账户安全还是得靠password manager + two-factor authentication (2fa)

amx · 2024 年9 月 9 日 21:23

看到隔壁账户被盗贴，想跟大家分享一下使用password manager + 2fa来保障账户安全

什么是password manager？

保障账户安全的一条重要原则是在不同网站要使用不同的密码。这是因为如果你在一个网站的用户名/手机号/密码泄露了，黑客会在其他网站尝试相同的组合，如果你银行的密码用的是一样的，或者是一些简单的变形，那直接就挂了，这也是最普遍的账户被盗的原因。

但是没人能记住那么多密码，而且你自己设的密码经常会太短或者复杂度不够（否则你更记不住了）。password manager就是用来解决这个问题的。它能给你在不同网站生成并保存高强度的密码，然后你下次登录的时候自动填入。这样既能保证安全性，又基本不会造成太多的使用不便。

哪个password manager好？

password manager原来是lastpass, 1password, dashlane, bitwarden这几家用的人比较多。lastpass前几年出了密码泄露事件，处理的也不好，所以现在大家都不是很推荐他们。1password是付费里头界面做得最好的，应该现在用的人也是最多。bitwarden开源，个人使用免费，界面没有1password好，但粉丝也不少。还有一种选择就是用浏览器自带的，但是可能不同的设备上没办法通用，不是很推荐，但是也比不用好。

那2fa呢？

如果网站支持authenticator app，尽量使用authenticator（比如google的authenticator)。不支持的话就用短信。短信的问题在于电信运营商的反诈做得很差，常常有打电话去要求他们把sim绑到别的手机上只做简单验证（比如就问问姓名地址生日这些半公开信息）而轻松成功的案例。但是不管怎么样有2fa肯定比没有好，authenticator > sms >> no 2fa

现在很多银行只有短信验证，这个没办法。但是你的邮箱这种能用来重置密码的账号最好用authenticator app。

对我们普通人来说，password manager + 2fa是现在业界比较认可的安全推荐。没法保证绝对安全，但能保证你不成为easy target。被熊追的时候你不用跑得比熊快，把鞋带绑好，跑得比你边上的人快就行了。

NACardForum · 2024 年9 月 9 日 21:26

苹果的自带manager怎么样感觉蛮危险的任何一个device落入敌手就全盘交出了而且都是明文存储

Ever_Element · 2024 年9 月 9 日 21:27

苹果自带的pw manager应该也挺靠谱的，如果是苹果全家桶的话？

Thjklf · 2024 年9 月 9 日 21:28

所以你的设备需要设置好Face ID/Touch ID并配合强密码

Zhuning · 2024 年9 月 9 日 21:28

google password manager 如何呢？

klaxien · 2024 年9 月 9 日 21:28

苹果的passwords用的keychain这个是e2e的，加密没有问题，但是设备解锁的passcode一定要记住，如果忘了就完了，appleID和密码是无法解密keychain的

我知道这听起来很离谱但这真的差点发生在我身上，刚改完的passcode突然不记得了，差点无法解密。现在都是face id解锁新改个passcode隔几天不用真挺容易忘的。

Ever_Element · 2024 年9 月 9 日 21:29

google感觉不行啊，隔壁帖子被盗有人分享大概率就是把密码存chrome导致的泄露

amx · 2024 年9 月 9 日 21:30

苹果自带的不是很推荐，主要是因为跨设备不方便

至于落入敌手… 那就靠你的密码和全盘加密了，如果被人登录进去了，估计你有其他更重要的东西要担心

对于一般人来说被黑都是digital的被黑，真正设备被人肉接近的机会肯定小很多

xellous5b1 · 2024 年9 月 9 日 21:31

bitwarden管理苹果密码，苹果管理bitwarden密码？

superleggera_21 · 2024 年9 月 9 日 21:31

楼主觉得passkey安全吗？现在已经是1Password用户，很多网站直接有integration

Ray2021 · 2024 年9 月 9 日 21:33

强烈关注，准备升级所有的重要密码存储

weiweiwieweieiw2192 · 2024 年9 月 9 日 21:33

iphone 自帶 password manager 還自帶 2fa

safari + iphone 自動填寫這樣行嗎

amx · 2024 年9 月 9 日 21:33

还是专门的password manager好一些，像加密，共享，自动填入信用卡信息，银行信息这类，比系统自带的好用不少

misc · 2024 年9 月 9 日 21:33

推荐再上个email alias, hub email address永远不对外泄露，一个alias对准一个账户

时空空 · 2024 年9 月 9 日 21:34

1password的passkey有一点点。。违反初衷？
本来是锁定设备的，结果变成设备通用了。。

yqgs · 2024 年9 月 9 日 21:34

密码管理器推荐一下开源的keepassxc，有chrome/firefox插件，ios可以用一个叫keepassium的app，android没用过但看起来选择也不少，数据存在本地，支持使用密码/hardware key/key file中的一种或多种，唯一问题是需要解决不同设备的同步问题

olaf · 2024 年9 月 9 日 21:35

推 Bitwarden：開源、跨平台（desktop, mobile app, mobile browser）

waltonwing · 2024 年9 月 9 日 21:35

要不是沒一家銀行支援我早把主要MFA換成yubikey了

klaxien · 2024 年9 月 9 日 21:35

一般是推荐master password自己记住不要存，毕竟这是最后一道防线了

YoumuChan · 2024 年9 月 9 日 21:36

Chrome这种输密码的时候不需要解锁的都是明文存的密码吧（