V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
janssenkm
V2EX  ›  问与答

千万不能贪小便宜购买 1Password 家庭版,后果很严重

  •  
  •   janssenkm · 2019-02-19 22:51:23 +08:00 · 25670 次点击
    这是一个创建于 2105 天前的主题,其中的信息可能已经有所发展或是发生改变。

    做了一个测试测试测试,马某人家的 1Password 家庭版加入很便宜,就几十块,但管理员权限很足很足。一言不合直接把你的账号删掉没商量,将对方惹怒后,人家成功地删掉了我的 1Password 账号。不过本人人品好,马大叔先行退款了。没有任何损失。

    78 条回复    2021-09-12 15:57:48 +08:00
    mm163
        1
    mm163  
       2019-02-19 22:58:18 +08:00
    这东西也合租,真是心大。
    不开源都不敢用。
    namesc
        2
    namesc  
       2019-02-19 23:04:16 +08:00   ❤️ 1
    用不着,自己定个密码规则,将网站 /APP 产品首字母作为变量加入计算,就可以实现每个产品密码不同,但是又不会记不得。

    唯一麻烦的是有的网站密码不支持某些字符,个别时候可能需要试两次。
    just1
        3
    just1  
       2019-02-19 23:06:10 +08:00
    @namesc #2 那改名了不就很尴尬
    msg7086
        4
    msg7086  
       2019-02-20 03:03:18 +08:00   ❤️ 1
    @namesc 那你怎么每隔半年一年更换一次密码呢?

    @janssenkm 删掉还算好的,没把你密码都偷了。
    namesc
        5
    namesc  
       2019-02-20 03:58:03 +08:00
    @just1 很少改名的,几乎没有。
    @msg7086 改规则或者改常量。

    举个例子。

    电脑手机键盘都是同样的 QWERY 布局,每个字母在上面都有第几行第几个,我们可以把这个也加入变量,就得到首字母、坐标 XY 共 3 个变量,代入规则计算。

    比如规则是:(首字母大小写)(=)( X*Y,结果不足两位直接用 XY 两个数字)(如果前面个位数是奇数补一个 0,否则略过)(数字常量 1949 )

    已知 V2EX 首字母是 V,坐标是第 3 行第 4 个,得到密码就是 Vv=121949
    已知 QQ 首字母是 Q,坐标是第 1 行第 1 个,那么密码就是 Qq=1101949

    以此类推。

    刚开始会感觉算公式有点麻烦,过一段时间就习惯了,每次输入密码看下首字母坐标最多思考两三秒就知道密码了。定期修改密码时,如果怀疑密码泄露了就简单改下规则,如果觉得没泄露就改最后的常量。

    其实很多东西都支持二次验证了,不需要半年修改一次密码那么频繁。
    msg7086
        6
    msg7086  
       2019-02-20 06:21:16 +08:00   ❤️ 7
    @namesc 好吧。

    举个例子,我一般用的密码是类似这样的:

    (Du/A#5nUo7h48m8AWvU
    密码强度大概是 125 bit。

    你的 Vv=121949 密码强度大概是 36 bit。如果曾经泄露过另一个密码,被人猜出固定文本部分的话,就只有 v 1 2 是有效密码部分,只有 14 bit 甚至更低。如果 V 站数据库被人脱了,有人又正好要针对你进行攻击的话,暴力轮出你的密码连一秒钟都不用。

    另外你上面记的这个密码实在太容易猜了。一个能当场推算出来的密码,无非是
    - 数学计算
    - 词语联想
    - 固定文本
    的组合。如果真的有人有心去社工你的账号密码,只要从两个网站拿到样本(甚至是特意伪造两个羊毛让你撸一下),简单猜测一下就可以遍历出你所有网站的密码了。

    这样低复杂度的密码对你(或者一般人来说)可能足够了,但是对需要安全性的场合,例如公司生产服务器的管理后台,存着所有公司源代码的 Git 平台组织管理员账号等等,有一个强密码来配合 2FA 还是很重要的。(更何况有些管理后台连 2FA 都不太支持。对,说的就是你 VMware vCenter,每次只能靠着仅仅 20 位的密码苟且偷生。)

