这是一个创建于 1813 天前的主题,其中的信息可能已经有所发展或是发生改变。
1password 这样保存密码的 app 安全吗? 本地存储,还是上传到云端?
 |
1
kera0a 2019-12-03 11:45:03 +08:00
我是本地存储,然后开了 iCould 自动备份,安全性应该还行
|
 |
2
imn1 2019-12-03 11:57:52 +08:00
v2ex 有大量 1p 的客户,你说不安全?拿出证据来
目前好像只有 keepass 是没有云端的 |
 |
3
vex2pp OP |
 |
4
isaacpei 2019-12-03 12:02:32 +08:00
安全 因为我忘过主密码
|
 |
5
Dvel 2019-12-03 12:08:31 +08:00
存本地的没啥安全问题。
|
 |
7
vicnicLight007 2019-12-03 12:13:03 +08:00 via iPhone
我是客户端开发,自己写一个
|
|
9
imn1 2019-12-03 12:18:06 +08:00
@vex2pp
好吧,又遇到一个一本正经的人,是我说话方式错了 这是反问方式陈述状态,语文修辞手法之一,我意思是这里已经很多人用上了 1p,没必要问安全性,他们自然都认为足够安全才用的,你得到的答案自然也只有一个:安全 信任问题,你是否信任对方的保密能力,如果在 icloud,还有是否信任 icloud 我个人对云端保存持保留态度,我考虑的并非只有被黑之类暴力获取,而是放在一个不可控的地方,只要时间足够长,必然会有意想不到的状况,还包括丢失、数据损坏等等非暴力情况,放在身边能快速应对 |
 |
10
ftu 2019-12-03 12:18:48 +08:00
安全,目前没啥负面传闻
|
 |
12
hihipp 2019-12-03 12:22:45 +08:00  1
我觉得这类软件,考虑使用便利性大于安全性。安全是相对的,用他的订阅服务(云端)和自己传云端(本地),性质一样。
鉴于 GPU 性能太强劲,加上有 hashcat 这类软件,破解只是时间问题,详情看 1Password 这个连接。 https://support.1password.com/pbkdf2/ |
 |
13
yihaomizhijia 2019-12-03 12:27:27 +08:00 via iPhone
没有绝对安全,极端的人,自己用实体笔记本写暗语提示,锁在保险箱。但是这样就牺牲了便捷。
|
 |
14
MeteorCat 2019-12-03 12:30:47 +08:00 via Android
我也赞同没有绝对安全,只有相对安全,目前来说用 1password 是相对安全的方式
|
 |
15
opengps 2019-12-03 12:33:03 +08:00 via Android
起码是个做安全的,至少比哪些不懂密码存储的系统处理到位
|
 |
16
di11wei 2019-12-03 13:00:10 +08:00
我一直在用的,我觉得我的那些密码和信息,还不足以让我担心安全的问题。
|
 |
18
Junn 2019-12-03 13:07:33 +08:00
只能这么说,目前来看,相对安全。
|
 |
19
otakustay 2019-12-03 14:16:04 +08:00
数据通过你的 master password 加密后经过网络传输保存在服务器端,但 master password 不经网络传输也不存在服务器端,所以丢了 master password 全完蛋,反之只有你有 master password 其他人拿到服务器的数据无法解密
想硬破 AES 加密?省省心吧我们大部分人的数据没这价值 |
 |
20
Leonard 2019-12-03 14:33:46 +08:00
借楼问下,1password 相对 iCloud 钥匙串除了跨平台外还有哪些优势?
|
 |
21
free4537 2019-12-03 14:35:22 +08:00 via Android
可以考虑生成密码的工具,就是记忆密码 + 区别码 + 算法生成高强度密码。
|
 |
22
JasonShawn 2019-12-03 14:37:49 +08:00
说实话吧用户体验感觉并不是那么太理想,Safari 插件支持比不上自家的钥匙串,Chrome 每次填充密码都要解锁 1password,而且还不能用指纹识别解锁,这就比较操蛋了.Mac 上的应用也支持的不够好,每次都要自己手动唤出 1p,然后填充才行.可能是我用的方式不太对?iPhone 上面我也没找到在软件中如何唤出 1p,支持的软件会有提示,不支持的根本没法搞.免费一年用用还行,花钱真的不知道值不值的搞.求大神指导一下‘如何正确使用 1password’..在线等.挺急的..
