V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
patrickyoung
V2EX  ›  信息安全

关于 “1Password 家庭版订阅到期账户被删” 事件的致歉、复盘与相关声明

  •  2
     
  •   patrickyoung · 2021-12-03 17:15:19 +08:00 · 11324 次点击
    这是一个创建于 1120 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原帖链接: https://www.v2ex.com/t/818989

    page-1.png page-2.png page-3.png page-4.png page-5.png

    题外:支持批评,支持相对有理有据的理性讨论,也支持在没有明确证据前的怀疑,但是不支持没有任何依据、没有任何说明的批判。

    cc @yanyumihuang 以及其他关心的论坛的朋友们

    75 条回复    2022-04-13 19:32:11 +08:00
    cherbim
        1
    cherbim  
       2021-12-03 17:17:36 +08:00   ❤️ 1
    论自建 biwarden 的好处
    yadiman
        2
    yadiman  
       2021-12-03 17:23:10 +08:00
    文中描述的他方替代品,enpass 有多平台的。
    patrickyoung
        3
    patrickyoung  
    OP
       2021-12-03 17:25:04 +08:00
    @yadiman 抱歉,和 ElPass 混起来了......
    LengthMin
        4
    LengthMin  
       2021-12-03 17:30:36 +08:00
    有趣
    liuidetmks
        5
    liuidetmks  
       2021-12-03 17:31:49 +08:00
    和陌生人开车就是这么多破事。
    万幸 1p 能恢复,没有物理删除.
    cairnechen
        6
    cairnechen  
       2021-12-03 17:33:27 +08:00
    损失最多的应该是 1Password 的商誉吧,毕竟原帖标题指向性太强了
    ZeroClover
        7
    ZeroClover  
       2021-12-03 17:34:55 +08:00   ❤️ 5
    1Password 家庭版本质就是一个阉割的团队版,所以设计非常 **

    即使是真正的家庭,也不应该让家庭组织者有权控制家庭内账号的去留,万一吵个架呢(自行参考什么女朋友删男友游戏账号装备的事情)。但这一切放在团队版下就显得非常合理。

    另外不建议个人用户跟风自建 Bitwarden ,毕竟很多人连域名都不能做到保持续费或者直接买个十年,更别说服务器了。撸各种云终究是不长久也不可靠的。
    MacDows
        8
    MacDows  
       2021-12-03 17:35:10 +08:00 via Android
    证明楼主是个靠谱的人
    yrj
        9
    yrj  
       2021-12-03 17:35:52 +08:00 via iPad
    密码这么敏感的东西,还是不差那点钱了吧
    U2Fsd
        10
    U2Fsd  
       2021-12-03 17:36:47 +08:00
    能够脱离微信生活,应该在肉翻国外了吧。