    而且现在都有现成的(而且是免费的)密码记忆方案可以用了。登录的时候只要让软件自己填密码就好了,何必再去记忆和推算公式呢。
    namesc
        7
    namesc  
       2019-02-20 06:56:23 +08:00
    @msg7086 你的假设不存在的,普通账号密码只要做到不小心泄露一个的时候不影响到其他账号就够了,其他担心都是多余的。

    首先,穷举是不可能的,现在哪有平台允许你穷举。我甚至不介意告诉你,根据我的 V 站密码规则 E 开头的密码是 Ee@16201805,你来暴力轮我的密码试试。

    至于说上钓鱼网站的钩,还上钩两次,要是小白到这程度人家也不用费劲专门做两个网站来钓你然后破解你密码了,想盗你哪个直接钓你哪个就好了。

    不过就算碰巧有两个小站被脱库,又碰巧这两个小站都是明文存储密码,我也不怕,因为我在大厂密码规则是一套,在小站密码规则是另一套,而且大厂都开了二次验证。所以你也可以放心轮我 V 站密码试试,不会波及我其他账号。

    关于生产服务器密码,这方面我很久没用过文本密码了,都是用 RSA 密钥。这方面还是按公司要求做,我说的仅仅是个人账号问题。
    namesc
        8
    namesc  
       2019-02-20 06:59:22 +08:00
    @msg7086 忘了回答最后一个问题,为什么不用密码记忆软件呢?因为我用公式可以全平台通用,看着 QWERTY 键盘就能立即打出来,不用装多一个软件插件,也不用担心保存的密码会不会泄露。
    loading
        9
    loading  
       2019-02-20 07:01:35 +08:00 via Android   ❤️ 8
    @msg7086 你永远叫不醒一个装睡的人。
    namesc
        10
    namesc  
       2019-02-20 07:05:57 +08:00
    @loading 你要是也觉得我的密码简单,你也可以来穷举试试嘛。

    说得难听点,你们杞人忧天而已。
    joyfun
        11
    joyfun  
       2019-02-20 07:24:57 +08:00 via Android
    bf3000z 找个古诗 白发三千丈
    my3000l mysql 哈哈
    URgoy
        12
    URgoy  
       2019-02-20 07:26:01 +08:00 via Android
    @msg7086 还能偷密码?
    wdv2ly
        13
    wdv2ly  
       2019-02-20 08:18:09 +08:00
    @namesc 巧了,我的密码方案跟你的很像,不过加入了会跟随时间变化的变量,以应对需要修改密码的时候。
    backkkomtom
        14
    backkkomtom  
       2019-02-20 08:22:11 +08:00 via iPhone
    楼主可以将密码同步到 Dropbox 上,应该即使删除账号,密码也不会丢的。
    relaxchen
        15
    relaxchen  
       2019-02-20 08:22:11 +08:00
    为什么不用 Keepass 呢,同步方案可以用 OneDrive 啊
    phpcxy
        16
    phpcxy  
       2019-02-20 08:39:46 +08:00   ❤️ 1
    说得好,我用 lastpass
    Robbi
        17
    Robbi  
       2019-02-20 08:41:35 +08:00 via Android   ❤️ 1
    说得好,我也用 lastpass
    namesc
        18
    namesc  
       2019-02-20 08:45:29 +08:00
    @wdv2ly 反正就这个套路,具体用什么变量自己决定。我刚开始不用坐标,用 26 个字母位置做乘法加法,后来感觉中间偏后的几个字母要数手指太麻烦了,改成一部分用键盘坐标一部分字母位置。然后根据厂商规模给产品分成一流二流,用不同规则,防止同一个字母冲突。反正我是有自信泄露一个密码之后对方通过一百几十次的尝试破解不出其他密码,有足够的失败次数让他放弃破解。
    xenme
        19
    xenme  
       2019-02-20 08:58:09 +08:00 via iPhone
    @namesc 你这种主要是没有一种通用方案的,和几个常用密码并没有特别大区别。

    很多六位数银行卡等密码,你肯定是独立的
    有些不支持特殊字符,有些只能数字,每个网站要求都不同,你得设计一套
    有些限制密码长度,你的规则长度过长过短都不合适,肯定得记不同规则,而且登陆的时候一般不验证,你怎么记得住长度和规则

