你说的文件作为密码（或者说种子），KeePass 很早就支持用文件(Key File)了。

你如果是说文件、MD5 、base64/md5/sha256/自己的加密方案都属于生成主密码的前置步骤，那你加入的前置步骤越多，遗忘的概率越大。

“加密的方案只有自己知道”，从学院的角度来讲这会降低安全性，从现实的角度来讲，军用加密算法是非公开的、魔改的。但要实现类似后者的效果，你得有较深的密码学背景，不然就是前者描述的那类人。

所以 op 的实际问题是“如何保存密码管理器的主密码”吗？如果是的话建议加一条附注，不然这个讨论就有点偏了（（

我个人的做法分两方面（先套盾，这套做法我也不确定安全性高不高）：
1. 主密码是意义明确的密码短语（方便记忆和输入），我的做法是使用身边常用的单词+特殊字符。编完之后可以用 zxcvbn （ https://github.com/dropbox/zxcvbn ）这个项目测测密码强度
2. 再从 https://passwordbits.com/emergency-sheet.html 打印几份表格，用于物理记录主密码、2fa 恢复码等等。一份放在家里键盘底下，一份放保险箱。

op 的这个方法我用过，最大的问题是，各个网站对密码的要求不一样，比如有的要求有特殊符号，有的又要求不能有特殊符号

你这感觉复杂了

密钥更应该得到保护，而不是密码算法

经典自作聪明，随便一个市场上流行的密码管理器加密方法都比你这个更容易记住但又千百倍的安全

名字大小写加生日加一个符号，20 年了……

这个不就跟 有些签发 jwt 的算法一样嘛

用 hmac 用户信息+salt 得到

有时候记一个算法比记住一个非常长的密码有关。

肯定是防字典攻击的，但是用其他攻击方式，这样算法算出来的会不会弱于 prng 所产生的呢？有没有学密码的说说？

自用肯定够了，直接长度拉到 32 位。记住算法，直接 google 的网站就能算密码

这个文件=固定的随机数而已，主要需要保证这个文件不能被改动，比如软件升级、系统重装等。

为啥非要记住嘞，保证存储和读取安全的话，就行了