讨论:为什么现在存个人文件/密码这么复杂?

2023-11-07 09:40:32 +08:00
 q534
前情提要:

被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( https://yangjunhui.monster/t/989278

我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( https://yangjunhui.monster/t/989309


现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。

个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。

个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((

欢迎大家随便聊聊
5013 次点击
所在节点    信息安全
54 条回复
q534
2023-11-07 15:03:32 +08:00
@totoro625
@timeance 之前 google auth 没有云时,遭遇过 2fa 全部丢失,但现在可以云了。寄希望于“用的人特别多应该靠谱”上
himawari8
2023-11-07 15:50:44 +08:00
我是纯文本模式保存密码,不想受限于各个专有 app 专有格式。用 evernote ,一个笔记保存一个网站的的所有信息,比如 ID ,密码,邮箱,手机号,密码问题,2fa ,卡号之类的....密码和手机号保存为部分带"*"的助记符
xiamy1314
2023-11-07 15:56:18 +08:00
直接存 vaultwarden ,定期导出保存下密码不就好了。 不过周围没多少人用密码软件,很多都是短信登录就可以,换手机登录之类的还要验证码,安全性还是有保障的。
ltkun
2023-11-07 15:59:50 +08:00
作为一个程序员还没有自建数据中心的觉悟 是一个不合格的程序员
vcn8yjOogEL
2023-11-07 16:04:10 +08:00
KeePass 直接存本地文件里,简单粗暴安全好用
只要多端同步逻辑就必然复杂,故障率也必然会飙升,但一密码管理器本来也用不上多端 diff ,何苦呢
Greendays
2023-11-07 16:14:10 +08:00
@ltkun 数据中心爆炸了怎么办?多地备份?容灾?上云?人人都是运维的时代到来了!
manasheep
2023-11-07 16:22:21 +08:00
@freewarcraft 为啥频繁改呢,我的绝大多数密码都没改过
f165af34d4830eeb
2023-11-07 16:31:12 +08:00
其实本站站长已经建议过了,2fa 的 qr code 可以复制保存一份。

所以我除了 authenticator 的云备份外,本地也会加密打包保存一份 qr code ,作为云备份不可用时的灾备恢复手段,简单但靠谱。
f165af34d4830eeb
2023-11-07 16:32:00 +08:00
@f165af34d4830eeb #48 添加 V2EX 2fa 时大家应该都能看到站长的建议
crab
2023-11-07 16:33:42 +08:00
@manasheep 以后会用 passkey 了吧
ytmsdy
2023-11-07 20:12:47 +08:00
谷歌的 2FA 好像是有云同步的,如果没云同步,2FA 丢失感觉就是灾难。
要被折腾死的感觉。
kkk9
2023-11-08 02:20:15 +08:00
@sayitagain #27 阿里人防 sql 的日常 阿里人防 xss 的日常 😂
H0H
2023-11-08 08:14:24 +08:00
这种就不应该是 V 友提的问题。你网上搜搜,被脱裤的大厂还少吗?不少大厂的用户密码就是明文存储的,或者是简单的加盐,最终都可以计算出真正的原始密码。这样就可以到其他网站撞库了。

正因为密码泄漏的太多了,而且有的泄漏后果很严重,所以密码方案才不得不一直升级。现在网站基本上都弃用 http ,改成 https ,不都是类似原因嘛。

至于怎么确保密码、文件不丢,建议认真理解理解什么是同步、备份、增量备份
duke807
2023-11-08 08:55:49 +08:00
其实最好的解决方案是不用密码

各大网站要登录的时候,发送验证邮件到用户邮箱,用户点击确认连接即可登入,譬如登录一次可以一周或半个月有效

用户要做的是保护好邮箱登录这一个密码即可

为何大厂不这么做呢?因为它们蠢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/989358

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX