开源的跨平台的密码管理工具支持(Windows, macOS, & Linux , iOS, android)

开源

iOS

Android

密码

58 条回复 • 2021-02-27 17:06:26 +08:00

1

xabc

2020-01-09 10:56:33 +08:00

1

哈哈简单问题复杂化，就是这么折腾

密码问题？其实自己记住 3 句话就行：

1. 我的密码,谁也别想知道啊 [ wdMm,sYbxzda1 ] （ A 级安全，微信，淘宝，腾讯，京东一类使用）
2. 我的密码,只有我知道 [ wdMm,zYwzd2 ]（ B 级安全，邮箱，苹果 icloud 等）
3. 这密码,丢了无所谓 [ zMm,dLwsw3 ]（ C 级安全，各大垃圾论坛，v2ex bbs 各种灌水场所等一次性玩的地方，默认认为会丢失）

三句话对应 3 个字符串,加上数字标点符号，三句话记不住吗？写在本子上可以吧，谁知道这是你密码？

再也不担心密码丢失了？

比如我之前有个密码是这样一句话：很久很久以前的那只小黄鼠,我很想你啊！
这种自己影响深刻的事情，几句话不会忘记，而且密码输入也非常简单

2

bubuyu

2020-01-09 10:59:04 +08:00

感觉 BitWarden 用的人不少了

3

moyunhai

2020-01-09 11:23:23 +08:00

@xabc 你每次输入大小写切换符号什么的不手忙脚乱马？就能保证一次性输入成功？
1Password 为什么收费这么改贵还有很多人买，不就是因为方便吗？
自动填充，跨平台同步。
人性是追求效率的（懒惰的）。

4

xabc

2020-01-09 11:32:47 +08:00 via iPhone

我能保证的是天然跨平台，一句话都输入的手忙脚乱的话，说明其定力不足，职业发展瓶颈有限 😄

5

november

2020-01-09 11:39:41 +08:00

小白问下，自建服务器被黑了怎么办？数据库丢了怎么办？。。。

6

ronman

2020-01-09 11:42:27 +08:00 via Android

@xabc 重复密码管你多复杂都安全性都一样，一撞库就完事（当然现在大网站一般都有两步验证）管理软件最爽就是一键自动填充，管他密码是啥，根本不用记

7

ronman

2020-01-09 11:43:24 +08:00 via Android

@november 数据文件是加密的，只要你主密码不丢，数据文件丢了也不怕啊。

8

iMusic

2020-01-09 11:47:33 +08:00

1

密码跟着域名走，比如 V2EX 密码 xxxxx@v2ex

9

lunatic5

2020-01-09 11:49:45 +08:00

之前用的 lastpass，但是现在取消中文了。用了一段时间的 1password，但是浏览器插件新增一个网站的时候居然是跳转到网页而不是直接通过插件的方式增加。最后换到了 bitwarden，除了 UI 简陋些，其它都好

10

mxT52CRuqR6o5

2020-01-09 11:51:57 +08:00 via Android

一直在用 lastpass，不知道和 1password 差别在哪里

11

CSGO

2020-01-09 11:53:08 +08:00

@mxT52CRuqR6o5 我也是，似乎就收费，和软件看上去好看一些好用一些的区别。

12

Buges

2020-01-09 11:59:13 +08:00 via Android

@november 服务器只是同步用的，E2EE 加密且每个客户端都有全套数据，随便删库脱裤都不会有任何损失。

13

november

2020-01-09 11:59:33 +08:00

@ronman
但是主密码也是存在数据库里面的吧。看不懂源码，不知道是怎么个验证方式。
现有知识就是，数据库丢了，就意味着，主密码和通过主密码加密的数据文件一起丢了。不是这个意思吗？

14

november

2020-01-09 12:13:03 +08:00

@Buges
虽然不懂是怎么一回事，也就是说，真的被黑服务器被脱库也没损失是吧？
这个开源软件其实很久前就见过了，想自己部署个。但是苦于对服务器安全不认识，怕被黑被泄漏了，就一直记在笔记本上（物理）。

先找时间搭建试用下，再慢慢了解下原理吧。暂时先放论坛帐号上去。

15

shutongxinq

2020-01-09 12:14:24 +08:00

@iMusic 别人知道了一个你的密码，其他的简单猜一下不就出来了？

16

promisenev

2020-01-09 12:24:08 +08:00

@lunatic5 我和你用的不是一个 1p? 我怎么不用跳?

