V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vex2pp
V2EX  ›  Apple

1password 这样的保存密码 app 安全吗?

  •  
  •   vex2pp · 2019-12-03 11:37:56 +08:00 · 13570 次点击
    这是一个创建于 1818 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1password 这样保存密码的 app 安全吗? 本地存储,还是上传到云端?

    74 条回复    2020-02-07 07:52:10 +08:00
    kera0a
        1
    kera0a  
       2019-12-03 11:45:03 +08:00
    我是本地存储,然后开了 iCould 自动备份,安全性应该还行
    imn1
        2
    imn1  
       2019-12-03 11:57:52 +08:00
    v2ex 有大量 1p 的客户,你说不安全?拿出证据来
    目前好像只有 keepass 是没有云端的
    vex2pp
        3
    vex2pp  
    OP
       2019-12-03 12:02:17 +08:00
    @imn1 我没说不安全呀?
    我是在问大家安全不安全,我没用过,最近想了解下,如果挺好就用一下。
    上传到云端,数据泄露了咋办啊?
    isaacpei
        4
    isaacpei  
       2019-12-03 12:02:32 +08:00
    安全 因为我忘过主密码
    Dvel
        5
    Dvel  
       2019-12-03 12:08:31 +08:00
    存本地的没啥安全问题。
    vex2pp
        6
    vex2pp  
    OP
       2019-12-03 12:11:58 +08:00
    @Dvel 1password 可选密码存储方式?
    vicnicLight007
        7
    vicnicLight007  
       2019-12-03 12:13:03 +08:00 via iPhone
    我是客户端开发,自己写一个
    Ettup
        8
    Ettup  
       2019-12-03 12:13:03 +08:00 via iPhone
    @vex2pp 我用 Dropbox 同步
    imn1
        9
    imn1  
       2019-12-03 12:18:06 +08:00
    @vex2pp
    好吧,又遇到一个一本正经的人,是我说话方式错了
    这是反问方式陈述状态,语文修辞手法之一,我意思是这里已经很多人用上了 1p,没必要问安全性,他们自然都认为足够安全才用的,你得到的答案自然也只有一个:安全

    信任问题,你是否信任对方的保密能力,如果在 icloud,还有是否信任 icloud
    我个人对云端保存持保留态度,我考虑的并非只有被黑之类暴力获取,而是放在一个不可控的地方,只要时间足够长,必然会有意想不到的状况,还包括丢失、数据损坏等等非暴力情况,放在身边能快速应对
    ftu
        10
    ftu  
       2019-12-03 12:18:48 +08:00
    安全,目前没啥负面传闻
    Dvel
        11
    Dvel  
       2019-12-03 12:19:56 +08:00
    @vex2pp #6 好像订阅的是云端同步,买断的是本地自己同步。
    hihipp
        12
    hihipp  
       2019-12-03 12:22:45 +08:00   ❤️ 1
    我觉得这类软件,考虑使用便利性大于安全性。安全是相对的,用他的订阅服务(云端)和自己传云端(本地),性质一样。

