V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
q534
V2EX  ›  信息安全

讨论:为什么现在存个人文件/密码这么复杂?

  •  
  •   q534 · 2023-11-07 09:40:32 +08:00 · 4843 次点击
    这是一个创建于 388 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前情提要:

    被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( https://www.v2ex.com/t/989278

    我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( https://www.v2ex.com/t/989309


    现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。

    个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。

    个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((

    欢迎大家随便聊聊
    q534
        1
    q534  
    OP
       2023-11-07 09:41:53 +08:00
    是否,信息安全专家们正在朝着奇怪的方向狂奔?
    caomu
        2
    caomu  
       2023-11-07 09:48:05 +08:00 via Android   ❤️ 1
    也有另一种可能,小白用户完全不折腾这些,就随手保存随手删。像我家人从来不说手机储存小了,因为他们时不时就会删旧照片啥的,操作逻辑与数码相机/功能手机时代比较接近。所以厂商的思路也是隐藏细节。像我们这种懂一点,但又没有充足的时间精力去折腾个彻底的,就会去各种操作然后触发 bug ,相当于志愿测试员了。
    testonly
        3
    testonly  
       2023-11-07 09:49:29 +08:00   ❤️ 3
    我在你连接里那楼回复过了。
    密码只需要靠问题和邮箱能拿回的年代我从没丢过账号密码,至今也没被 HACK 过账号,但自从那些狗平台搞一大堆安全东西后,就在我密码,问题,邮箱都对情况下,以怀疑我不是我为理由将我的不活跃账号一个一个拿走,根本这些狗平台就是在害人。
    而且现在还已经用手机号代替邮箱,根本有手机号情况下,最多能短时 HACK 掉你账号,想长期拿走根本就没可能。
    billlee
        4
    billlee  
       2023-11-07 10:04:13 +08:00 via Android
    都是 trade off, 像以前那样不加密就会出现冠希哥那样的事故
    manasheep
        5
    manasheep  
       2023-11-07 10:11:41 +08:00   ❤️ 3
    我一直建议程序员自己写个不可逆的密码算法,只记住一个主密码,然后主密码+应用名作为参数传入函数(比如“abc123”+“微软”),生成密码,这样你每个平台的密码都是不一样的,而且主密码是不在任何场合出现的,算法是只有你自己有且不可逆的,就完全不担心泄露。
    PS:如果希望单独平台泄露后修改为新密码,可以考虑再加一个版本号作为参数,比如:“abc123”+“163.com”+“v3”
    shyangs
        6
    shyangs  
       2023-11-07 10:12:32 +08:00
    v2ex 註冊根本沒有門檻,用戶不一定是程式設計師.

    就算是程式設計師,如果不是科班的,可能也沒修過密碼學、資安.
    3willashepherd
        7
    3willashepherd  
       2023-11-07 10:13:48 +08:00   ❤️ 1
    本地机械硬盘冷存储吧,我就是这么干的,数据在自己手里才是安全的,定期检查硬盘状态,2 块及以上硬盘异地放置(没条件放在不一样的地方就行),信网盘不如信我是秦始皇.
    q534
        8
    q534  
    OP
       2023-11-07 10:14:51 +08:00
    @manasheep 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效
    tool2d
        9
    tool2d  
       2023-11-07 10:15:51 +08:00
    其实不复杂,我 2fa 密钥我都是明文保存到自己代码库里,代码库有多个备份,一般来说不会丢。

    网站要登录的话,马上算一下出结果就是了。
    q534
        10
    q534  
    OP
       2023-11-07 10:16:05 +08:00
    @shyangs 比大部分 c 端用户了解的要多!但可能正是因为半懂不懂,才更容易出问题😂,甚至比普通用户更可怕
    shinsekai
        11
    shinsekai  
       2023-11-07 10:20:58 +08:00
    主要是同步这个词太复杂。同步操作,还是同步结果?
    manasheep
        12
    manasheep  
       2023-11-07 10:22:57 +08:00
    @manasheep 基于这个算法,你还可以轻松地帮家人或公司管理密码,只要用不同的主密码,就对应了不同的用户。
    bugmakerxs
        13
    bugmakerxs  
       2023-11-07 10:23:51 +08:00
    日常密码不正确,找回密码重新输入密码时提示“不能用曾经使用过的密码”