    最后发现还好那么几个固定密码,又或者不重要的都忘记了。

    之前也这么想过,即使现在用了密码管理软件,很多网站还得调整密码生成规则。所以,个人认为还是软件来记忆更可靠安全
    msg7086
        20
    msg7086  
       2019-02-20 08:59:16 +08:00
    @namesc 如果脱裤,一秒钟就可以尝试几十万次哈希,不太明白一百几十次就放弃是什么情况。
    不过我也不多说了,各人有各人的想法吧。
    jadec0der
        21
    jadec0der  
       2019-02-20 09:02:00 +08:00
    到底为什么不用 lastpass 呢?
    namesc
        22
    namesc  
       2019-02-20 09:06:47 +08:00
    @msg7086 脱库被撞出来了那就是“泄露一个密码”啊,我说的是“泄露一个密码”之后对方通过一百几十次的尝试破解不出其他密码”。

    像我上面已经告诉你我 E 字母密码是 Ee@16201805 了,你不用脱也不用撞了,那你试一百几十次看能不能试出我 V 站的 V 字母密码,我有自信你会在成功之前就放弃。
    namesc
        23
    namesc  
       2019-02-20 09:11:02 +08:00
    @xenme 六位数数字密码当然是独立的,就算你用记忆软件也是独立啊。其他的文本密码长度都支持十二三位,还没遇到过不支持的,自己注意别太长就行了。确实存在个别网站不支持特殊符号的情况,比如 12306 就不支持,这就是我说有时候密码需要试两次的时候,不过这种情况是特别罕见的。
    essethon
        24
    essethon  
       2019-02-20 09:18:04 +08:00   ❤️ 1
    @namesc #2 我觉得我用密码管理器的重点倒不仅在于「各网站密码不同 /防止社工 /撞库 /遗忘」这类需求上,而是密码管理器可以记录除了密码本身之外的好多信息,是一个私人互联网帐号信息库。
    比如我有好几个手机号,有移动联通,还有海外的,以及 GV,不同的互联网帐号我可能酌情绑定了不同的手机号;绑定邮箱同理。包括但不限于以上信息都可以记在密码管理器里。

    这样的好处是随时可以搜索,比如因某些原因我要放弃某个手机号或邮箱不用了,只要搜索一下,就可以清楚看到哪些帐号绑定了这个手机号 /邮箱,及时解绑;还可以实现很多其他的信息管理功能。对于帐号信息经常变动的我来说,密码管理器是很得力的助手。

    当然你也可以说用「密码规则 + Excel 」也能做到这些。
    至于我为什么选择 1Password 而不是 LastPass、KeePass 甚至直接加密一个 Excel 文件或者弄个数据库,这就是在界面、操作舒适度、同步便利性上的个人喜好了。相当于花钱买舒服而已。

    当然,随机密码、防止社工、撞库之类的,算是密码管理的基本功能,自然也给解决了。

    另外,我的密码库里有 500+ 条目,也不乏一些网站有好几个帐号的情况,我觉得让我都用密码规则我是根本 Hold 不住的。十几个几十个网站还行,但多到这个程度,哪天打开一个小网站,「我是否在这个网站注册过、当时用的哪个邮箱」这种问题,我根本想不起来。
    msg7086
        25
    msg7086  
       2019-02-20 09:19:23 +08:00
    @namesc 我说的的泄露一个密码是真的泄露了一个密码而不是脱裤。
    脱裤在密码熵够大的情况下是撞不出来的。
    (你说脱裤被撞密码就已经是一个弱点了。)

