密码管理器 vs 密码规则？如何选择

<del>可能这算是月经贴吧</del>

目前我使用的依然是密码规则（重要的、支持两步认证的网站都开启了两步认证），在考虑要不要使用密码管理器（依然不会关闭已开启的两步认证）。但有点儿犯难。

密码规则：某个固定的口令+网站的名称，通过一种只有自己知道的、容易操作的变换方式得到密码密码管理器：例如 1password，keepass，bitwarden 等密码管理软件

我使用密码规则的原因：

重要的账号有两步认证把关（也导致可以很长时间不改密码），而且密码规则也是相对复杂的一种。不重要的网站就随便了。
密码规则比较容易记住。长期使用了之后基本上不会忘记。（丢失风险小）（密码管理软件的主密码泄露或者数据库丢失损坏就很惨了）

打算切换密码管理器的原因：

更改密码方便：因为不需要考虑新密码和原有的密码规则。（包括某些时候需要用改一个临时密码，把账号给别人操作一下，如 steam 代购）
可以用更高熵的密码，复杂密码也能“一键”输入，提高使用体验。
大多数密码管理器还能记录一些别的信息，比如密保问题。

但是还是有一些顾虑：

担心主密码泄露
担心密码数据库损坏
担心密码管理器的服务商被土啬了，同步体验极差

还有一些其他问题希望各位解答：

密保问题、两步验证的备用访问码等恢复密钥放到密码管理器里面？
硬盘加密（例如 Windows Bitlocker ）的恢复密钥要不要放到密码管理器里？
如果密码管理器提供了两步验证码的生成功能（类似于 Google Authenticator\Authy 等)，应该使用它的还是使用一个第三方的（目前用的是开源的 Tofu ）？

PinLock

2021-01-07 22:51:04 +08:00

论坛账户：论坛邮箱，随机密码，LastPass 扩展保存； 
游戏账户：游戏邮箱，规则密码，Enpass 只记规则； 
金融账户：一个账户一个邮箱，规则主密码，规则支付密码，Enpass 只记主密码，支付密码大脑记； 


总的来说，非常重要的但是无规则用纸记，非常重要有规则的用大脑记，比较重要的有规则的用 Enpass 记规则，一般重要用 Enpass 记随机密码，无所谓只考虑便利的用 LastPass 记。

totoro625

2021-01-08 09:52:21 +08:00

@inhd 32# Enpass+坚果云走的是 webdav，主要是方便同步，icloud 的话除非都是 Apple 全家桶，不然 Win10 下使用体验很蛋疼的
Apple 的 KeyChain 我曾经碰到过 bug，所用密码都恢复不了，也没有本地备份文件，客服让我抹掉数据重新来过
LassPass 的同步服务器一度拉胯，同步体验极差，久而久之就不用了
自建 bitwarden_rs 主要需要注意的是服务器别折腾炸了
1password 基本上每年感恩节送 10 个月，剩下两个月冻结账户 /或者付费就好了，官方同步服务也很好用，就一直用下来了

同样做了账户分级：

个人 /小公司账户 /不常用的小号：随机密码，因为安全性无保障，做好信息泄露的心理准备
阿里巴巴 /腾讯 /Apple/Google/Microsoft/密码管理器主账户：超长规则密码，因为可能要频繁输入，有两步验证能保护
锁屏 /金融级别账户：6 位数字，用的多个前女友 /前基友生日组合规则，既能牢记生日，又能减少信息相关性

最后点名批评腾讯 qqWin10 版本不支持密码填充，腾讯微信不支持密码登录