    然后我就自建 bitwarden 了,然后定期导出到 oss
    adoal
        14
    adoal  
       2023-11-07 10:30:14 +08:00
    复杂是信息系统的内在特征。机器是违反直觉的。
    amiaaaz
        15
    amiaaaz  
       2023-11-07 10:36:08 +08:00
    “用一次找回一次”真的太有既视感了……
    yvescheung
        16
    yvescheung  
       2023-11-07 10:45:35 +08:00
    我的理解是,这些安全措施更多是为了提高迁移成本,将用户困在自己的软件里
    而这些安全措施有时候反而会更不安全,前段时间 Fortress Trust 被盗了 1500 万美元的加密货币,罪魁祸首就是谷歌验证器云端同步被攻击
    C3POX
        17
    C3POX  
       2023-11-07 10:46:05 +08:00
    现在 Apple 和 Google 在推的通行密钥,或许能解决密码复杂性要求多的问题
    C3POX
        18
    C3POX  
       2023-11-07 10:50:33 +08:00
    国内的应用基本都是手机号一键登录,安全性要求高的再加上人脸识别,很适合普通人使用
    totoro625
        19
    totoro625  
       2023-11-07 10:53:31 +08:00
    银行 App 真的是用一次找回一次密码,后来我把密码都记在密码管理器内了
    再然后发现不管密码对不对,第一次登录都要人脸识别来一遍,发现朋友用弱密码也没任何安全问题,不怕被盗

    PS:google auth app 可能也不靠谱,任何不方便转移到另一个软件的东西都不靠谱
    dode
        20
    dode  
       2023-11-07 10:56:54 +08:00
    搞了备用机以防手机坏掉
    timeance
        21
    timeance  
       2023-11-07 11:42:12 +08:00
    突然发现我没保存 google auth 的恢复码用了这么多年... 现在有啥办法管理 2FA 吗?

    之前打印了恢复码,但是搬家的时候丢了
    gloeaerris
        22
    gloeaerris  
       2023-11-07 12:42:08 +08:00
    2fa 我都是 vaultwarden 存一份(每日定时 webdav 备份到坚果云),authy 一份,主要还是用 vaultwarden ,做好数据库备份
    F798
        23
    F798  
       2023-11-07 12:51:52 +08:00 via iPhone
    看了你那个 ios 剩余空间的帖子,感觉都是你自己折腾出来的
    ovtfkw
        24
    ovtfkw  
       2023-11-07 13:09:47 +08:00
    vault 是啥,能不能整通俗一点
    ZxykM
        25
    ZxykM  
       2023-11-07 13:11:57 +08:00
    我 2fa 用的 aegis 然后用 syncfolder 进行 webdav 同步到坚果云
    liprais
        26
    liprais  
       2023-11-07 13:13:19 +08:00
    没有金刚钻别揽瓷器活
    sayitagain
        27
    sayitagain  
       2023-11-07 13:18:17 +08:00
    我曾经的淘宝密码里有个 单引号...后来被限制登录要求我去掉这个符号 T T
    ivvei
        28
    ivvei  
       2023-11-07 13:30:39 +08:00 via Android
    @manasheep 想简单了,不同站点可能有不同的密码过期规则,强行要求你改密码。不同站点对密码的长度和允许的符号也有不同要求,有些强制要求大小写字母加数字和符号,有些不允许出现符号只能数字和字母。
    iyaozhen
        29
    iyaozhen  
       2023-11-07 13:35:53 +08:00
    实话告诉你小白压根不管这些,根本不备份,丢了就丢了
    我认识的密码就是写在手机记事本里面(记事本可以单独设置密码)或者就直接微信收藏(可以不断编辑)
    而且国内可以一个手机号走天下,密码都不用设置,走短信
    manasheep
        30
    manasheep  
       2023-11-07 14:02:39 +08:00
    @ivvei 算法输出 12 位大小写加数字,绝大多数网站都可以适配到的;密码过期参考前面说的,可以加个版本参数。
    la2la
        31
    la2la  
       2023-11-07 14:12:36 +08:00
    自己编了一个大小写带符号字母的密码,用在所有需要密码的地方。反正我的信息也不值钱,费这个劲干啥
    iniMeow
        32
    iniMeow  
       2023-11-07 14:21:27 +08:00
    不太懂这些,为什么需要另外配置一个密码管理器呢? 苹果的钥匙串对我来说足够方便了(
    ding2dong
        33
    ding2dong  
       2023-11-07 14:25:15 +08:00
    >>> 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效

