这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到有产品竟然做物理的冷钱包
结合比特币早期有很多人忘了钱包密码导致无法取出
是否有一种算法 OR 架构模式
能让密码除了自己外无人知晓
而且自己解锁这个密码的方式要极为的简单🤔
PS:个人感觉现在的指纹,人脸以及虹膜都是有问题的,数据都存在各大厂的数据库里,是中心化的~
 |
1
lisxour 2024-03-20 11:55:39 +08:00  1
无密码认证,参考实物:Yubikey
|
 |
2
7lQM1uTy635LOmbu 2024-03-20 11:57:23 +08:00 via iPhone
安全物理密钥:yubikey
|
 |
3
cmdOptionKana 2024-03-20 12:00:44 +08:00
不想数据存在别人数据库里,就只能自己搞个 vps 之类的,要么麻烦一点手动复制。
便利和安全必然冲突,这是物理定律,就像永动机一样,定律限制无法实现。 |
 |
4
tool2d 2024-03-20 12:03:18 +08:00
弄一个 Time based one-time password 算法,自己稍微改改,就挺安全的。
|
 |
5
wodexinhaoleng 2024-03-20 12:14:00 +08:00
没看懂想表达什么
中心化的产品,密码一定存在别人的数据库里,你的账号密码本来就是别人公司的财产。别人不保存你的密码没法给你提供服务。 去中心化架构,记在脑子里最安全 |
 |
6
wheat0r 2024-03-20 12:42:40 +08:00 4
我认为,人是中心化的,通过拷打你可以获得一切密码的访问权,还可以抢走你的 YubiKey ,未来甚至可以通过人机接口实现。
不考虑近身肉搏的攻击方式,自建密码管理器,结合 yubikey 认证可能是比较好的办法。 |
 |
7
deepbytes 2024-03-20 12:43:43 +08:00 via iPhone
最近给主要的邮箱都上了 yubikey 的 FIDO2 无密码认证,私钥无法取出,安全级别目前看已经是民用场景比较好的了。配合 yubikey 的 ssh 登陆认证,vps 的 ssh 安全也提高了一个等级。
|
 |
8
shortawn 2024-03-20 13:03:30 +08:00 1
没有 100%安全,只能在安全和方便之间做取舍。
|
 |
9
Tumblr 2024-03-20 13:09:23 +08:00
首先, “简单”和“安全”是两个相悖的概念,你只能在其中找到适合你的平衡点;
其次, 不存在“100%安全”。 再次, 生物识别基本上都是本地的,比如指纹识别、面容识别等,换句话说,你在 A 手机上设置了指纹,是不能在 B 手机上用这个指纹的。 |
 |
10
R4rvZ6agNVWr56V0 2024-03-20 13:27:16 +08:00
那是因为 OP 不了解现代的密码学和个人验证的实践方式。比如可以尝试去了解其他楼层提到 FIDO2 协议
|
 |
11
infun 2024-03-20 13:27:28 +08:00
随机密码 然后找回
|
 |
12
llllllllllllllii 2024-03-20 13:34:29 +08:00
写纸上
|
 |
13
lxdlam 2024-03-20 13:37:29 +08:00 2
|
 |
14
BadFox 2024-03-20 13:45:56 +08:00
绝对的安全不存在,而越高的安全越会带来更高的成本。
|
 |
15
rickiey 2024-03-20 13:58:14 +08:00
如果是钱包私钥的话我们可以提供一种方式,私钥的生成需要随机数,如果把这个随机数换成自己的密码(编码或 hash ),那个就不用记录私钥,只需记录密码,每次按照同样的方式生成,结果还是同样的私钥,缺点就是如果被人猜到可以同样方式生成。用来批量管理钱包可以的
|
 |
17
pikko 2024-03-20 14:05:53 +08:00 1
我觉得物理是不安全的,可能因为我身份证就丢过三次的原因。
|
 |
18
monkeyk 2024-03-20 14:24:08 +08:00
安全永远是相对的,找到适合的方式就好
|
 |
19
since2021 2024-03-20 14:42:17 +08:00
lesspass 试试,哪需要记住什么密码~
|
|
20