    我说的是当你已经有一个明文密码的情况下,再拿到一个脱裤出来的哈希以后就可以跑穷举了。
    只要你有固定的规则,天生就会造成密码低熵,只要熵够低就能穷举出来。

    换句话说,你告诉我 Ee 密码,再告诉我你 V 站密码的 SHA256 哈希,我就可以试出来你的密码。
    反过来我可以把我 V 站密码的 SHA256 哈希给你,而你永远不知道我原始密码是啥。
    说杞人忧天倒是不至于,外面满地都是脱裤撞库,天都塌下来几千万次了,你还觉得是杞人忧天,我也没办法啦。
    但是 2 楼这样把这种不安全的想法推荐给别人,给别人的密码安全带来隐患,不太好吧。
    ggmood
        26
    ggmood  
       2019-02-20 09:21:38 +08:00
    Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass
    msg7086
        27
    msg7086  
       2019-02-20 09:21:44 +08:00
    嗯,上面说的多账户也是一个因素。比如我 Google 账号前后有十几个,有些 VPS 厂商的账号,有自己用的有给客户注册的还有朋友的,要我不用密码管理器而用脑子记,怕不是几天就忘光了。
    namesc
        28
    namesc  
       2019-02-20 09:25:29 +08:00
    @essethon 账号很多的话是很有必要使用账号管理了,一些小号是没必要去记得,我的小号也是存起来的。

    我前面说的只针对密码管理。
    gamelyking
        29
    gamelyking  
       2019-02-20 09:29:07 +08:00 via Android
    @msg7086 想问一下你这个 125bit 的密码是怎么生成的啊
    essethon
        30
    essethon  
       2019-02-20 09:29:16 +08:00
    关于本帖主题,1Password 家庭版订阅的安全问题,我目前的认识(不一定对):

    - 1Password 有本地备份,比如 macOS 版的在 ~/Library/Group Containers/...blahblah 里面,被动删除帐号的话,这个应该不会丢吧?
    - 家庭版管理员可以对某个成员帐号发起 Recovery (当然按照楼主所说,还可以直接删帐号),但是发起 Recovery 的话是那个成员自己的邮箱会收到 1Password 的邮件,由他自己来操作获取新 Secret Key 和 Master Password。

    所以我的理解是,正常情况下,机制应该不允许家庭版管理员看到成员的私人密码库内容吧?
    但删号删订阅之类的风险还是有,所以还是最好熟人合租
    Mosugar
        31
    Mosugar  
       2019-02-20 09:37:14 +08:00
    Enpass+1
    msg7086
        32
    msg7086  
       2019-02-20 09:38:05 +08:00
    @gamelyking 我是用的 KeepAss 的密码生成器生成的。LastPass 也有生成器,都挺方便的。
    namesc
        33
    namesc  
       2019-02-20 09:41:21 +08:00
    @msg7086 大家要求不一样吧。我是所有大厂产品都开了二次验证,不怕万一密码泄露。而对于小厂产品,我是认为我只要防泄露一个之后不让他猜到其他的就够了,我不觉得会有职业安全员来破解我这些账号密码。