    居然还会因为一个月省不到 3 美元,搞出这么多破事
    iovekkk
        11
    iovekkk  
       2021-12-03 17:43:21 +08:00
    还好早年间 iPhone 限免的时候上了车,然后又买断了 mac 版
    订阅感觉好麻烦啊
    Hack3rHan
        12
    Hack3rHan  
       2021-12-03 17:51:09 +08:00
    Biwarden 和 Keepass 的某些用户真的搞笑,别人阐述 macOS 出现 XXX 故障,你搁这一直叨叨为什么不换 Windows 、Windows/Linux 不香?
    823805669hehe
        13
    823805669hehe  
       2021-12-03 17:58:26 +08:00
    不得不感叹楼主是运气好啊,能遇到愿意帮忙的 B ,在现在这个环境下,别人都靠不上,还得自己搭建 Bitwarden ,如果密码不常变动的话可以考虑部署到内网 nas 什么设备上,回家再同步也是可以接受的
    patrickyoung
        14
    patrickyoung  
    OP
       2021-12-03 17:59:52 +08:00 via iPhone
    @823805669hehe 车上的都是线下的朋友,B 也是,没啥问题。
    anonydmer
        15
    anonydmer  
       2021-12-03 18:02:50 +08:00
    和关系特别好的好友都用 1password ,但是没组队,各自个人账户
    Greenm
        16
    Greenm  
       2021-12-03 18:07:54 +08:00
    楼主态度还是可以的,最终结果也没有让大家失望
    dunn
        17
    dunn  
       2021-12-03 18:12:59 +08:00
    在陌生人车上的我瑟瑟发抖
    SingeeKing
        18
    SingeeKing  
       2021-12-03 18:19:25 +08:00 via iPhone
    我想问下官方是怎么协助找回的?给了那个第三方博客链接吗?还是把家庭恢复了
    patrickyoung
        19
    patrickyoung  
    OP
       2021-12-03 18:30:14 +08:00 via iPhone
    @SingeeKing 这个需要走邮件工单,具体需要的我在上面也已经说明过了。还有一点没有提到的就是,这个找回流程需要当前家庭车主的邮件明确许可和二次邮件确认……
    ugvfpdcuwfnh
        20
    ugvfpdcuwfnh  
       2021-12-03 18:31:45 +08:00 via Android
    你们这个折腾的劲儿,还拼什么车啊?
    1p 我看年费才 2.99 美元,人民币不到 20 ,也就一个小时的工资,这折腾的时间都不止一天了,掏钱保平安算了。😓😓
    patrickyoung
        21
    patrickyoung  
    OP
       2021-12-03 18:33:53 +08:00 via iPhone
    @ugvfpdcuwfnh 我可以不折腾,我只是想做到有始有终,负责到底。有些时候知道为啥和里面是啥,比其他的东西可能更宝贵。
    mnsw
        22
    mnsw  
       2021-12-03 18:36:15 +08:00 via Android
    @ugvfpdcuwfnh 你看到的是一个月 2.99 美元吧
    ugvfpdcuwfnh
        23
    ugvfpdcuwfnh  
       2021-12-03 18:36:18 +08:00 via Android
    @ugvfpdcuwfnh 呃,又去官网看了下,不好意思,是一个月 2.99 美元,头一次看错了。
    skfu
        24
    skfu  
       2021-12-03 18:37:25 +08:00
    谢谢楼主的说明,对 1password 了解更多了。
    muzuiget
        25
    muzuiget  
       2021-12-03 19:10:26 +08:00
    不明白会让密码这种杀生大权放到别人手中。
    gerorim
        26
    gerorim  
       2021-12-03 22:10:39 +08:00
    感谢说明,像是密码这种重要的私人数据还是用加密后用云盘同步(开启文件历史版本)比较好,至少出错了可以回滚。
    noyle
        27
    noyle  
       2021-12-03 22:38:57 +08:00   ❤️ 1
    你们觉得人家那么设置权限和操作不合适,是因为你们自己组队而不是一个真正的家庭。对家庭版的意见那么多,就应该考虑上 team 或 business 版,而不是去给家庭版提什么工单。
    notfind4041
        28
    notfind4041  
       2021-12-03 23:24:15 +08:00
    如果用离线的密码管理软件,靠网盘来同步数据库,keepass 可靠吗?
    Windn0
        29
    Windn0  
       2021-12-03 23:37:01 +08:00 via iPhone
    Apple 🔑串挺好的,记不得了,打开看一下就好,反正手机不离身
    swulling
        30
    swulling  
       2021-12-04 00:01:48 +08:00 via iPhone   ❤️ 3
    引用 lz 的一个回复,非常精彩

    [@skfu 感谢你的回复,最好下次不要意外碰到我,那我绝对会删你账户。因为这是你应得的。]
    disk
        31
    disk  
       2021-12-04 00:02:58 +08:00
    @chloe0x5f3759df 没问题,网盘最好带 webdav 的,加历史记录,再不放心定期冷备。支持多端同步,离线使用,即时保存,拓展支持 otp ,自定义数据类型等。
    swulling
        32
    swulling  
       2021-12-04 00:04:49 +08:00 via iPhone   ❤️ 1
    @Greenm 可以看下原帖,某位仁兄只不说说了一句 [不用问,车主删除的] 就被 lz 威胁删除账号了,如果这也算态度好,那就没有态度好了。
    swulling
        33
    swulling  
       2021-12-04 00:13:08 +08:00 via iPhone
    @swulling 虽然也不知道能删除啥账号,身份证么^_^
    MrCurly
        34
    MrCurly  
       2021-12-04 00:14:06 +08:00 via iPhone
    这事这么多人回复主要就是原帖 op 那标题和回复,明着说 1p 删号,然后还说不要关注 1p 删号应该关注账号安全
    gggccc44
        35
    gggccc44  
       2021-12-04 00:34:43 +08:00
    既然都付费了为什么还薅这点羊毛?而且还是密码这种东东。。。
    yyysuo
        36
    yyysuo  
       2021-12-04 01:12:03 +08:00
    A 和 B 都没有问题,有问题的是 C 。
    All2B9S
        37
    All2B9S  
       2021-12-04 06:07:47 +08:00
    Microsoft Authenticator 非常不推荐,之前有一次同步失败丢失了里面全部的数据,导致我有好几个账户都找不回来了。一定要用 2FA 的话个人建议用苹果钥匙串的 2FA 吧
    skfu
        38
    skfu  
       2021-12-04 06:21:34 +08:00 via iPhone
    @swulling 人有点脾气是正常的,从这件事的始终来看,我觉得他还是比较靠谱的
    dangyuluo
        39
    dangyuluo  
       2021-12-04 09:22:57 +08:00   ❤️ 1
    我理解有人不喜欢付费的商用软件 1Password ,但是极力吹捧自建 Bitwarden 就有点矫枉过正了