    鉴于 GPU 性能太强劲,加上有 hashcat 这类软件,破解只是时间问题,详情看 1Password 这个连接。

    https://support.1password.com/pbkdf2/
    yihaomizhijia
        13
    yihaomizhijia  
       2019-12-03 12:27:27 +08:00 via iPhone
    没有绝对安全,极端的人,自己用实体笔记本写暗语提示,锁在保险箱。但是这样就牺牲了便捷。
    MeteorCat
        14
    MeteorCat  
       2019-12-03 12:30:47 +08:00 via Android
    我也赞同没有绝对安全,只有相对安全,目前来说用 1password 是相对安全的方式
    opengps
        15
    opengps  
       2019-12-03 12:33:03 +08:00 via Android
    起码是个做安全的,至少比哪些不懂密码存储的系统处理到位
    di11wei
        16
    di11wei  
       2019-12-03 13:00:10 +08:00
    我一直在用的,我觉得我的那些密码和信息,还不足以让我担心安全的问题。
    AoTmmy
        17
    AoTmmy  
       2019-12-03 13:02:58 +08:00 via Android
    @imn1 KeePass 可以用 webdav 比如坚果云或者自建
    Junn
        18
    Junn  
       2019-12-03 13:07:33 +08:00
    只能这么说,目前来看,相对安全。
    otakustay
        19
    otakustay  
       2019-12-03 14:16:04 +08:00
    数据通过你的 master password 加密后经过网络传输保存在服务器端,但 master password 不经网络传输也不存在服务器端,所以丢了 master password 全完蛋,反之只有你有 master password 其他人拿到服务器的数据无法解密
    想硬破 AES 加密?省省心吧我们大部分人的数据没这价值
    Leonard
        20
    Leonard  
       2019-12-03 14:33:46 +08:00
    借楼问下,1password 相对 iCloud 钥匙串除了跨平台外还有哪些优势?
    free4537
        21
    free4537  
       2019-12-03 14:35:22 +08:00 via Android
    可以考虑生成密码的工具,就是记忆密码 + 区别码 + 算法生成高强度密码。
    JasonShawn
        22
    JasonShawn  
       2019-12-03 14:37:49 +08:00
    说实话吧用户体验感觉并不是那么太理想,Safari 插件支持比不上自家的钥匙串,Chrome 每次填充密码都要解锁 1password,而且还不能用指纹识别解锁,这就比较操蛋了.Mac 上的应用也支持的不够好,每次都要自己手动唤出 1p,然后填充才行.可能是我用的方式不太对?iPhone 上面我也没找到在软件中如何唤出 1p,支持的软件会有提示,不支持的根本没法搞.免费一年用用还行,花钱真的不知道值不值的搞.求大神指导一下‘如何正确使用 1password’..在线等.挺急的..
    ShadyK
        23
    ShadyK  
       2019-12-03 14:40:45 +08:00 via iPhone
    @JasonShawn 找个老婆,生几个孩子,一家人共享一些账号比如 Netflix 的时候,就有价值了
    otakustay
        24
    otakustay  
       2019-12-03 15:00:06 +08:00
    @JasonShawn 可以用指纹解锁,iOS 上要先单独打开一次 1password,app 里要聚集密码那个输入框才会提示能自动填充
    hedongcun
        25
    hedongcun  
       2019-12-03 15:01:49 +08:00
    不安全,但我选择用。
    chztv
        26
    chztv  
       2019-12-03 15:20:23 +08:00
    在没有新的竞品出现前,1Password 还是首选。
    QUIOA
        27
    QUIOA  
       2019-12-03 15:23:15 +08:00 via Android
    不想付费
    cpper
        28
    cpper  
       2019-12-03 17:07:52 +08:00
    @isaacpei 悲伤的故事
    tankb52
        29
    tankb52  
       2019-12-03 17:11:25 +08:00 via Android
    lastpass 被攻击过好几次。我都还在用
    d5
        30
    d5  
       2019-12-03 17:11:33 +08:00
    都是 sqlcipher 吧,微信聊天记录也是如此。
    理论上没有密钥解不开的。
    1p、enpass 等等都是公开采用加密 SQLite 数据库-sqlcipher
    d5
        31
    d5  
       2019-12-03 17:12:14 +08:00
    软件不作恶的情况下是安全的
    Nathanzheng
        32
    Nathanzheng  
       2019-12-03 17:14:05 +08:00
    借楼问句为什么都选择 1pass,Lastpass 有啥缺陷吗?还是 1pass 有啥优势?
    Yuicon
        33
    Yuicon  
       2019-12-03 17:18:58 +08:00
    我还自己做了个网站 明文存储密码 最安全莫过于别人不知道
    rainincloud
        34
    rainincloud  
       2019-12-03 17:24:32 +08:00 via iPhone
    @Nathanzheng #32 lastpass 手机端无法搜索笔记内容,电脑端可以,不知道怎么想的。
    arthas2234
        35
    arthas2234  
       2019-12-03 17:30:56 +08:00
    当成本>>收益的时候,就是绝对的安全
    mangoDB
        36
    mangoDB  
       2019-12-03 19:19:32 +08:00
    借楼请教个问题,有人知道为什么 Lastpass 的 Android 版本,无法设置指纹登陆吗?

    记得以前是可以的,最近版本更新之后这个功能不见了,找了很久都没有找到。
    sephinh
        37
    sephinh  
       2019-12-03 20:14:17 +08:00 via iPhone
    @vex2pp #3 keepass 加密完再传网盘,不担心泄露问题
    BayernTutu
        38
    BayernTutu  
       2019-12-03 20:33:49 +08:00 via Android
    @mangoDB 设置-安全-指纹解锁。我的一直都是指纹解锁
    alphatoad
        39
    alphatoad  
       2019-12-03 20:41:12 +08:00
    我读过他们的白皮书,我认同这是目前在安全和便利之间平衡得很完美的解决方案
    kunsito
        40
    kunsito  
       2019-12-03 20:53:34 +08:00 via iPhone
    @imn1 我就说不安全啊
    kunsito
        41
    kunsito  
       2019-12-03 20:54:12 +08:00 via iPhone
    @imn1 正常人都不会觉得人家问问题是怀疑,你这也太敏感了
    kunsito
        42
    kunsito  
       2019-12-03 20:56:14 +08:00 via iPhone
    只有存在脑袋里 100%是安全的
    solitudewm
        43
    solitudewm  
       2019-12-03 21:15:30 +08:00
    只用 mac os+ios 的话是不是自带钥匙串使用感吊打 1P 呀?只有跨平台需要用 1P 吗?
    jxie0755
        44
    jxie0755  
       2019-12-03 21:29:04 +08:00
    @imn1
    请问怎么看 chrome+icloud keychain 这样的组合? 对比 1password 有什么优缺点?