since2021 2024-03-20 14:42:43 +08:00
是 lesspass ,不是 lastpass
|
 |
21
InDom 2024-03-20 14:43:01 +08:00
对数据使用 RSA 高位数加密,将 RSA 私钥使用高强度密码加密,准备一个物理的密码本,以某种方式从密码本中映射出一段足够高强度的密码,将加密后的数据,RSA 私钥分开储存在不同的地方,将密码本保存好,记住你的密码映射方式。
不要经常使用,最后你会发现,映射方式早就忘记是啥了。 |
 |
22
Rickkkkkkk 2024-03-20 14:43:48 +08:00
想象一个场景
你现在有个急事需要用密码 但是一时半会找不到了 解决办法是? |
 |
23
SoyaDokio 2024-03-20 14:50:30 +08:00
给出主意的诸位提个小小的建议:便捷性和可行性应优先考量。
|
 |
24
wy315700 2024-03-20 14:52:03 +08:00
安全和方便是跷跷板的两端。。
安全了就不会方便。 方便了就不会安全。 |
 |
25
evada 2024-03-20 15:03:08 +08:00
|
 |
26
blackmirror 2024-03-20 15:45:22 +08:00
建立自己的记忆宫殿,所有密码全部脑中留
|
 |
27
Hancock 2024-03-20 15:47:15 +08:00
Passkey WebAuthn
|
 |
28
Levox 2024-03-20 15:49:00 +08:00
就是不用密码,自己成为权力的中心
|
 |
29
veni2023 2024-03-20 15:59:15 +08:00
短信登录
 |
 |
30
zzzmh 2024-03-20 16:17:57 +08:00
买一本记事本,一支钢笔,一瓶墨水,和一个保险箱。前者锁进保险箱。
那么问题来了,保险箱的密码怎么办?只能建议用指纹解锁的保险箱 |
 |
31
barbery 2024-03-20 16:25:04 +08:00
aes 加密
|
 |
32
Aixtuz 2024-03-20 16:32:21 +08:00
没有 100%的,记脑子里还有说梦话的呢...
考虑安全和便利,在可接受的范围作出自己能接受的选择就行了。 |
 |
33
hokori 2024-03-20 16:40:35 +08:00
保险柜+笔记本
|
 |
34
FengMubai 2024-03-20 16:43:57 +08:00
设置一个复杂的主密码, 背下来. 为了防止遗忘, 写在一张纸上, 存到银行保险柜里
|
 |
35
n2l 2024-03-20 16:44:44 +08:00
脑子是个好东西
|
 |
36
sn0wdr1am 2024-03-20 16:49:27 +08:00
古人云:雕刻在干燥山洞的岩壁上。
|
 |
37
jurassic2long 2024-03-20 16:50:59 +08:00
100%安全的话记在脑子里,且别说梦话
|
 |
38
paradoxs 2024-03-20 16:52:51 +08:00
重要的东西开二步验证就行了
大部分的网站没那么重要 |
 |
39
LeslieLeung 2024-03-20 16:53:53 +08:00 1
有个猫因素认证(Cat Factor Authentication)可以看一下: https://ruby.social/@christine/111767112757646400
|
 |
40
Mxinx 2024-03-20 17:22:14 +08:00
个人使用的方式是
在脑海里记一组基础密码 然后笔记里添加各个密码的关键 key , 登录密码就是基础密码+关键的 key |
 |
41
qxdo1234 2024-03-20 18:47:23 +08:00
密码是为了保障你在某个系统中的数据和信息安全,比较好的方式是上 生物认证,就不需要密码了,
现在这么多密码,只是因为没有统一的认证中心,每个 app 或网站他只有授权和用户特征,说白了 还是 app 或网站 都想要你的个人信息, 理想情况下,如果大家都不需要信息的话,统一接入一个完整的身份认证厂商,这个厂商使用 生物特征当作解锁密码,再提供给其他 app 带授权时效的登录 token ,以及用户唯一 id 和用户的特征,这样才能保证密码不泄露,因为这个过程中,只有这个最大的认证中心才持有你唯一一个密码,只要这个最大的认证中心 不被攻破 你的密码就是绝对安全,并且可以保障你的信息安全,不被乱泄露出来,但这种机构, 不一定能产生。 |