    尤其是看到过一种论调,“安全相关的信息不要放在云上”,思考一下在现在这个社会可能么?除非只有一台设备,或者出门随身带着 NAS
    dangyuluo
        40
    dangyuluo  
       2021-12-04 09:23:52 +08:00
    @ugvfpdcuwfnh 20 快一小时的工资。。心疼
    ncepuzs
        41
    ncepuzs  
       2021-12-04 10:12:44 +08:00
    @dangyuluo 哈哈哈,下面是我昨天看到的这位自建 vaultwarden 的原话,至少有两个错误……

    “自建 bitwarden 比较简单,免费安全,现在 docker 版的改成 vaultwarden 了,还是建议自建,需要 ssl 的话,在国内要备案,但是不用 ssl 也能用。”
    ugvfpdcuwfnh
        42
    ugvfpdcuwfnh  
       2021-12-04 11:10:47 +08:00 via Android
    @dangyuluo 我只说 20 块不到一个小时的工资,没说我是 20 块一个小时😓😓
    你应该是高工资的人群,应该不会干“拼车”这种低档次的事情吧?
    富翁您好!污了你的眼了!😂😂
    ugvfpdcuwfnh
        43
    ugvfpdcuwfnh  
       2021-12-04 11:13:10 +08:00 via Android
    @ncepuzs 我只是大致说一下情况,不用嘲笑我吧?
    毕竟我没有义务给 bitwarden 做细致详细的科普,它又没给我宣传费,但是我都自建完了,这不证明我比没自建过的人知道的细节更多吗?
    yanyumihuang
        44
    yanyumihuang  
       2021-12-04 12:28:34 +08:00 via Android
    补充一下,我也就是文章中的 c ,在 11 月 27 日晚上通过自己之前的备份和手机上的记录已经恢复了所有密码 。后来在楼主与 1p 联系恢复账号后,再次导出了完整的数据。
    skfu
        45
    skfu  
       2021-12-04 12:58:18 +08:00
    @ugvfpdcuwfnh bitwarden 的确做的很好,非常简洁易用,非侵入式的密码提示也很好,唯一担心的是 bitwarden 会因为收入少而停更。
    dangyuluo
        46
    dangyuluo  
       2021-12-04 13:07:05 +08:00
    @ugvfpdcuwfnh #42 no ,你的原话是:
    > 1p 我看年费才 2.99 美元,人民币不到 20 ,也就一个小时的工资,这折腾的时间都不止一天了,掏钱保平安算了。😓😓

