什么是好的密码存储策略？

Question

这个世界已经发展到了我们大多数人都有错误的记忆和几十个密码要记住的地步。解决这个问题的好办法是什么？

我对多个答案感兴趣，并对答案的顺序进行排序，如人类记忆、密码簿或密码密钥链。这些解决方案中的每一种似乎都存在用户便利性或安全性问题。有什么建议吗？

Answer 1

1. 密码中的熵越大越好。使您的密码长和复杂，以避免黑客蛮力破坏您的帐户。
2. 不要在两个系统上使用相同的密码；如果一个系统被破坏，您在该系统上的密码可用于进入您在另一个系统上的帐户。

这两条规则意味着，如果您想要安全，您需要为您使用的每个系统设置一个不同的复杂密码。更糟糕的是，许多你有账户的系统会迫使你定期更改密码。

所有这些都意味着，除非你有一个照相记忆，你需要一些安全的地方，而不是你的大脑，来存储密码。

我建议使用密码管理器。他们使用加密来保护您的所有密码，您可以使用一个可记忆的主密码来访问这些密码，因为您只需要记住一个密码，而不需要记住几十个或数百个不同的更改的复杂密码。

第二个最好的选择是打印出所有的密码在纸上，并将它存储在一个安全的地方，像你的钱包。对您的系统帐户的真正威胁是有人侵入您的计算机或系统/服务器您有一个帐户，而不是一个劫匪跑回家后，你的钱包和你的帐户。即使你担心钱包丢失，你也可以回家，抓起备份打印的密码列表，然后在别人进入你的账户之前迅速更改你的所有密码。

我建议您使用一种方法来提高任何密码存储方法的安全性，就是存储一个可以修改任何字母数字字符串以形成实际密码的秘密过程。

例如，我可能会记住一个过程，上面写着“大写最后一个字母，追加3，然后移动第一个字母到末尾”。然后，如果我将Gmail密码作为'googlepassword‘存储在钱包中，我登录Gmail时使用的实际密码将是'ooglepassworD3g’。您将对所有存储的密码应用相同的秘密存储过程。这允许您的密码非常复杂，因为您不再需要记住密码，您只需要记住所使用的秘密修改过程。

如果以后需要更改密码，请创建一个新的未修改密码，打印出来或存储它，应用您的方法，然后在该系统上使用修改后的密码。

使用此技术，即使您将未经修改的“密码”存储在不安全的位置(例如在文本文件中或丢失给抢劫犯的钱包中)，您的真正密码仍然是安全的。

最后，我相信密码在某一时刻会作为一种远程身份验证方法消失。我非常希望SQRL或其他形式的远程身份验证将使密码过时。