|
 |
23
ShadyK 2019-12-03 14:40:45 +08:00 via iPhone
@JasonShawn 找个老婆,生几个孩子,一家人共享一些账号比如 Netflix 的时候,就有价值了
|
|
24
otakustay 2019-12-03 15:00:06 +08:00
@JasonShawn 可以用指纹解锁,iOS 上要先单独打开一次 1password,app 里要聚集密码那个输入框才会提示能自动填充
|
 |
25
hedongcun 2019-12-03 15:01:49 +08:00
不安全,但我选择用。
|
 |
26
chztv 2019-12-03 15:20:23 +08:00
在没有新的竞品出现前,1Password 还是首选。
|
 |
27
QUIOA 2019-12-03 15:23:15 +08:00 via Android
不想付费
|
 |
29
tankb52 2019-12-03 17:11:25 +08:00 via Android
lastpass 被攻击过好几次。我都还在用
|
 |
30
d5 2019-12-03 17:11:33 +08:00
都是 sqlcipher 吧,微信聊天记录也是如此。
理论上没有密钥解不开的。 1p、enpass 等等都是公开采用加密 SQLite 数据库-sqlcipher |
|
31
d5 2019-12-03 17:12:14 +08:00
软件不作恶的情况下是安全的
|
 |
32
Nathanzheng 2019-12-03 17:14:05 +08:00
借楼问句为什么都选择 1pass,Lastpass 有啥缺陷吗?还是 1pass 有啥优势?
|
 |
33
Yuicon 2019-12-03 17:18:58 +08:00
我还自己做了个网站 明文存储密码 最安全莫过于别人不知道
|
 |
34
rainincloud 2019-12-03 17:24:32 +08:00 via iPhone
@Nathanzheng #32 lastpass 手机端无法搜索笔记内容,电脑端可以,不知道怎么想的。
|
 |
35
arthas2234 2019-12-03 17:30:56 +08:00
当成本>>收益的时候,就是绝对的安全
|
 |
36
mangoDB 2019-12-03 19:19:32 +08:00
借楼请教个问题,有人知道为什么 Lastpass 的 Android 版本,无法设置指纹登陆吗?
记得以前是可以的,最近版本更新之后这个功能不见了,找了很久都没有找到。 |
 |
38
BayernTutu 2019-12-03 20:33:49 +08:00 via Android
@mangoDB 设置-安全-指纹解锁。我的一直都是指纹解锁
|
 |
39
alphatoad 2019-12-03 20:41:12 +08:00
我读过他们的白皮书,我认同这是目前在安全和便利之间平衡得很完美的解决方案
|
 |
42
kunsito 2019-12-03 20:56:14 +08:00 via iPhone
只有存在脑袋里 100%是安全的
|
 |
43
solitudewm 2019-12-03 21:15:30 +08:00
只用 mac os+ios 的话是不是自带钥匙串使用感吊打 1P 呀?只有跨平台需要用 1P 吗?