    所以你一小时工资还不到 20 是么。。。
    ugvfpdcuwfnh
        47
    ugvfpdcuwfnh  
       2021-12-04 13:30:03 +08:00 via Android
    @dangyuluo 我当时算了算工资,我一分钟赚不了 20 块,比分钟大的单位,最接近的就是小时,所以就这么说了,你很喜欢抬杠啊?😅😅
    那你非要这么理解我无所谓,让你心疼了,大富豪……
    ugvfpdcuwfnh
        48
    ugvfpdcuwfnh  
       2021-12-04 13:35:30 +08:00 via Android
    @skfu bitwarden 官方有免费版的,基本功能足够大部分人用,即便是高级用户,也是每月 1 美元,比 1password 便宜,价格只有三分之一,这也是我为什么建议 bitwarden 的原因。
    不过你居然替商家操心,这是少见的😅😅
    我看 V2EX 还有把 bitwarden 搭建到软路由上的,你也可以试一试,毕竟官方就算倒闭了,和你自建没关系啊!
    sunhelter
        49
    sunhelter  
       2021-12-04 14:18:15 +08:00
    前一篇帖子给 1pass 泼脏水,这一篇又踩一脚微软验证器,有些好笑
    HKD
        50
    HKD  
       2021-12-04 17:18:40 +08:00
    看完了,只想问您:你是在哪里获取的众所周知的原因,云上贵州需要担心服务端的安全问题?
    Youkochan0v0
        51
    Youkochan0v0  
       2021-12-04 17:29:58 +08:00
    @noyle 真正的家庭也不是什么坚固的联盟啊,任何在家庭外发生的事都可能在家庭内发生,从保障每个用户权益的角度出发不认为给家庭版提这些意见有什么问题
    ipixeloldc
        52
    ipixeloldc  
       2021-12-04 22:02:34 +08:00   ❤️ 1
    自建 bitwarden(服务端用 valuewarden )可以用腾讯的 cloudbase 啊,前几个月有优惠卷可以免费,后面付费也就每个月 2~3+块。腾讯在 Github 和控制台的官方的示例也包括了这个,所以其实你可以一键安装运行,然后注册,再用环境变量配置,如关闭注册,就完事了。域名,ssl 证书全部都不用你准备,它自带,就是分配的域名有点长,但这个无所谓的嘛。并且够长,别人也很难找到你域名。在这种公网环境下,也安全。
    注:一键安装要省钱注意用 cfs 版(选择 cfs 分支),也就是数据存 sqllite 里面,mysql 这数据库一个月就要十多块,不划算。然后给容器分配的资源全部拉最低。这样每月就几块钱了,我一般 3.31 ,不过这个月 2 块多,不知道咋回事。当然这种资源全部拉最低,你往里面导入的东西多了,或者你搞一次全局密码删除,那这个会卡死,让你没办法登录继续使用,但等一段时间,他处理完了,就没事了。(不过这个资源分配,我记得是可以随便拉,干重活时,你给多点,干完了再拉回去)
    ipixeloldc
        53
    ipixeloldc  
       2021-12-04 22:03:49 +08:00
    @ipixeloldc 哦,是 vault 。我的锅,我一直叫他 Bitwarden_rs ,这个新名字,没咋记
    liuxu
        54
    liuxu  
       2021-12-04 22:06:59 +08:00   ❤️ 1
    不需要道歉,自建 birwarden_rs 保平安
    Xushet
        55
    Xushet  
       2021-12-05 02:11:22 +08:00 via Android
    我觉得新建个文本文档存密码都比这靠谱,安全另说
    noyle
        56
    noyle  
       2021-12-05 03:39:06 +08:00
    @Youkochan0v0 是,你说的三句话都没问题。我也觉得现在这个家庭版没法保障二奶小三以及默罕默德家庭成员的利益。
    barrelsoil
        57
    barrelsoil  
       2021-12-05 08:53:34 +08:00
    密码储存软件还敢上车,我也是服
    SenLief
        58
    SenLief  
       2021-12-05 09:41:18 +08:00
    @liuidetmks 侧面说明 1p 也保留了数据吧。。。
    SenLief
        59
    SenLief  
       2021-12-05 09:44:58 +08:00
    @skfu bitwarden 也有付费的业务,不过一年 5 刀还是 10 刀来着。
    SenLief
        60
    SenLief  
       2021-12-05 09:46:04 +08:00
    其实 enpass 挺好用的,同步可以用 webdav 或者是 onedrive
    Youkochan0v0
        61
    Youkochan0v0  
       2021-12-05 11:43:38 +08:00
    @noyle 呵呵,没必要这么阴阳怪气吧?哪个家庭没有纠纷,缺乏沟通的家庭也很多,又不是所有家庭都始终保持在一个地点共同行动的。况且没看清服务政策就误操作也是有可能的,楼主这事不也是闹了个乌龙么。
    runinhard
        62
    runinhard  
       2021-12-05 14:54:16 +08:00
    无法理解这也拼车的。

    只要想着占小便宜的,总有一天会付出大代价
    LoneFireBlossom
        63
    LoneFireBlossom  
       2021-12-05 14:57:45 +08:00
    我想买断 1password 7 ,可是现在已经没有地方能买断了……
    找了一下网上也没有卖买断账户的,哎
    patrickyoung
        64
    patrickyoung  
    OP
       2021-12-06 08:55:25 +08:00
    至于这种贪小便宜论的我只能说麻烦你们作为一个普通人思考,不要搞事后诸葛亮这种事情。平心而论,人性趋利,本来 1P 的数据别人就看不到,大部分人也不会花很多时间完整的去各种跳转研究它的规则和漏洞。永远不要做这种讨厌的人。 @runinhard @noyle


    @sunhelter 基于已有的事实说明、联想(虽然可能并不正确,但是没有人是圣人),有什么问题吗?

