最重要的是，您需要数十个这样的长随机密码，因此您需要像 lastpass 或 keepass 这样的密码管理器。

我只是觉得有点可怕，我不知道自己的密码（密码管理器的密码除外）。

嗯，这是一个权衡。作为获得强复杂密码的交换，您放弃了对每个密码的了解，并且您引入了危害您的密码管理器的攻击者可以访问您所有密码的危险。

在现实世界中，另一种选择——人们要么选择他们可以记住的弱密码，要么为每个系统选择相同的密码，或者为每个系统使用一个弱密码——是一种更糟糕的情况。

您不必喜欢正确的解决方案。有时，正确的解决方案只是两害相权取其轻。（坦率地说，一个好的密码管理器几乎没有什么坏处。）

没有其他解决办法吗？或者也许是一种让这变得不那么令人生畏的方法。

是的 - 另一个解决方案是将 OTP 与联邦结合使用。像 Google Authenticator 这样的东西，你有一个提供轮换密码的软件令牌，并且用于验证这些密码的“密钥”由一个实体拥有，该实体允许多个系统利用它进行身份验证，而无需让每个系统都访问该密钥钥匙*。

第三种选择也有优点和缺点。如果不知道您的实际密码让您感到困扰，那么依赖设备为您提供只能使用 60 秒的密码可能会更困扰您。对于许多用例，系统的安全性优于其他两个。但是，适用性（例如，您要使用的系统可能支持也可能不支持）更差。

*与 RSA SecurID 令牌相反，在每个 RSA 安装中都需要安装作为“密钥”的种子文件，因此您的种子要么在多个实体之间共享，要么您拥有多个令牌。

我想合乎逻辑的事情是将密码管理器视为一种工具，就像汽车或洗衣机一样。我知道我的汽车是如何工作的背后的理论——有一个发动机，它吸收燃料和空气，并产生旋转运动，从而驱动车轮。然而，我不知道细节——它有某种电子燃油喷射，可以让它在每次冲程时调整发动机中的燃油量，这似乎是一种魔法。不过，这并不重要，因为我知道我的汽车的关键功能，即从 A 到 B。我可以使用它从 A 到 B，而无需担心详细的“如何” .

在密码的情况下，我知道我的少数。我可以登录我的密码管理器，并使用长而记忆的密码进入其他一些关键位置——基本上，我希望能够在没有密码管理器的情况下引导访问我的帐户。举个例子，我不知道我的 Paypal 密码是什么。不是最起雾的。它只是一长串字符。然而，就像汽车上的电子燃油喷射一样，这并不重要——我可以很高兴地继续我想做的事情（登录到 Paypal），而无需知道如何做的细节。

但好处是，任何攻击该帐户的人都需要在不知情的情况下解决问题。他们是否知道我最喜欢的运动队、电视节目或书籍并不重要。他们是否碰巧知道我的另一个密码也没关系（也许他们运行我使用的其他服务） - 没有发现模式。

现在，如果他们设法闯入我的密码保险箱，是的，他们可以访问所有内容。但是，我为它启用了 2FA，所以他们首先需要访问我的令牌生成器。如果有新的登录，它会提醒我。我的电子邮件提供商提醒我注意异常的登录行为。在他们进入后不久，我得到很多迹象表明出现问题。我还列出了我需要更改密码的所有地方 - 密码管理器本身。我不必担心忘记一个站点。

如果您不喜欢密码云服务的想法，这是可以理解的，您可以自己备份数据库文件，并记住数据库密码，或者将其保存在定期更新的驱动器上并存储在保险箱中。您甚至可以打印出密码并将其保存在保险箱中——在大多数现代情况下，受到攻击的主要方法不是有人坐在您的电脑前，而是有人坐在他们的电脑前，在世界的另一端。他们不太可能进入您的保险箱！（显然，如果你说的是民族国家的攻击者，你的预防措施可能会有所不同，但在这种情况下，你还有其他事情要担心。）

这是一种不同的思考方式： 密码只是为了方便而存在。 实际上，我需要输入密码的唯一原因是因为我不想费心经历“恢复密码”工作流程，这通常需要更多步骤（例如，更多的身份验证信息和可能的带外身份验证，例如一次性密码发送到我的手机）。

输入密码与通过密码恢复工作流程一样不方便时会出现问题。这方面的一个例子是当我有很多密码我不记得它们时。因此，为了让事情变得更容易，密码工具会非常有帮助。

不要害怕丢失密码数据库，因为几乎所有系统都允许您以不同的方式登录并重置密码。

最后，它与密码的熵和强度有关，即无法预测您的密码是什么以及您的密码可能有多少选项。创建大量熵的最佳方法就是创建一个没人能记住的长密码。

我来自“密码管理器很酷”，我建议使用一个。如果您害怕出现单点故障：大多数密码管理器允许您设置在忘记密码时恢复数据的方法。您可以设置一个密钥文件而不是密码，或者您可以设置任何一个，这样您就可以随时检索您的数据。

您还可以将您的恢复信息保存在安全的地方，例如真正的保险库，如果这对您来说不那么令人生畏的话。我们过去常常将用于全盘加密的恢复 CD 保存到一个物理的大型保管库中。