    ----------------------------------

    这样也不是很安全的,你也不知道有些牛鬼蛇神会不会存储你的明文密码。。 我是遇到过的
    NoOneNoBody
        34
    NoOneNoBody  
       2023-11-07 14:30:57 +08:00
    @testonly #3
    最方便管理的方式就是最好的,而不是被管理人认为好的方式
    中国在这方面遥遥领先上千年,西方现在都在向中国学习,他们的企业已经先行,就是政府跟随比较“慢”,🐶
    NoOneNoBody
        35
    NoOneNoBody  
       2023-11-07 14:35:10 +08:00
    @timeance #21
    google 恢复码可以重设的,只要你手上的 2FA 还行得通,具体步骤查 google help
    merlinliu1
        36
    merlinliu1  
       2023-11-07 14:39:23 +08:00
    同不理解,连手机都得设置个密码,iphone 想不设置密码都不行
    aogg
        37
    aogg  
       2023-11-07 14:53:06 +08:00
    github 登录必须 2fa 有谁遇到的
    freewarcraft
        38
    freewarcraft  
       2023-11-07 14:53:55 +08:00
    @manasheep 你这方法我也用过,但后来我发现改几次密码我就不记得版本参数了😂 还是老老实实用 1password
    q534
        39
    q534  
    OP
       2023-11-07 14:58:07 +08:00
    @ding2dong 这个问题我是这样的,分级别,顶级是金融等类的独立设置,比较重复的就是论坛类的,丢了也不心疼。尽量在方便和安全之间平衡一下子。
    q534
        40
    q534  
    OP
       2023-11-07 14:59:21 +08:00
    @shinsekai 显然,就算是微软,也搞不定同步。时常出亿点小毛病
    q534
        41
    q534  
    OP
       2023-11-07 15:03:32 +08:00
    @totoro625
    @timeance 之前 google auth 没有云时,遭遇过 2fa 全部丢失,但现在可以云了。寄希望于“用的人特别多应该靠谱”上
    himawari8
        42
    himawari8  
       2023-11-07 15:50:44 +08:00
    我是纯文本模式保存密码,不想受限于各个专有 app 专有格式。用 evernote ,一个笔记保存一个网站的的所有信息,比如 ID ,密码,邮箱,手机号,密码问题,2fa ,卡号之类的....密码和手机号保存为部分带"*"的助记符
    xiamy1314
        43
    xiamy1314  
       2023-11-07 15:56:18 +08:00
    直接存 vaultwarden ,定期导出保存下密码不就好了。 不过周围没多少人用密码软件,很多都是短信登录就可以,换手机登录之类的还要验证码,安全性还是有保障的。
    ltkun
        44
    ltkun  
       2023-11-07 15:59:50 +08:00 via Android
    作为一个程序员还没有自建数据中心的觉悟 是一个不合格的程序员
    vcn8yjOogEL
        45
    vcn8yjOogEL  
       2023-11-07 16:04:10 +08:00
    KeePass 直接存本地文件里,简单粗暴安全好用
    只要多端同步逻辑就必然复杂,故障率也必然会飙升,但一密码管理器本来也用不上多端 diff ,何苦呢
    Greendays
        46
    Greendays  
       2023-11-07 16:14:10 +08:00
    @ltkun 数据中心爆炸了怎么办?多地备份?容灾?上云?人人都是运维的时代到来了!
    manasheep
        47
    manasheep  
       2023-11-07 16:22:21 +08:00
    @freewarcraft 为啥频繁改呢,我的绝大多数密码都没改过
    f165af34d4830eeb
        48
    f165af34d4830eeb  
       2023-11-07 16:31:12 +08:00
    其实本站站长已经建议过了,2fa 的 qr code 可以复制保存一份。

    所以我除了 authenticator 的云备份外,本地也会加密打包保存一份 qr code ,作为云备份不可用时的灾备恢复手段,简单但靠谱。
    f165af34d4830eeb
        49
    f165af34d4830eeb  
       2023-11-07 16:32:00 +08:00
    @f165af34d4830eeb #48 添加 V2EX 2fa 时大家应该都能看到站长的建议
    crab
        50
    crab  
       2023-11-07 16:33:42 +08:00
    @manasheep 以后会用 passkey 了吧
    ytmsdy
        51
    ytmsdy  
       2023-11-07 20:12:47 +08:00
    谷歌的 2FA 好像是有云同步的,如果没云同步,2FA 丢失感觉就是灾难。
    要被折腾死的感觉。
    kkk9
        52
    kkk9  
       2023-11-08 02:20:15 +08:00
    @sayitagain #27 阿里人防 sql 的日常 阿里人防 xss 的日常 😂
    H0H
        53
    H0H  
       2023-11-08 08:14:24 +08:00
    这种就不应该是 V 友提的问题。你网上搜搜,被脱裤的大厂还少吗?不少大厂的用户密码就是明文存储的,或者是简单的加盐,最终都可以计算出真正的原始密码。这样就可以到其他网站撞库了。

    正因为密码泄漏的太多了,而且有的泄漏后果很严重,所以密码方案才不得不一直升级。现在网站基本上都弃用 http ,改成 https ,不都是类似原因嘛。

    至于怎么确保密码、文件不丢,建议认真理解理解什么是同步、备份、增量备份
    duke807
        54
    duke807  
       2023-11-08 08:55:49 +08:00
    其实最好的解决方案是不用密码

    各大网站要登录的时候,发送验证邮件到用户邮箱,用户点击确认连接即可登入,譬如登录一次可以一周或半个月有效

    用户要做的是保护好邮箱登录这一个密码即可

    为何大厂不这么做呢?因为它们蠢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5757 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:01 · PVG 11:01 · LAX 19:01 · JFK 22:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.