    @HKD 你也可以不担心。我只能说因为我接触到的某些东西是实实在在的告诉我他们有多么的不可靠,但是出于保密,我不能说详情。


    @LoneFireBlossom 其实我今天上来,主要就是为了回复你的。这个是有买断的,当时是在客户端的某个菜单里有选项,如果你确实需要买断(只有当前大版本,不带云同步功能),可以联系客服,之前我才用 1P 7 的时候问过,好像是 299 USD 。
    kerb15
        65
    kerb15  
       2021-12-06 10:26:39 +08:00
    这时间线和细节居然能还原得这么清楚,很有故事性
    lanceran
        66
    lanceran  
       2021-12-06 11:21:42 +08:00
    第一次看到这么完整的回溯···太牛了 LZ
    LoneFireBlossom
        67
    LoneFireBlossom  
       2021-12-06 14:43:12 +08:00
    @patrickyoung 谢谢,这个方法我之前试过了:
    现在的 1Password 官网下载版已经没有买断选项,于是我专门找旧版 1Password 下载。
    里面有买断选项,但是我点开,它提示我,这个付款通道已经被关闭(大意如此)。
    我查了一下,从 1Password 8 公布的时候,7 也完全取消买断了,这个在 1Password 官方论坛上也有一些人问。
    ugvfpdcuwfnh
        68
    ugvfpdcuwfnh  
       2021-12-06 15:27:31 +08:00
    @ipixeloldc 腾讯还有官方示例吗?给个链接看看呗,感谢!
    noyle
        69
    noyle  
       2021-12-06 16:02:11 +08:00
    @patrickyoung 也许对于 1p 公司而言,你们就是这种让他们讨厌的人,而且也是让几乎所有公司讨厌的人。很不幸,绝大多数的我们都是这种人,因为我们在勾选诸如同意协议等的时候,几乎都不会仔细阅读协议和相关的文档。出现了问题,而且不少问题是被那些协议和文档所涵盖的,却是我们因为没有仔细阅读和理解而造成的后果。而我们在向服务方寻求帮助的同时,还不忘向他们提出“宝贵的”意见和建议,似乎是在说:这根本不应该是我们造成的错误,是因为(按照我们的需求,)你们的服务的不完美造成的,哪怕是一点点不完美。

    回来说你们的“拼车”体验。我不知道家庭主账户在删除账户时是否被给予了足够和明显的警示,如果没有,可能建议 1p 把下面这两句写在帮助文档里的话写在删除确认界面更好:
    After you remove a family member’s account, they can’t sign in to 1Password, which means:
    They lose all the items in their Private vault. Because the items weren’t shared with any other family members, no one will be able to access them.
    They lose access to all shared items, including those in the Shared vault. This won’t affect other family members’ access to shared items.
    itechnology
        70
    itechnology  
       2021-12-06 18:47:19 +08:00
    我插一句个人的看法,1Password 的家庭版是针对家庭的,这些功能如果放在家庭里面,我觉得还是挺合理的。楼主这种情况其实用 teams 版才合理的,不过相应的就贵了很多。
    yuezk
        71
    yuezk  
       2021-12-06 20:29:04 +08:00 via iPhone
    看到这么多人推荐其他的 2FA 客户端,1P 自带的 2FA 不香么?
    skfu
        72
    skfu  
       2021-12-06 21:38:57 +08:00 via iPhone
    @yuezk 问题是 1P 自己也需要 2FA 客户端,所以还是无法少装一个软件,
    ipixeloldc
        73
    ipixeloldc  
       2021-12-06 23:38:57 +08:00
    @ugvfpdcuwfnh 去 cloudbase ,你创建一个新应用还是新空间,直接点进去看,就能找到的。github 你去瞅他们家 cloudbase 的仓库,也能瞅到的。他都摆在你面前了,这东西第一个字母是 b ,想想就知道有多靠前了。
    wolfmei
        74
    wolfmei  
       2022-04-07 16:09:15 +08:00
    复杂了,单月续费用了连年的个人版
    bearcolin
        75
    bearcolin  
       2022-04-13 19:32:11 +08:00
    @Youkochan0v0 对啊,哈哈,官方原话是“通过添加另一个家庭组织者来保护您的家庭”,看到这行文案下意识想到的肯定是“我是来加入这个家,不是来毁掉这个家”,谁会想到“家庭组织者”也有毁掉家的权限呢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2824 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 02:23 · PVG 10:23 · LAX 18:23 · JFK 21:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.