软件，不乱装软件。 解决【2.2】使用安全的Wi-Fi，不乱点链接。 解决【2.3】的撞库：不使用重复的密码。每个网站的密码都不一样 解决【2.3】的暴破：使用复杂密码（长度足够长12-20位，包括大小写字母、数字、符号等） 无法解决【2.3】的入侵网站，需要网站自身提升安全，不是用户解决的范畴。 使用不重复的复杂密码带来问题： 【3】密码太多记不住。 二、第二验证方式 为了解决问题【1】（忘记密码），网站除了密码，增加一些验证方式。 第二验证方式一般是邮箱或手机号（短信验证码）。现在也有用TOTP的。重要的业务都上了实名认证。 其中，邮箱本质上也是一个账户，也会涉及到密码和第二验证方式的结构。 TOTP本质上是一个密码 。可以理解为用一种安全又方便的方式使用一个特别长特别复杂的密码。手机号天然有一个后备保障：实名认证（身份证）。 如果密码被忘记/泄漏，只是临时失去控制，用户可以通过第二验证方式来找回、重置。 为了避免在手机被盗时失去对手机号（短信验证码）的控制。 手机锁屏密码不要太简单容易被猜中，比如123456或者000000这种。有必要的情况下，锁屏密码可以设置得更复杂，比如除了数字还包含字符，或长度大于6位。 手机锁屏时不显示短信内容。 设置SIM卡PIN码，不要太简单被猜中（SIM卡PIN码最长8位数字）。这样SIM卡被取走，也不能装到别的手机上获得短信验证码。 使用手机带来新问题： 【4】手机锁屏密码需要记住。 （可以通过指纹、面部识别等技术缓解。但是遇到升级固件等情况下还是需要锁

keeweb.info 可以看到下载、github等资源 app.keeweb.info 可以直接在线使用，支持打开本地、WebDav、DropBox、Google Drive、OneDrive 挺有意思的。 应用场景：在安全的环境下有一台安全的机器/手机，但是不允许下载、安装软件。 提醒：keeweb不是keepass的官方应用

我的keepass里建了两个组，一个是社交，一个是资产。 先在社交下面建了一条微信的记录。 然后右键菜单里选 Duplicate Entry 弹出的窗口里选 ... by refrences 再将复制出来的记录移到到资产组下面。 这样，如果修改了社交下面的记录的用户名和密码，资产下面的记录也会同步修改。 不过，需要注意的是，打开复制出来的记录可以看到，只是用一串特定的字符串表示对原记录的用户名和密码的引用。 所以 1. 只有单向同步关系，对复制记录的修改不会影响原记录 2. 原记录里的其它属性（包括：Notes、Advanced添加的字符串和附件等）只在生成复制记录时会复制一次，此后对原记录的其它属性的修改是不会同步到复制记录的。 =========== 如果希望同步 Title URL Notes也是有办法的，左下角菜单里选一选。 =========== 这个用法可以用于一个场景就是： 先在社交组里建一个微信的记录。然后复制到财产组里。把UserName和Password都同步过来。再在Advanced里面加一条“支付密码”。