 |
42
chenyu923132714 2024-03-20 18:59:20 +08:00 via Android
bitwarden 自建服务器
|
 |
43
eber 2024-03-20 19:00:19 +08:00 via Android
没有 100%的安全。就算记脑子里,面对剁手剁脚的威胁你会交出来不?😂
|
|
44
chenyu923132714 2024-03-20 19:00:40 +08:00 via Android
@chenyu923132714 更进一步就存的密码还需要加一个 lesspass 的密码 字符串拼接后使用
|
 |
46
littlewing 2024-03-20 19:25:47 +08:00
对于 yubikey 这类的硬件,我有 2 个问题
1. 平常得一直带着,万一哪天忘了或是丢了怎么办? 2. 如果被公安或其他抓了,直接拿走你的 yubikey 是不是比拷打你问你密码更简单 |
 |
47
Jf35jxN3fwBXyeLh 2024-03-20 20:40:08 +08:00
@since2021 没有办法生成指定的密码,比如有的股票账户,购物 app 的支付密码只能是 6 位数字
|
 |
48
x2ve 2024-03-20 20:50:01 +08:00 via iPhone
安全够用就行 不绝对
|
 |
49
a1558 2024-03-20 21:05:28 +08:00
添加 Google 安全验证器
|
 |
50
8863824 2024-03-20 21:12:56 +08:00
@littlewing 是的,用硬件钱包和家里摆保险柜一样愚蠢
|
 |
51
woctordho 2024-03-20 21:17:49 +08:00
回复楼上各位:物理拷打不是没办法对付,对付物理拷打的方法是“可否认加密”
|
 |
52
wuhao 2024-03-20 21:18:20 +08:00
1password
|
 |
53
samling 2024-03-20 21:29:05 +08:00
搞一台恩尼格玛密码机放家里
|
 |
54
yanyao233 2024-03-20 22:20:41 +08:00 via Android
自建密码管理器,搭配 yubikey 使用
|
 |
55
zeroDev 2024-03-20 23:17:40 +08:00
后面中心化的论证是错的, 参考 https://developer.android.com/privacy-and-security/keystore
|
 |
56
churchmice 2024-03-20 23:54:44 +08:00 via Android
@InDom 没有研究表明非对称算法比对称算法更安全,密钥不是越长他就越安全
|
 |
57
ivvei 2024-03-21 01:25:58 +08:00
生物信息(人脸除外)不是本地的吗,哪有存放在别人的数据库里?
|
 |
58
Centt 2024-03-21 02:23:07 +08:00
我是 txt 文档放进 VeraCrypt 里
|
 |
59
bianhui 2024-03-21 08:04:15 +08:00
没有事情可以会说能 100%做到吧,儿子都不一定
|
 |
61
thinkm 2024-03-21 08:51:08 +08:00
写纸上塞菊花里
|
 |
62
INTOX8O 2024-03-21 09:36:52 +08:00
记脑袋里
|
 |
63
crocoBaby 2024-03-21 10:18:52 +08:00
每用一次改一次,无敌
|
 |
64
fanyingmao 2024-03-21 10:55:37 +08:00
把密码记录在 m 个字条上,m 可能会遗失些,但保证有剩余大等于 n 的字条存留,就可以组合出密码。
|
|
65
fanyingmao 2024-03-21 10:59:26 +08:00
@fanyingmao 好像这叫 Shamir 秘密共享算法。
|
 |
66
some2 2024-03-21 18:53:11 +08:00 via Android
有没有那种除非自己愿意,即使被施以暴力情况也无法给出密码的,高概率稳定密码?
|
Select Language