一次解决 5 个痛点, 我搭建了一套免费且科学的密码管理方案

Matrix 精选

Matrix 是少数派的写作社区，我们主张分享真实的产品体验，有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章，展示来自用户的最真实的体验和观点。

文章代表作者个人观点，少数派仅对标题和排版略作修改。

今天想要谈谈的是一套我在用的密码管理方案，我认为还是比较安全又易用的。

回想一下，大多数人的密码管理策略可能有如下几个：

纯大脑记忆所有的密码：无疑这样的解决方案十分痛苦，这种情况很常见于不常使用互联网服务的父辈或祖父辈；

几乎使用一套密码来注册所有网站：基本上遇到密码泄露事件，撞库攻击，危险性是最高的；

分重要等级用几套密码来注册所有网站：也是我上一种使用策略，虽然减轻的第二种情况的危险性，但还是有一定的危险；

使用记忆因子，实时大脑计算出正确密码：我陪朋友去 ATM 取款的时候，在他旁边陪了 10 多分钟，才算好密码取出现金🙂；

使用流行的密码管理工具，如 1Password、LastPass、Keychain 等：要么太贵，要么平台限制，还不拥有密码的存储权。

本文要解决的就是现有的这些痛点。在 2019 年的今天，我还是很推荐你尝试一下这套密码管理策略的。

密码安全 便携

首先要解决的第一个痛点是密码安全的问题。我找的解决方案是 花密，引用一下官方的宣传语：

不一样的密码管理工具：可记忆、非存储、更安全跨平台应用支持：桌面版、移动版，随处方便使用无需存储密码：计算获得最终密码，没有存储过程，更安全。

它的工作原理大概是这样子的：输入一个「记忆密码 + 区分代号」，然后经过一个特定的 Hash 算法，获得一个「最终密码」。这个 Hash 算法主体是由多个 MD5 算法混淆而来，重复概率极其低，而且具有不可逆推导的特性。由于不同的网站使用不同的密码，因此安全性大大提高。

但是，花密本身还有一定的缺陷。首先，它的网页版工具没有做移动端适配，而我并不想在每个平台多装一个软件来实现这个小的功能。其次，它的密码输出位数强制为 16 位，仅包含英文字母和数字，很多时候会超出网站的密码位数限制，而且评估的密码强度只能达到中等。

因此，我决定自己写一个小工具来改进这些问题。受到花密的启发，我实现的工具名为 觅密，并且开源在 Github 中，在此再次感谢花密的 idea。

该工具的整体思路如下：

第一部分，基本上是复刻花密的思路，在此就不再复述了；

第二部分，我加入了特殊字符进行混淆，基本上评估的密码强度能够达到强级别；

第三部分，我将密码长度默认 10，暂时没遇到密码长度限制不包含 10 的网站；

第四部分，考虑到部分网站的密码内容限制，我增加了选项去除特殊字符的加入。一键复制密码也有实现，但是由于精简体积和不同的浏览器特性不一样，并没有加入弹窗功能提示复制成功，知道有复制功能就行了。

因此该工具拥有如下的特性：

完全开源

移动端适配

高强度密码

更友好的密码长度

这个只是一个小网页，依托 Github Page 运行，采用纯本地端计算，不涉及与服务器的交互，因此密码安全有保证，且开源。网页链接：https://wsine./seekpassword/。

P.S. 如果你也会编程的话，完全可以 fork 一份后修改来定制自己的安全策略。普通用户直接使用这个网页也完全没有问题。

这里顺便提醒一下，「记忆密码」和「区分代码」并不一定要恒定。记忆密码还是很推荐使用等级策略来记忆，简单分 2-3 级我觉得就足够了，毕竟安全性已经大大提高了，也就是说你仅需要记忆 2-3 个短密码即可。区分代码其实可以根据自己对网站的第一反应来记忆，比如昵称、别称、域名、拼音缩写等等，按照自己的喜欢即可。

这个网页其实也解决了一个便携性的痛点。不知道各位有没有这样的痛苦，当你临时来到一个新的机器想要登录一个账号，但是由于是复杂的强密码完全无法记忆，所以你得要么得重新安装密码管理软件同步过来，或者用手机查看密码后手动输入，这种体验本身都不友好。由于觅密它本身只是一个网页，保存为浏览器书签即可快速使用查看，或直接在新电脑打开网页输入一下就得到最终密码了。

然后创建你喜欢的路径，并将刚刚得到的两份文件上传到坚果云中，文件路径和文件名都可以自定义。

Web 客户端 Tusk

介绍链接：，支持 Chrome 和 Firefox，也是支持 WebDAV 的，非常棒(๑-̀ㅂ-́)و✧，不过我自己没有需求没用过就不截图了。

iOS 客户端 FantasyPass

好了，接下来就到这篇的其中一个重点了！我尝试过官方推荐下载列表中的多个 iOS 平台的客户端，并没有一个是支持 WebDAV 协议的，这意味着我将不能跟远端的数据库双向同步。但是，在 2019 年我很幸运地在 V2EX 上面发现了一款新应用 ，首先也是引用一下它的官方简介：

一个功能强大、便捷的 KeePass 的 iOS 客户端。简介的 UI 和流畅的动画，支持多密码文件、自动填充、附件添加和查看、JS 自定义功能、常用通知栏插件和自定义键盘。让一切尽可能的奇幻！

这款应用应该也是在 2019 年才上线的，而我也算是它的早期用户了，加入了官方的 QQ 群讨论。开发者是利用自己的业余时间独立开发的这款应用，也很积极听取用户的各种反馈。由于是业余时间独立开发，因此各种东西包括官网也还在建设中，所以介绍会略显不足。

但是没关系，我来总结一下现有的一些优秀的功能：

精美的 UI 设计，对刘海屏和 2018 版 iPad Pro 均有适配，常见网站的图标支持

多种云平台同步，包括但不限于 WebDAV、iCloud、OneDrive、Dropbox、Google Drive

支持 iOS 12 的 AutoFill 功能

支持 FaceID 和 TouchID

支持附件的预览

支持备份通讯录

上述的每一个功能，我认为都是优胜于官方下载页面推荐的 iOS 客户端 miniKeePass 的。作为日常稳定使用的 app，是完全没有问题的。使用上只要明白了上面的 5 个参数，那么这个 app 的使用也不会遇到什么问题就不再赘述了。

<div '="">

目前在 App Store 中的售价为一次性买断制 12 元，我认为这个 app 还是非常值得的。

密码容灾

但是，仅仅只是做了上面的这些步骤还是不够的，还得考虑上面的这些服务同时挂掉的情况。

容灾的方案其实很简单，就是将你的重要的网站和你的常用邮箱和手机号码绑定就好了，该用双因子验证的就用，必要的时候他们就是你的最后一道防线。

后记

以上，就是我目前使用的密码管理方案了，免费，易用又安全。美中不足的可能在于生成密码这一步没有办法完美集成在别人开发的软件中，但是 FantasyPass 有计划实现 JS Extension，目前对我自己的使用来说也很知足了。

都 2019 年了，何不找个时间试试更新一下自己的密码管理策略呢？