    可能我比较有安全感,没有你们那么在乎所有账号的安全。
    qsnow6
        34
    qsnow6  
       2019-02-20 09:43:56 +08:00
    心算密码生成器就算了,实在不行就算了,有价格考虑的话,ENPASS 买断,实在不行就 lastpass
    nathanw
        35
    nathanw  
       2019-02-20 09:49:46 +08:00 via iPhone
    1p 其实不需要账户,本地 wifi 同步即可,没必要同步到云端
    passerbytiny
        36
    passerbytiny  
       2019-02-20 10:09:20 +08:00
    正常情况下,家庭版是给家庭用的,楼主这种行为相当于花钱认干爹。既然认了干爹,为什么不老老实实听干爹的话。这种认干爹的行为,是要比盗版更扰乱市场的行为。
    zhenhao
        37
    zhenhao  
       2019-02-20 10:10:05 +08:00 via Android
    谢谢提醒
    Greenm
        38
    Greenm  
       2019-02-20 11:00:41 +08:00
    楼主主要是没认识到家庭版中,家长的权力是比较大,能够随意删除其他人的权限和账户,这本来就符合家庭版的定义。当然看密码是不可能的。所以选择加入家庭版时一定要慎重,选择能够信任的人。
    zzxop
        39
    zzxop  
       2019-02-20 11:15:46 +08:00
    lastpass 有那么不堪吗?
    loveour
        40
    loveour  
       2019-02-20 11:21:00 +08:00
    其实没必要太敏感,脱库的密码泄露都会一次性很多密码,撞库也都是批量进行的,极大概率不会有人有闲心来单独破解某个人的密码的,我们做到密码本身和规律不要太简单,不要多个网站同密码就好了。什么样的规律密码更安全可以讨论,但是什么样的安全程度足够,其实每个人认知还真不一样。我是 CSDN 那次之后自己写的密码生成器,但是现在很多密码也就直接用 Chrome 生成的了。
    tyhunter
        41
    tyhunter  
       2019-02-20 11:27:33 +08:00
    Lastpass 解君愁,免费版能多设备同步
    longsays
        42
    longsays  
       2019-02-20 12:54:27 +08:00 via Android
    @gamelyking 密码器有生成器,可以设置规则后生成器自己随机
    yuhr123
        43
    yuhr123  
       2019-02-20 13:26:28 +08:00 via iPhone
    Keepassxc
    boa2005
        44
    boa2005  
       2019-02-20 13:49:55 +08:00
    一直用 lastpass,并且开启了 lastpass 的二次认证登录
    asdqaz
        45
    asdqaz  
       2019-02-20 13:54:35 +08:00 via Android
    @wdv2ly
    你好,能详细讲一下怎么以时间为变量吗
    谢谢!
    silentstorm
        46
    silentstorm  
       2019-02-20 14:02:25 +08:00
    KeePass 多好用啊,密码管理这种需求反正我是不放心和别人共享。最好是本地管理,密码给商家都不放心何况给一个不认识的陌生人。
    nullllllllllllll
        47
    nullllllllllllll  
       2019-02-20 14:21:23 +08:00
    一直无法理解为什么要去上车团购订阅,1Password 一月 28 而已,况且还是个密码管理的软件,上车之前是不是应该确定自己是不是真的无所谓,而不是事后来抱怨自己明明在事情发生之前就已经猜到可能发生的事情.
    lastpass
        48
    lastpass  
       2019-02-20 14:22:24 +08:00 via Android
    →_→看我 ID 名行事。
    itisthecon
        49
    itisthecon  
       2019-02-20 15:17:14 +08:00
    免费版的 lastpass 感觉足够用了
    loli
        50
    loli  
       2019-02-20 15:37:18 +08:00 via Android
    enpass 推荐一手,买断制,自定义同步源,支持自动输入二次验证码。(顺便我个人觉得二次验证和密码放在一起有违二次验证的本意。但是二次验证是个更窄的针对点基本没啥好软件干脆合一算了。)
    wdv2ly
        51
    wdv2ly  
       2019-02-20 19:23:47 +08:00
    @asdqaz 比如加入年份 /你的年龄等等会随时间变化的变量,就可以不破坏规则定期更新密码了
    melkor
        52
    melkor  
       2019-02-20 19:52:24 +08:00 via Android
    @namesc 如果密码规则是加密的话,仍然有一个主密钥
    yangsimonguo
        53
    yangsimonguo  
       2019-02-20 20:07:32 +08:00   ❤️ 1
    信息安全没学好,不知道#6 中 @msg7086 的密码的熵是怎么算出来的,所以刚刚去查了资料。
    后面有相同疑问的朋友可以看下[这篇博客]( https://www.pleacher.com/mp/mlessons/algebra/entropy.html)

    以及博客中提到的[这个可以直接算 entropy 的密码强度检测]( http://rumkin.com/tools/password/passchk.php)

    根据上面的链接,@msg7086 的示例密码强度应该是 107 bit,@namesc 的 Vv=121949 密码强度是 34.1 bit
    sanryone
        54
    sanryone  
       2019-02-20 21:59:45 +08:00 via Android
    1password dropbox
    Laynooor
        55
    Laynooor  
       2019-02-20 22:00:38 +08:00 via Android
    1p 我用的是个人订阅,之前想开家庭车,但是找人太麻烦了。
    parametrix
        56
    parametrix  
       2019-02-20 22:45:04 +08:00
    还是建议要用密码管理器,这不光是密码强度,还有安全习惯的问题。不一定要付费,lastpass 也挺好的。