|
 |
44
jxie0755 2019-12-03 21:29:04 +08:00
@imn1
请问怎么看 chrome+icloud keychain 这样的组合? 对比 1password 有什么优缺点? 我目前没用 1password 主要是怕有些网站不支持, 不过话说回来也不是每个地方都支持 chrome 和 keychain. 但是因为我手机一直是 iphone 至少我能在手机上手动查找. 密码的话, 我个人特别不敢使用机器生成的随机密码, 因为如果 app 丢了那就彻底没了, 还是用的熟悉的字段各种拼接和组合 |
 |
45
sunmacarenas 2019-12-03 21:29:11 +08:00 via Android
enpass
|
 |
46
classyk 2019-12-03 21:37:04 +08:00
只用本地存储,不用他自身的云。要同步也是其他方式
|
 |
47
NeoChen 2019-12-03 21:48:43 +08:00 via iPhone
我还是喜欢用 keepass,感觉比 1p 方便…
|
 |
49
shutongxinq 2019-12-04 00:49:51 +08:00 via iPhone
@hihipp gpu 再强悍也是 polynomial time,打 np 问题本质上 cpu 没区别,也就是别人密码要多加几位的区别罢了。
|
|
50
imn1 2019-12-04 00:50:33 +08:00
@kunsito
不知道怎么回应 密码软件,我觉得用的人自然认为足够安全,不是绝对,是足够 不用的人,也很难批评人家不安全,除非专做安全方面的专家现身,不然 LZ 很难得到客观答案,仅此而已 @jxie0755 同上,没用过很难评价 随机密码我也不喜欢,一来如你所说 二来,1p 不知道,keepass 生成的是不带符号的,我想是作者考虑并非个个网站都支持符号,才这样 密码软件和工具,我觉得#12 说得在理,更多是在于便捷 桌面的话,我有自写的程序,连本地保存都没有,每次根据主密码(脑子记)和 domain/账号,算出该网站密码,但手机我是没办法移植过去(不懂 android 开发),还好我是手机轻度用户,除了几个支付密码外,大部分 app 都是首次使用填密码,后面用就不需要了,没太大阻碍 其实不是所有密码都不存,例如 email 用的是 app 密码,由网站生成,不是自己算法计算的,还是要存的 基本上保持一站一密,避免碰撞,算是足够了,浏览器的保存,可以当成密码工具的一种形式,方便为主 我给自己定了几条规则: 1.密码的重要性分级,分开不同地方存放,包括 2FA 也和密码分开放(不分开 2FA 没太大意义) 2.极度重要的密码,例如前面说的主密码,属于密码的密码,脑子记、非电子方式记录到别人看到也并不知道是密码的地方,以备失忆,🐶 3.高度重要的密码,放弃便捷,以目测和手打的方式输入,剪贴板权限目前是无解的 4.不太重要的密码,如什么资源网站的账密,被偷了又何妨?怎么方便就怎么记是了 相比密码工具,我更重视隐写工具,长期保留可运行版本(每次系统更新我都要检查对它有没有影响) 一些图片,别人看是“风景”,但我知道里面写了什么 |
 |
51
SharkIng 2019-12-04 02:29:35 +08:00
1Password 有两种:
一种是:1password.com 这种云端的,数据都存在他们的服务器上,Subscription 付费,一个月多少钱,可以家庭 另一种:老版本 1password (不知道现在还有没)可以存在本地,完全没有备份,也可以使用 Dropbox,iCloud 备份数据库 对于题主问题来讲主要就是数据库怎么是否云端的问题,如果不云端备份的话丢了怎么办?如果云端备份的话,第二种相对好一些,可以选择自己信赖的服务,或者可以选择在本地然后通过本地例如 NAS 备份(理论可行) 关于安全性这两种其实一样的,据他们说法是数据库经过各种加密,加密除非有 Master Password 否则无法破解。所以按理说即使有人得到数据库也拿不到里面内容。当然这是理论值 |
 |
52
lovestudykid 2019-12-04 02:46:14 +08:00
你总得信任点什么,毕竟没法从提炼硅开始做起,CPU 能植入漏洞,openssl 也可以植入漏洞。用商用软件,理论上你只需要信任他就够了。如果用 keepass,你需要信任一大堆开源开发者,要信任客户端的开发者,要信任云服务商,任何一个环节出问题都可能导致安全隐患。
|
 |
53
cnnblike 2019-12-04 03:46:46 +08:00
bitwarden-rs 可以自己 host 的
|
 |
54
Dachunlv 2019-12-04 08:31:12 +08:00
放心大胆地用吧,起码他是目前来说口碑最好的,到底有多安全谁能说得清楚呢?
