为不同网站维护密码的标准做法是什么？

Question

我遇到过许多用户，他们为每个网站维护一个重复使用的密码，比如P@ssw0rd123。

这种方法的问题是，如果有人破坏了特定网站的保护，那么用户安全将是徒劳的。

许多网站仍然以未加密的格式在数据库中存储密码。假设我可以访问特定网站的数据库。然后，我可以盗取用户名和密码，只需想象一下，我可以为每个网站/门户/平台重复使用密码的用户所造成的破坏。

如何解决这个问题？对于不了解安全和其他技术知识的不同网站/门户，用户应该遵循什么算法来维护密码？

<#>This问题是针对没有任何安全知识的通用用户的，所以像密码卡、密码管理器或哈希工具这样的工具不会解决这个问题。

不如让密码像这样

domain_name + combination of unique keywords per website + unique special characters per website？

Answer 1

有不同的缓解建议，例如，PasswordCard或一些提示，如何使用站点名甚至散列工具来扩展您的密码。

但是，唯一的最佳实践是使用具有强大主密码的password管理器，并为每个站点生成随机密码。

Answer 2

正如@josef已经提到的，最好的解决方案是使用密码管理器并为每个帐户生成一个随机密码。

以下是有关使用例如KeePass的一些最佳实践：

1. 确保您选择了一个非常好的主密码。这一点至关重要，因为密码管理器的妥协会导致存储在密码管理器数据库中的every帐户受到损害！。这个密码不应该写下来，除非--取决于你的威胁模型--放在一个保险箱里的一张纸上(为了你的家人，以防你死亡等等)。
2. 在可行的情况下使用多因素认证。例如，KeePass支持Yubikey、密钥文件等。
3. 隔离密码管理器数据库。例如，有一个“高度安全”数据库(可能包含银行的详细信息等)和一个“中等安全”数据库(可能包含社交媒体登录等)。这也可以扩展为存储一个非常安全的，随机生成的高安全数据库的密码在您的中等安全数据库。
4. 备份和测试-恢复备份！如果数据库损坏，您将被锁在密码管理器数据库中的every帐户之外！
5. 不要将密码管理器的数据库锁得太久。像PowerSploit这样的脚本包含专门查找未锁定的KeePass文件的模块。
6. 保持您的系统安全，更新和清洁。受损的系统会导致密码数据库受损，导致存储在密码管理器数据库中的every帐户受到损害！