    如果一定要按规则生成的话,也建议不要自己简单的拼接,推荐现成工具: https://lesspass.com/
    iwcode
        57
    iwcode  
       2019-02-21 00:31:00 +08:00 via Android
    @Laynooor 我在开车了,要加入吗,还有两个位置,哈哈
    Antidictator
        58
    Antidictator  
       2019-02-21 01:26:46 +08:00 via iPhone
    @msg7086 我的密码是一眼就能看出规则,只能防止整个库去撞库,不能防止有心人😂
    Junn
        59
    Junn  
       2019-02-21 04:20:34 +08:00 via iPhone
    @namesc 这样势必导致要记很多规则,改密码就得改规则,时间长了,怎么知道哪个站用的哪个规则呢?
    ialva
        60
    ialva  
       2019-02-21 07:39:32 +08:00 via Android
    @Mosugar 同步没有什么问题吗?
    yksoft1ex
        61
    yksoft1ex  
       2019-02-21 08:27:41 +08:00
    “家庭版”有什么不同?管理者能够直接管理所属用户保存的密码吗
    venster
        62
    venster  
       2019-02-21 09:04:54 +08:00 via Android
    自从 last pass 移动版免费后,我不知道普通用户有任何理由有 1password 的理由了。原来还是 last pass 付费用户的,移动版一免费也不付费了。
    zhttty
        63
    zhttty  
       2019-02-21 09:33:12 +08:00
    开源的 keepass 不用吗?
    Mosugar
        64
    Mosugar  
       2019-02-21 11:06:38 +08:00
    @ialva 没有呀 我是同步在 onedrive 的。PC MAC IOS 安卓都可以同步 我都在用
    janssenkm
        65
    janssenkm  
    OP
       2019-02-21 16:40:37 +08:00
    @namesc 有个软件叫花蜜,名字很邪恶,但做法和你想的一模一样。不过话说回来,这个人家网站改密码改公司名称后就惨了。
    janssenkm
        66
    janssenkm  
    OP
       2019-02-21 16:44:42 +08:00
    @jadec0der 用啊,用了十几年了。危险的还是国内的各个网站和系统,随时脱裤子没商量的。现在对比了一下 1Password,发现 LastPass 的识别率的确不如 1Password,而且 1Password 有我喜欢的自定义字段,文字内容支持 Markdown,完全可以自己排版得很精美!
    而且它集成了 2 步验证码自动填写了,注意是自动! Windows 下 Chrome 可以完全自动实现,MacOS 下 Safari 里需要手动实现,MacOS 下 Chrome 可以自动实现,Android 可以半自动,给你放在剪贴板里,iOS 没具体试过。
    janssenkm
        67
    janssenkm  
    OP
       2019-02-21 16:46:03 +08:00
    @Mosugar 本地文件同步网盘同步的要注意备份,有冲突会毁灭文件,特别是几个设备一起用的时候。
    janssenkm
        68
    janssenkm  
    OP
       2019-02-21 16:47:58 +08:00
    @nullllllllllllll 嗯嗯,只是试试玩哦,放心,没损失,也没丢失密码,钱找回来了。现在官网充值优惠正用着呢。
    Mosugar
        69
    Mosugar  
       2019-02-21 17:45:50 +08:00
    @janssenkm 感谢 看来要注意一下 目前还没遇到
    janssenkm
        70
    janssenkm  
    OP
       2019-02-22 12:40:31 +08:00 via Android
    @namesc 你不值钱,所以没必要搞你,等你值钱了再搞……
    😁😁
    janssenkm
        71
    janssenkm  
    OP
       2019-02-22 12:41:20 +08:00 via Android
    @essethon 我的想法和你一样
    janssenkm
        72
    janssenkm  
    OP
       2019-02-22 12:42:50 +08:00 via Android
    @ggmood 本地同步的还有一款叫 SafeInCloud,操作上我觉得比 enpass 好使点
    janssenkm
        73
    janssenkm  
    OP
       2019-02-22 13:57:38 +08:00 via Android
    实际上我目的不纯,因为看着淘宝怎会那么便宜,就想看看有什么猫腻,于是乎去调戏淘宝店家了,说是去年感恩节优惠免费三年,才六十?