|
 |
55
atwoodSoInterest 2019-12-04 09:04:44 +08:00
我认为安全是由 **价值** 和 **壁垒** 构成的。
高价值,低壁垒,不安全(李嘉诚儿子被绑架) 高价值,不够高的壁垒,不安全 (一身名牌走在没有监控的小路,带了一条吉娃娃当保镖,哈哈) 低价值,低壁垒,安全 (一个 q 币都没有的账号密码,放在了个人电脑上) 感觉把自己的没有什么价值的密码绑定在了一个软件上,这个软件的价值就远高于我密码的价值了,反而导致了不安全。(技术壁垒是有,但是在成千上万人的账号价值下,始终有被黑的可能性) |
 |
56
liuqi0270 2019-12-04 09:26:32 +08:00 via iPhone
跟风问下,招行掌上生活这样的 app 不能调用 1P 的用户名密码?
|
 |
57
chengkai1853 2019-12-04 09:31:35 +08:00
如果非要强调安全性,Keepass 可以看这里,会让人有安全的感觉。https://www.intigriti.com/programs/keepass/keepassbyec/detail
|
|
58
mangoDB 2019-12-04 09:52:33 +08:00
@BayernTutu 感谢,不过我并没有在“安全”中找到指纹登陆的相关设置。我怀疑是最近版本更新导致,与此同时 app 语言也从中文变成了英文。
|
|
59
mangoDB 2019-12-04 09:54:57 +08:00
@SharkIng 隐约记得几年前,1password 不在云端存储数据被作为一个优点,用来和 lastpass 比较。但目前感觉 1password 应该是主推云端存储数据,弱化用户手动备份数据。
|
 |
60
DiamondbacK 2019-12-04 10:30:01 +08:00
没有多处备份才是不安全,全靠脑子就更不安全了。大部分担忧都是臆想,甚至连软件功能都说错了。
|
 |
61
h123123h 2019-12-04 10:35:29 +08:00
这有点像区块链钱包,密钥保存本地,但是后台真的想获取,你也没办法吧?
|
 |
62
auhah 2019-12-04 10:37:55 +08:00
我用它最主要的目的是防止撞库,懒得填密码
我重要的密码都没在里面存。。。存的都是一些杂七杂八的网站密码 真要是不安全全丢了。。那就丢了,换一遍密码的事没啥损失 |
 |
63
nrtEBH 2019-12-04 11:10:11 +08:00
敏感密码只存在脑子里
|
 |
64
statement 2019-12-04 11:16:07 +08:00
其实现在密码的安全性也没那么重要了 上一点体量的公司 即使被人获取了密码也没太大的风险
|
 |
65
xfriday 2019-12-04 12:28:51 +08:00
出了事就不安全,没出事就安全
|
|
66
vex2pp OP 看了那么多,我还决定把密码写到纸上吧。
|
|
67
SharkIng 2019-12-05 02:52:24 +08:00
@mangoDB 我个人并不是非常抵触云端存,因为无论如何都至少需要有个地方备份,否则那么多密码要是电脑损坏等想恢复都不好弄。
|
|
68
JasonShawn 2019-12-09 11:20:24 +08:00
@otakustay 手机上可以面部识别,MacOS 上只有 safari 可以指纹解锁, chrome 貌似只能手打密码.
|
|
69
JasonShawn 2019-12-09 11:21:09 +08:00
@ShadyK 找个老婆,他也不一定看奈飞,孩子更不可能看.而且老婆可以用自己的手机记住密码,跟 1password 一点关系都没有
|
|
70
otakustay 2019-12-09 11:49:00 +08:00
@JasonShawn 我的 chrome 也可以指纹解锁
|
|
71
JasonShawn 2019-12-18 16:06:01 +08:00
@otakustay 我在设置中完全没有找到关于指纹解锁的选项.请问你是怎么设置的?插件是 1password 还是 1passwordX?
|
 |
72
BlueLuffy 2020-02-07 04:57:37 +08:00
没有用 1password 的云端,采用了 dropbox 和 icloud 的云端,然后重要的与财产相关的密码以及重要证件没有放入 1password 里面,所以不要完全相信这个软件,自己按照密码重要性和便捷性去取舍。
|
Select Language