～技术宅真可怕～ » 讨论
密码安全和管理实践

大奶刚被拆，凑合用手机写。说两句不算题外话的题外话，虽然信息安全这个话题很大，但我还是只想先把密码管理的部分择出来。我相信在座的各位都有更好的方案。实际操作中还有一个信任链的问题，希望你不要矫枉过正。

先说实际状况：常用密码用多组特定字符组合随机搭配，使用率较低的随机生成（以前是 openssl，现在用火狐和 keepass）。管理上用 keepass 配合 onedrive 同步多端，Android 是借助了火狐自己的账户同步。两步验证是 wp 上的 Microsoft Authenticator。

火狐没设主密码，原因一是只有有限几台自用设备装了火狐，二是我再找一个玩意儿管理火狐的主密码有点闲着蛋疼。（Fx 76 之后如果用户没有设置主密码，Fx 会使用 Windows 账户密码代替。）
现在 Chrome 和火狐复制密码的时候都不会把明文呈现给用户了，这一点挺好。
两步验证这种东西最好别图省事跟登录设备放在一起，记住留恢复密钥或者二维码。上次已经实践过找回 2fa 的教训了。2fa 扔备用机上的唯一缺点是出门后所有主要账户都登不了（因为我懒得收短信）。
手上的 vps 都用了加密的私钥登录，生产环境、虚拟机和 gayhub 好像是三套不同的私钥（
定期修改密码见仁见智，时常关注一下泄漏问题就好。

我觉得在整个实践中，最重要的是对账户分级，不同类别的账户使用不同级别的密码策略（比如对于 msa / ga 这种设备账号，在好记且复杂度较高的密码之外需要绑定 2fa，而金融类最好抄纸上死记硬背，然后一把火烧了），一网打尽是难免的事，提前让自己损失降到最小总没错。

说到最后，建议身边带个小本，这玩意儿比什么密码管理软件都好用（亲身经历）。