    我是新开的空账户,随便做了十几条假数据在里头,然后假装小白对店家各种问,最后也是各种检查,登录进去不仔细看还真没发现有什么差别。

    有点不一样的就是显示为感恩节免费试用一年,然后他说第二年系统自动续期,共三年。

    在我的各种查询和官网邮件闻讯后终于在一个邮件验证里发现这个帐号显示为 family 成员!于是我和店家好好掰扯了一下,然后就是我这边显示帐号已删除。


    如大家所说,结论是,密码管理软件管理的是我们的数字资产,相信这价值对自己而言几乎是无价了,不要贪图小便宜。

    只需用什么软件,我相信只要用一个靠谱的自己喜欢的就行,云端同步的就看对方的安全意识了。

    本地管理的鼻祖 KeePass,类似的还有 Enpass,SafeInCloud 等,支持云盘同步以及 WebDav 协议同步

    云端产品就多了,老大哥 LastPass 一直很好用,紧跟后面的新秀还有 1Password, Dashlane, PasswordBox, StickyPassword, PasswordBoss, Bitwarden, PasswordWrench, 老牌公司 RoboForm 也插入了一脚,以及各家杀毒软件的跟风制作“ [杀毒软件名称] Password Manager ”。

    国产的极密盾号称吊打上面那些软件,不过因为是国产,我就产生不安全的感觉,哪个大老爷们儿领导想看就看?所以看一眼就不用了。

    还有一类奇葩软件,叫花密,用原始密码加上网站标签分租后计算一个密码,定一个密码 12345,加上一个标签比如新浪,搜狐,类似哈希算法算出一个密码来。感觉有点不好使。


    用了十几年 lastpass, 总被他错误极高的识别率困扰,可毕竟免费,大多数识别也还不错,就一直用着了。最近又心血来潮捣腾了一下其他软件,总有这点那点的不满意。

    KeePass 用了一下,主流在 windows,苹果下都是第三方开发的爱好者产品来进行网盘同步,多的数不胜数,反而就担心这些软件的安全性了。没继续用。

    Enpass 和 SafeInCloud 是用网盘同步的,我特地自己用美国的一台服务器搭建了一个 WebDav,速度还不错,但我有个怪癖,搞事情几个设备多平台一起同步批量造出来的一万条带附件的数据,结果挂了,产生了一堆不一致,于是自己同步的心思就放弃。

    转战进入 Bitwarden,用了官方的同步没问题,批量一万条带附件也没问题,我还是喜欢搞事情,他不是开源嘛,从 git 下了包装在一台服务器上,用起来也不错,可正好那几天服务器被土耳其和俄罗斯还有盐城的几万个 ip 把它 DDos 了几天,服务器商家也没法抗 D,后面也死心了,不过 Bitwarden 代码我看了一下,真的很优雅!有兴趣可以自己学着写一个。这个我最喜欢。

    StackSocial 在卖 StickyPassword,PasswordBoss,PasswordWrench 的终身版会员,价格也就二三十美刀,我都买来尝试了一下,都很不错,不过缺点也明显,这几家开发都有点反人类,而且同步速度不快。

    StickyPassword 不喜欢哪套 UI,据介绍是日本人开发的,启用两步验证后每割十分钟解锁时又得在输入主密码后再次输入两步验证码,觉得有点反人类。放弃了。

    PasswordBoss,密码老板?带有豪,老板之类词语的比较反感,总觉得像是有国人参与,安全性不敢恭维,后来过了一年搜索了一下这家公司的爆破记录,还真有一堆安全漏洞被人家贴出来了,于是放弃。不过最近看了一下,这家公司的漏洞都修补完成了,还提供了多地多节点。

    PasswordWrench 是 stacksocial 上新出的,19.9 刀下手,这尼玛的 UI 不支持我的高分辨率(150%)Win10 啊,显示效果惨不忍睹。就像 360 一样。没开始就结束了。

    dashlane 以前试用过,很不错很好用,但这价格最近涨得太厉害了,里头还嵌套一个 v.p.n,尼玛我买来管理密码的,用这个干嘛。

    1Password 分两三年试用了几次,说真的,我对 lastpass 不满意的功能他都解决了,比如登录微软谷歌需要点三次下一步,而我是多帐号! lastpass 到下一步就得重新选择用哪项,这个不用,行云流水一气呵成!但它截取表单内容不如 lastpass,1p 是提交前截取,这样如果提交修改密码失败恰好你点了更新就悲催了(虽然还可以去翻历史密码),lastpass 就做得很好,提交成功后再弹窗提示更新,如果失败了就不点更新即可。林林总总这俩货都是又爱又恨,不过有一点我喜欢,1Password 客服回复很慢,但回答很专业,前几年我提交了一份邮件说了两个小建议,大约就是能不能在安全提示里(现在叫瞭望塔)专门列出已经开通了两步验证的登录项目,他们回复了一堆看不懂的评估建议,然后说这功能会慢慢加进去,结果过了几年真的出现这个功能了。还有一个就是问了问浏览器点开匹配密码项右上角能否可以将该项目置顶显示,尼玛现在只在 mac 版本上提供,windows 无缘这功能了。