17

zhucegeqiu

2020-01-09 12:27:07 +08:00

bitwarden 有 rust 版的 docker 可以自建服务器，我用了一年了，除了 ios 自动填充偶有失灵，其它基本不输 1p

18

renyapeng

2020-01-09 12:28:36 +08:00

用的 SafeInCloud，PC 端免费，移动端买断

19

xabc

2020-01-09 12:35:38 +08:00

@ronman 我信任阿里，腾讯的安全；如果阿里，腾讯的都泄漏了，密码管理器的密码一样保不住

20

xmumiffy

2020-01-09 12:50:07 +08:00 via Android

3

KeepAss 不好么🤣

21

xiaoz

2020-01-09 13:00:09 +08:00 via Android

推荐 bitwarden_rs，资源占用更小，还带高级版功能:
https://www.xiaoz.me/archives/14085

22

juanxincai

2020-01-09 13:03:19 +08:00 via Android

用了很久了，lastpass 用起来还是有点问题

23

chih758

2020-01-09 13:05:42 +08:00

和 keepass 比起来怎么样？

24

lunatic5

2020-01-09 13:10:22 +08:00

@promisenev 你是 mac 还是 win ？我在 win 系统的 chrome 浏览器上如果手动新增一个网站时会跳转到网页，而不是像 lastpass 或者 bitwarden 那样在插件里就可以添加了

25

ronman

2020-01-09 13:14:27 +08:00

@november 主密码在你脑子里，你可以简单搜索一下加密原理。反正丢了加密后的软件不存在安全风险（以现在的计算能力来说）

26

QUIOA

2020-01-09 13:23:41 +08:00 via Android

一直用这个

27

AaronLee

2020-01-09 13:25:08 +08:00 via Android

在用 docker 搭建 bitwarden_ rs

28

charlie21

2020-01-09 14:27:46 +08:00 via Android

这个世界上还缺一个秘密管理软件吗？

29

promisenev

2020-01-09 16:25:16 +08:00

@lunatic5 就是浏览器的插件啊,我 Mac 系统,但是插件都一样啊,和系统没关系

30

securityCoding

2020-01-09 16:30:31 +08:00

enpass 挺好用,印度人开发的

31

NeoChen

2020-01-09 21:33:55 +08:00 via iPhone

keepass 最好最香

32

ShadyK

2020-01-09 22:14:11 +08:00

@xabc 你是不是搞错了什么？

最大的风险不是密码不够复杂，而是密码重复使用被撞库
假设你一个 A 级安全的网站密码泄漏了，别有用心的人拿着你的邮箱和这个超级复杂的密码去各大网站试，一样分分钟被攻破

33

xingheng

2020-01-09 22:15:11 +08:00 via iPhone

很想知道你们试用一个新密码管理器的时候是怎么迁移数据的，很方便吗？新工具也有导入导出功能吗？

最重要的问题：怎么解决信任问题？不能每个平台都测试一遍网络流量出入吧？

请解惑。

34

vokins

2020-01-09 23:04:10 +08:00 via iPhone

我一个朋友的密码是 7+1=8deile，里面包含了数学，逻辑，符号，方言。

35

Tink

2020-01-09 23:24:57 +08:00 via iPhone

@xabc #4 你这有什么用啊，那么多网站还是相同的人密码啊

36

elfive

2020-01-10 08:15:10 +08:00 via iPhone

1.开源的，表示密码的编码保存算法全是透明的，意味着只要知道这个编码存储流程的人都能通过存储密码的文件逆向出你的密码。

2.为了解决问题 1，引入盐，加盐哈希，这就引入了另一个问题，我用一个密码保护一个密码或者一个密码（盐）保护所有密码，安全性反而降低。

所以，开源的密码管理工具，很难做到这两点。
只是为了输入密码方便点而已，安全性没什么本质的提升。

37

amwyyyy

2020-01-10 09:36:59 +08:00

@xabc 你的场景太简单，如果是私人使用，这样也没问题。但是还有很多密码是办公用的，比如 ldap 密码、公司 vpn 密码、堡垒机密码、阿里云控制台密码等，他们的规则各不相同，最重要的是还会过期，过期的间隔也不相同。即使我用了密码管理器，但是有时还要找管理员重置密码，因为有些核心堡垒机的密码是组合密码，其它密码更新会影响这个密码。

38

crazytudou

2020-01-10 09:46:35 +08:00

使用这类工具，安全性是一方面，另一方面是现在账户密码太多了，靠脑力记是很麻烦，就算物理记，随身带个本也很奇怪。
借贴额外请教下，之前腾迅云主机过期，想换境外的，布置一下 Bitwarden 试试，有什么好的推荐

39

Chingim

2020-01-10 10:18:39 +08:00

@xabc 造几个复杂的密码并不难, 记住几个复杂的密码也不难. 难得是不重复

40

Chingim

2020-01-10 10:21:28 +08:00

@xabc 就算是不重要的 c 级密码, 某个网站被脱裤了, 网站管理员安全起见, 强制用户改密码. 你是不是还要换一个密码?
这样你有两个或者多个 c 级的密码, 时间一久, 你还能记得住哪个密码对应哪个账号吗?

41

dangyuluo

2020-01-10 15:03:39 +08:00

@moyunhai 切换大小写不是按一个 Shift 就可以了的事情么。。

42

FS1P7dJz

2020-01-10 16:52:10 +08:00

1 楼是典型的自以为是小聪明...

