最近看到有产品竟然做物理的冷钱包
结合比特币早期有很多人忘了钱包密码导致无法取出
是否有一种算法 OR 架构模式
能让密码除了自己外无人知晓
而且自己解锁这个密码的方式要极为的简单🤔
PS:个人感觉现在的指纹,人脸以及虹膜都是有问题的,数据都存在各大厂的数据库里,是中心化的~
1
lisxour 248 天前 1
无密码认证,参考实物:Yubikey
|
2
7lQM1uTy635LOmbu 248 天前 via iPhone
安全物理密钥:yubikey
|
3
cmdOptionKana 248 天前
不想数据存在别人数据库里,就只能自己搞个 vps 之类的,要么麻烦一点手动复制。
便利和安全必然冲突,这是物理定律,就像永动机一样,定律限制无法实现。 |
4
tool2d 248 天前
弄一个 Time based one-time password 算法,自己稍微改改,就挺安全的。
|
5
wodexinhaoleng 248 天前
没看懂想表达什么
中心化的产品,密码一定存在别人的数据库里,你的账号密码本来就是别人公司的财产。别人不保存你的密码没法给你提供服务。 去中心化架构,记在脑子里最安全 |
6
wheat0r 248 天前 4
我认为,人是中心化的,通过拷打你可以获得一切密码的访问权,还可以抢走你的 YubiKey ,未来甚至可以通过人机接口实现。
不考虑近身肉搏的攻击方式,自建密码管理器,结合 yubikey 认证可能是比较好的办法。 |
7
deepbytes 248 天前 via iPhone
最近给主要的邮箱都上了 yubikey 的 FIDO2 无密码认证,私钥无法取出,安全级别目前看已经是民用场景比较好的了。配合 yubikey 的 ssh 登陆认证,vps 的 ssh 安全也提高了一个等级。
|
8
shortawn 248 天前 1
没有 100%安全,只能在安全和方便之间做取舍。
|
9
Tumblr 248 天前
首先, “简单”和“安全”是两个相悖的概念,你只能在其中找到适合你的平衡点;
其次, 不存在“100%安全”。 再次, 生物识别基本上都是本地的,比如指纹识别、面容识别等,换句话说,你在 A 手机上设置了指纹,是不能在 B 手机上用这个指纹的。 |
10
GeekGao 248 天前
那是因为 OP 不了解现代的密码学和个人验证的实践方式。比如可以尝试去了解其他楼层提到 FIDO2 协议
|
11
infun 248 天前
随机密码 然后找回
|
12
llllllllllllllii 248 天前
写纸上
|
13
lxdlam 248 天前 2
|
14
BadFox 248 天前
绝对的安全不存在,而越高的安全越会带来更高的成本。
|
15
rickiey 248 天前
如果是钱包私钥的话我们可以提供一种方式,私钥的生成需要随机数,如果把这个随机数换成自己的密码(编码或 hash ),那个就不用记录私钥,只需记录密码,每次按照同样的方式生成,结果还是同样的私钥,缺点就是如果被人猜到可以同样方式生成。用来批量管理钱包可以的
|
17
pikko 248 天前 1
我觉得物理是不安全的,可能因为我身份证就丢过三次的原因。
|
18
monkeyk 248 天前
安全永远是相对的,找到适合的方式就好
|
19
since2021 248 天前
lesspass 试试,哪需要记住什么密码~
|
20
since2021 248 天前
是 lesspass ,不是 lastpass
|
21
InDom 248 天前
对数据使用 RSA 高位数加密,将 RSA 私钥使用高强度密码加密,准备一个物理的密码本,以某种方式从密码本中映射出一段足够高强度的密码,将加密后的数据,RSA 私钥分开储存在不同的地方,将密码本保存好,记住你的密码映射方式。
不要经常使用,最后你会发现,映射方式早就忘记是啥了。 |
22
Rickkkkkkk 248 天前
想象一个场景
你现在有个急事需要用密码 但是一时半会找不到了 解决办法是? |
23
SoyaDokio 248 天前
给出主意的诸位提个小小的建议:便捷性和可行性应优先考量。
|
24
wy315700 248 天前
安全和方便是跷跷板的两端。。
安全了就不会方便。 方便了就不会安全。 |
26
blackmirror 248 天前
建立自己的记忆宫殿,所有密码全部脑中留
|
27
Hancock 248 天前
Passkey WebAuthn
|
28
Levox 248 天前
就是不用密码,自己成为权力的中心
|
29
veni2023 248 天前
|
30
zzzmh 248 天前
买一本记事本,一支钢笔,一瓶墨水,和一个保险箱。前者锁进保险箱。
那么问题来了,保险箱的密码怎么办?只能建议用指纹解锁的保险箱 |
31
barbery 248 天前
aes 加密
|
32
Aixtuz 248 天前
没有 100%的,记脑子里还有说梦话的呢...
