你有多相信密碼管理器?

万一银行火灾? 得雕刻在不锈钢版上

所以你看我上面的link,說要fireproof safes

万一海平面上升淹没低海拔地区,要放珠穆朗玛峰上

我之前就是手动加盐的,当然不是随机的盐,salt要么是网站名,要么是相关单词。

已经迁移到 password manager(autofill 太舒服啦),逐步换到随机密码。

我最近在尝试迁移到 Bitwarden,然后看到付费用户可以支持TOTP。上网搜索了一下,好像 best practice 是不要把鸡蛋放在同一个篮子。如果 Bitwarden 真被爆破,密码和TOTP都在上面的话,完全达不到TOTP本来设计二次验证效果。

分析下来,可能有3个爆破点:

  1. 平台网站被爆破。网站都被脱裤的话,跟密码肯定是没关系了。做的好的网站有加盐,原始密码不会暴露。做不好的网站直接存原密码就可能会牵连到其他平台。
  2. 密码管理器被爆破。没有2FA的就连夜改密码吧。开启独立2FA的应该可以阻挡住密码泄漏。
  3. 2FA被爆破或遗失。没有原始密码应该是登不上网站的。

另外,TOTP最好选择有云备份,可以导出seed的app/工具?有什么推荐吗?

keepassxc

Apple 生态的话 Bitwarden 有独立的 TOTP app,新出的

别家的有

不过两个都是公司做的,曾经有个独立开发者做的 Raivo,可惜被卖给垃圾软件公司了。

Android 开源一般用

1 个赞

目前只在用icloud password
有没有支持hotp的密码管理器啊

:pinching_hand:这么多

这个太经典了

1 个赞

我全平台用123456789,需要加字母就加abcd,主打毫无隐私,不是troll,认真的