43

ncepuzs

2020-01-10 20:44:59 +08:00

根据账号重要性对密码等级进行分级，以及基于域名（应用） + “盐”的密码组合规则，又不是什么创新之举，我都用过。

但凡尝试过类似密码管理工具，想象每个账户密码都是（在可能的情况下） 24 位字母大小写、数字、特殊字符的随机组合，各平台一键填充、TOTP 全开启，都不会自以为是地说别人折腾和简单问题复杂化。

44

ncepuzs

2020-01-10 20:56:14 +08:00

@promisenev
@lunatic5

你们应该是一个用的是浏览器扩展，一个用的是 1Password X，这两个不是一样的。直接在浏览器中新建密码项，后者确实会跳转到 Web Vault。

45

Liampor

2020-01-11 03:33:47 +08:00

我之前也一直用 Bitwarden。但是有一次在德国某平台推荐了这个，有人回复这个帖子
https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/
大概意思说有点安全问题，太专业看不太懂。文章用德语写的，你可以 Google 翻一下

46

fenxl

OP

2020-01-11 09:31:25 +08:00

@Liampor https://en.wikipedia.org/wiki/Bitwarden 看维基百科的历史部分，2018 年 3 被指出存在的风险，在 2018 年 7 月发布的 Bitwarden 2.0 Web Vault，删除了第三方分析脚本的引用

47

darmau

2020-01-11 18:37:29 +08:00 via iPhone

@xabc 你是以为我们记不住几个复杂密码吗

而我们要的是一号一密

48

moyunhai

2020-01-14 09:27:20 +08:00

@dangyuluo
没错啊！输入一个 16 位的大小写字母加字符的密码也就按三四次 shift （还要时常担心确实按下去了？毕竟密码输入框里面显示的都是*，你根本不知道你输入的到底是 A 还是 a , 是&还是 7 ）

49

moyunhai

2020-01-14 09:28:31 +08:00

@Liampor 开源的东西是免费的，免费的密码管理软件，是不会有人承担密码泄露给你造成的损失的。所以，程序员不会那么谨慎和细心。

50

dangyuluo

2020-01-14 12:03:00 +08:00

@moyunhai 你可能要练习一下键盘输入了，这么多年我从来没觉得输入大写是个问题。想想 CamelCase 变量命名法吧

51

moyunhai

2020-01-14 15:20:33 +08:00

@dangyuluo
1、手打十六位大小写字母和字符混合密码的过程是不是很爽？
2、每一次登录都输入不同的十六位字符是不是很爽？
3、每一次输入十六位密码按超人手速 5 秒理想计算，每天按最少 2 次输入密码频次计算，一个月就是 300 秒 5 分钟，一年就是 1 一小时。
4、少年，为啥要浪费时间精力在这种事情上面？一年浪费的一小时时间看个片撸一发不好吗？
5、对自己好一点，远离“手打输入复杂密码”这种事情。

52

dangyuluo

2020-01-15 02:12:21 +08:00

@moyunhai 我算了一下，我的 1Password 密码共 27 位，其中均匀包含大小写 /数字 /字符，在 1Password 密码测评中的安全指数是最高。另外形成肌肉记忆后，每次输入速度可能只有 3 秒。

至于我为什么要用这种密码呢？因为我觉得我其他的密码 /财产 /信用卡信息 /家人联系方式值得被保护，而且我的机械键盘用起来也很舒服。

当然你要觉得你自己的东西没有任何价值的话，那你就去用 123456 咯，没人会管你。

53

moyunhai

2020-01-15 11:23:59 +08:00

有视频有真相，你既然说自己可以在 3 秒内手动输入 27 位均匀包含大小写 /数字 /字符的密码，随手录个视频发上来好不好？
对了，少年，你知道 Touch ID 吗？
@dangyuluo

54

dangyuluo

2020-01-15 11:27:19 +08:00

@moyunhai 你是不是脑袋不太好使？你觉得我有一丁点可能录制自己的密码么？还是说你打下这句话的时候没有过脑子？

另外你知道很多人外接 Macbook 的时候喜欢扣上盖么？扣上盖你怎么 touch id ？

----

我突然意识到你是不是以为 1Password 只有手机上有？

55

moyunhai

2020-01-15 14:13:15 +08:00

@dangyuluo

!shHenouDTee&¥90ta

这个密码，你能在五秒之内打完，录个视频，我就不假定你吹牛！

这个争论最初的起因是你 DISS 我打字速度慢，并吹嘘自己 1Password 主密码是 27 位还 3 秒钟能够输入完成。

牛皮吹了，请证明自己的手速吧！

56

moyunhai

2020-01-15 14:14:49 +08:00

@dangyuluo

我是 1Password 好几年的老用户了，全平台使用。所以才对你坚持手动输入超长复杂密码的行为表示惊诧。

57

yxc

2020-01-23 10:58:02 +08:00

那些说手动输入密码的，自己编造密码记的，还很有自信的，真的挺搞笑的。

58

NoDocCat

2021-02-27 17:06:26 +08:00

@Liampor 文章翻了一下, 大概意思是浏览器插件版本, 有一些库是从第三方加载的, 如果第三方被攻击可以直接伪造文件来影响插件. Android 版的接入了谷歌分析, 文章作者认为这是没必要的. 会增加信息泄露的风险.

开源的 跨平台的密码管理工具支持(Windows, macOS, & Linux , iOS, android)

开源的跨平台的密码管理工具支持(Windows, macOS, & Linux , iOS, android)