密码管理器的无奈。

FF自带的密码管理器用的很好，但是安全性太低了 。
直接可以在设置里看到明文密码，而设置主密码又很麻烦。开一次FF就要从新输入一次，而且输入后也可以直接查询明文密码。
太不安全了。

　　以前没注意这个，呵呵，以为只要清空cookies即可，哪知道还记有密码，后来一看，才知道还有这个奥秒。。。

badboy2003：拿起自己的鼠标看看底部，找串看起来感觉碍眼的就可以当密码了。电脑上的零件有很多可以用的密码回到原帖

如果你换了那个硬件，你自己又不记得了，那你麻烦大了去了。





恩，好主意。那么你的email是什么呢？[/quote]
这个嘛？

ckone：哈哈 用我的email做密码强度23回到原帖

恩，好主意。那么你的email是什么呢？

xincentre：这个其实不准
1234567890强度比wHi'2r高，我打死不信回到原帖

在我这里是1234567890强度没wHi'2r高

哈哈 用我的email做密码强度23

我的密码分几类。
一般需要看一下信息的不经常去的网站密码一般都是987654321。这样简单的密码
重要账户的密码都是8位以上大小写字母+数字+特殊字符的密码
一般论坛的密码都是字母+数字组成的。

拿起自己的鼠标看看底部，找串看起来感觉碍眼的就可以当密码了。电脑上的零件有很多可以用的密码

FF里面那个检测7位密码就可以达到最高强度，换一下大小写
00aA??0

20？！！你太强了，我上10就很满足了

随便生成了一个，这个密码强度26，可是我估计永远也记不住：

3jd<2:1$7)o\uh9@s)q,

关于安全性：它记录你的密码没有用啊，它不知道你是谁（也就是知道密码不知道用户名）的说。实在怕不安全改一位密码去测试就得了。

呵呵，那套密码是我自己研究的，拥有只有我自己明白的记忆规则，但因为输入麻烦，我只在像邮箱一类重要的地方使用。    其它像论坛密码，我都用一些按那个网站标准属于垃圾密码。    

安全性：可能对我是没有直接危害，但当黑客用暴力算法进行登录攻击时，通常他们会使用一个叫Dictionary的数据库进行匹配。 如果有人将在这里测试的密码存下来，用以丰富他们的库内容或是研究，还是有间接危害的。

20？！！你太强了，我上10就很满足了

随便生成了一个，这个密码强度26，可是我估计永远也记不住：

3jd<2:1$7)o\uh9@s)q,

A 0 strength password presents no significant challenge to brute force methods. A password with a 1 strength rating may be broken by brute force if the cracker is moderately determined. These descriptions are intentionally vague. The strength ratings are intended solely as relative strength ratings and the decision where to draw the line between 0 and 1 is arbitrary. From 1 and higher, the dividing line for each increase represents a ten times greater resistance to brute force attacks than the preceding. There are no fractional ratings so there is no 1.99 or 2.01. A 3 is more than 10 times stronger than a 1 and less than 1000 times stronger; on average a 3 should be about 100 times stronger than a 1. This arbitrary scale seems appropriate as the number of CPU cycles necessary to crack a password with brute force jumps significantly with each additional character and each additional character type.

关于安全性：它记录你的密码没有用啊，它不知道你是谁（也就是知道密码不知道用户名）的说。实在怕不安全改一位密码去测试就得了。

不错的网站，我测试了一下，我的一个密码强度可以达到20，不知道20是个什么概念。

另外这个网站本身安全嘛？

我只是想知道楼主觉得FF的密码管理器应该怎样才安全并且依然可以称作“密码管理器”？

要安全，无非是在任何情况下都不能以明文显示保存过了的密码，全交给Firefox帮你填，可以一旦有朝一日想不起来了或者要在别的程序里使用密码的话，那就麻烦了！

我认为FF的主密码设定作得很好，能明文查看密码也是有条件的，即使你启动程序的时候输入了主密码。在选项中想明文查看密码的时候还需要再次输入一次，这就防止了别人在你打开FF并离开工作台时偷偷查看你的密码。

话说回来，在省事和安全之间永远是不会有两全之道的，想密码安全就自己记忆，因为只要你的密码在网页上以*号的形式被FF预填进去了，用下面这个Bookmarklet一样直接可以读出来：

javascript:(function(){var s,F,j,f,i; s = %22%22; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == %22password%22) s += f[i].value + %22\n%22; } } if (s) alert(%22Passwords in forms on this page:\n\n%22 + s); else alert(%22There are no passwords in forms on this page.%22);})();

另外关于密码强度，大家可以去这个网站测试，我就是见到了这个网站才知道什么是真正的密码质量评估，普通的密码，它连强度都不给你评估，首先就告诉你这个密码的设定中有错误：
http://geodsoft.com/cgi-bin/pwcheck.pl

skin：在密码管理器里面要看到明文密码要再次输入主密码，只要主密码安全就可以了。有时候密码太多连自己都忘记，这样可以查一下也是挺方便的。

不过我也有担心的安全问题：
1、密码保存是否是加密保存？如果别人拿到了我的硬盘，有没有方法可以看到 firefox 保存的密码或设置的主密码
2、主密码的输入框与网页上 javascrip 生成的输入框没有明显区别，会不会有网站通过模仿主密码输入框而盗取了主密码？回到原帖

前一条请放心，开发者不会这么笨的
后一条没意思，收集这个有啥用

在密码管理器里面要看到明文密码要再次输入主密码，只要主密码安全就可以了。有时候密码太多连自己都忘记，这样可以查一下也是挺方便的。

不过我也有担心的安全问题：
1、密码保存是否是加密保存？如果别人拿到了我的硬盘，有没有方法可以看到 firefox 保存的密码或设置的主密码
2、主密码的输入框与网页上 javascrip 生成的输入框没有明显区别，会不会有网站通过模仿主密码输入框而盗取了主密码？