    还有一家新创的公司产品叫 RememBear,他在人机互动上做得很好,开发试用版玩了一年多,最近正式提供收费套餐了,但毕竟初创,这东东还是等稳定了再考虑吧,说真的,智能化工作做得太好了,如果他是已经运营了五六年的话且安全性不错的话,我绝对会考虑他,不过目前存储功能有点单一,还不支持两步验证代码存储。


    其他还有一堆各大杀毒厂商跟风做的 Kaspasky PasswordManager, Avira Password Manager, Norton Password Manager, Macafee PasswordBox,懒的说了,真是跟风之作,仗着品牌效应,功能简单价格却不低,麦咖啡稍好一点点,貌似是从英特尔弄过来的。随便看了一下,没细看。



    林林总总用了一大堆,最后我个人还是喜欢 LastPass 和 1Password,有时间的话想学习一下 Bitwardon,
    至于本地同步的我想还是放弃了,尽管我也喜欢 Enpass 和 safeincloud,但出现高压下数据不一致情况下还真是有点怕的,最终选了 1Password,官网有充值卡优惠。


    文章写的有点乱,等有空了我好好写一篇出来。再见。
    janssenkm
        74
    janssenkm  
    OP
       2019-02-22 14:13:53 +08:00 via Android
    在线存储的安全性理论上是比较安全的,老大哥 lastpass 的做法是加密后上传,加密时用自己的主密码,到了服务器上就全是一堆二进制了,而且有一个比较好的选项是密钥轮数量的设置,默认好像是 10000,现在电脑性能好多了,完全可以设置为 100 万,官方说轮子数量不同加密结果完全不同,所以这一项也可以用作个人安全设置,而且这个数值在官方服务器上也是将存储的,换句话说,加密解密都在这里设备上进行。自己可以设置一个特别的数字,比如某个一百万左右的随机数 1836294。这样即使拿到了你的主密码也还缺这个密钥轮参数不行。

    这一点后面各大厂商基本都遵循这个原理来设计了。也许有偷懒的吧。

    简单检查自己用的密码管理软件在服务端是否做有效的加密可以这么干,注册一个帐号,批量加入一堆密码项目,多存点长文本和附件,怎么都得放上一百个。

    然后做一个大胆的操作,修改主密码,如果是加密后传到服务器的话,这个过程会持续一段时间的,数量越多越明显,如果是瞬间就结束了的话,那么对不起,GAME OVER.
    rainincloud
        75
    rainincloud  
       2019-06-18 21:19:53 +08:00 via iPhone
    @janssenkm 我也试用了很多家之后,发现还是 lastpass 最好用。但是唯一一点不满意的是 lastpass 的 ios 版无法搜索出备注里的内容。
    deecyn
        76
    deecyn  
       2020-08-19 12:02:00 +08:00
    楼主你好,这里管理员删除成员的账户:是指从家庭订阅服务中删除他的账户,还是彻底删除该账户及其已保存的密码等数据(即该成员不能登录该账户了)吗?
    janssenkm
        77
    janssenkm  
    OP
       2020-08-19 13:21:31 +08:00 via iPhone
    @deecyn 是,彻底删了
    bobchengbin
        78
    bobchengbin  
       2021-09-12 15:57:48 +08:00
    刚才贪了个小便宜买了,然后发现存在这个隐患,不过已经得到解决,所有数据的都不同步到云帐户,还是使用原来 iCloud 方式同步,保存新的也还是保存在老的文件里面,这样即使真有什么问题最多就是没有 Membership 而已。

    方法:

    设置 -> Vaults -> Always open to 这里选自己以前的
    设置 -> Vaults -> Vault for saving 同样选以前的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1091 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 18:28 · PVG 02:28 · LAX 10:28 · JFK 13:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.