考虑安全和便利,在可接受的范围作出自己能接受的选择就行了。 |
33
hokori 248 天前
保险柜+笔记本
|
34
FengMubai 248 天前
设置一个复杂的主密码, 背下来. 为了防止遗忘, 写在一张纸上, 存到银行保险柜里
|
35
n2l 248 天前
脑子是个好东西
|
36
sn0wdr1am 248 天前
古人云:雕刻在干燥山洞的岩壁上。
|
37
jurassic2long 248 天前
100%安全的话记在脑子里,且别说梦话
|
38
paradoxs 248 天前
重要的东西开二步验证就行了
大部分的网站没那么重要 |
39
LeslieLeung 248 天前 1
有个猫因素认证(Cat Factor Authentication)可以看一下: https://ruby.social/@christine/111767112757646400
|
40
Mxinx 248 天前
个人使用的方式是
在脑海里记一组基础密码 然后笔记里添加各个密码的关键 key , 登录密码就是基础密码+关键的 key |
41
qxdo1234 248 天前
密码是为了保障你在某个系统中的数据和信息安全,比较好的方式是上 生物认证,就不需要密码了,
现在这么多密码,只是因为没有统一的认证中心,每个 app 或网站他只有授权和用户特征,说白了 还是 app 或网站 都想要你的个人信息, 理想情况下,如果大家都不需要信息的话,统一接入一个完整的身份认证厂商,这个厂商使用 生物特征当作解锁密码,再提供给其他 app 带授权时效的登录 token ,以及用户唯一 id 和用户的特征,这样才能保证密码不泄露,因为这个过程中,只有这个最大的认证中心才持有你唯一一个密码,只要这个最大的认证中心 不被攻破 你的密码就是绝对安全,并且可以保障你的信息安全,不被乱泄露出来,但这种机构, 不一定能产生。 |
42
chenyu923132714 248 天前 via Android
bitwarden 自建服务器
|
43
eber 248 天前 via Android
没有 100%的安全。就算记脑子里,面对剁手剁脚的威胁你会交出来不?😂
|
44
chenyu923132714 248 天前 via Android
@chenyu923132714 更进一步就存的密码还需要加一个 lesspass 的密码 字符串拼接后使用
|
46
littlewing 248 天前
对于 yubikey 这类的硬件,我有 2 个问题
1. 平常得一直带着,万一哪天忘了或是丢了怎么办? 2. 如果被公安或其他抓了,直接拿走你的 yubikey 是不是比拷打你问你密码更简单 |
48
x2ve 248 天前 via iPhone
安全够用就行 不绝对
|
49
a1558 248 天前
添加 Google 安全验证器
|
50
8863824 248 天前
@littlewing 是的,用硬件钱包和家里摆保险柜一样愚蠢
|
51
woctordho 248 天前
回复楼上各位:物理拷打不是没办法对付,对付物理拷打的方法是“可否认加密”
|
52
wuhao 248 天前
1password
|
53
samling 248 天前
搞一台恩尼格玛密码机放家里
|
54
yanyao233 248 天前 via Android
自建密码管理器,搭配 yubikey 使用
|
55
zeroDev 248 天前
后面中心化的论证是错的, 参考 https://developer.android.com/privacy-and-security/keystore
|
56
churchmice 248 天前 via Android
@InDom 没有研究表明非对称算法比对称算法更安全,密钥不是越长他就越安全
|
57
ivvei 248 天前
生物信息(人脸除外)不是本地的吗,哪有存放在别人的数据库里?
|
58
Centt 248 天前
我是 txt 文档放进 VeraCrypt 里
|
59
bianhui 247 天前
没有事情可以会说能 100%做到吧,儿子都不一定
|
61
thinkm 247 天前
写纸上塞菊花里
|
62
INTOX8O 247 天前
记脑袋里
|
63
crocoBaby 247 天前
每用一次改一次,无敌
|
64
fanyingmao 247 天前
把密码记录在 m 个字条上,m 可能会遗失些,但保证有剩余大等于 n 的字条存留,就可以组合出密码。
|
65
fanyingmao 247 天前
@fanyingmao 好像这叫 Shamir 秘密共享算法。
|
66
some2 247 天前 via Android
有没有那种除非自己愿意,即使被施以暴力情况也无法给出密码的,高概率稳定密码?
|