    我目前没用 1password 主要是怕有些网站不支持, 不过话说回来也不是每个地方都支持 chrome 和 keychain.
    但是因为我手机一直是 iphone 至少我能在手机上手动查找.

    密码的话, 我个人特别不敢使用机器生成的随机密码, 因为如果 app 丢了那就彻底没了, 还是用的熟悉的字段各种拼接和组合
    sunmacarenas
        45
    sunmacarenas  
       2019-12-03 21:29:11 +08:00 via Android
    enpass
    classyk
        46
    classyk  
       2019-12-03 21:37:04 +08:00
    只用本地存储,不用他自身的云。要同步也是其他方式
    NeoChen
        47
    NeoChen  
       2019-12-03 21:48:43 +08:00 via iPhone
    我还是喜欢用 keepass,感觉比 1p 方便…
    PbCopy111
        48
    PbCopy111  
       2019-12-03 22:11:53 +08:00
    @kunsito #42 你知道间谍这个工作是干嘛的么?
    shutongxinq
        49
    shutongxinq  
       2019-12-04 00:49:51 +08:00 via iPhone
    @hihipp gpu 再强悍也是 polynomial time,打 np 问题本质上 cpu 没区别,也就是别人密码要多加几位的区别罢了。
    imn1
        50
    imn1  
       2019-12-04 00:50:33 +08:00
    @kunsito
    不知道怎么回应
    密码软件,我觉得用的人自然认为足够安全,不是绝对,是足够
    不用的人,也很难批评人家不安全,除非专做安全方面的专家现身,不然 LZ 很难得到客观答案,仅此而已

    @jxie0755
    同上,没用过很难评价
    随机密码我也不喜欢,一来如你所说
    二来,1p 不知道,keepass 生成的是不带符号的,我想是作者考虑并非个个网站都支持符号,才这样

    密码软件和工具,我觉得#12 说得在理,更多是在于便捷
    桌面的话,我有自写的程序,连本地保存都没有,每次根据主密码(脑子记)和 domain/账号,算出该网站密码,但手机我是没办法移植过去(不懂 android 开发),还好我是手机轻度用户,除了几个支付密码外,大部分 app 都是首次使用填密码,后面用就不需要了,没太大阻碍
    其实不是所有密码都不存,例如 email 用的是 app 密码,由网站生成,不是自己算法计算的,还是要存的

    基本上保持一站一密,避免碰撞,算是足够了,浏览器的保存,可以当成密码工具的一种形式,方便为主

    我给自己定了几条规则:
    1.密码的重要性分级,分开不同地方存放,包括 2FA 也和密码分开放(不分开 2FA 没太大意义)
    2.极度重要的密码,例如前面说的主密码,属于密码的密码,脑子记、非电子方式记录到别人看到也并不知道是密码的地方,以备失忆,🐶
    3.高度重要的密码,放弃便捷,以目测和手打的方式输入,剪贴板权限目前是无解的
    4.不太重要的密码,如什么资源网站的账密,被偷了又何妨?怎么方便就怎么记是了

    相比密码工具,我更重视隐写工具,长期保留可运行版本(每次系统更新我都要检查对它有没有影响)
    一些图片,别人看是“风景”,但我知道里面写了什么
    SharkIng
        51
    SharkIng  
       2019-12-04 02:29:35 +08:00
    1Password 有两种:

    一种是:1password.com 这种云端的,数据都存在他们的服务器上,Subscription 付费,一个月多少钱,可以家庭
    另一种:老版本 1password (不知道现在还有没)可以存在本地,完全没有备份,也可以使用 Dropbox,iCloud 备份数据库

    对于题主问题来讲主要就是数据库怎么是否云端的问题,如果不云端备份的话丢了怎么办?如果云端备份的话,第二种相对好一些,可以选择自己信赖的服务,或者可以选择在本地然后通过本地例如 NAS 备份(理论可行)

    关于安全性这两种其实一样的,据他们说法是数据库经过各种加密,加密除非有 Master Password 否则无法破解。所以按理说即使有人得到数据库也拿不到里面内容。当然这是理论值
    lovestudykid
        52
    lovestudykid  
       2019-12-04 02:46:14 +08:00
    你总得信任点什么,毕竟没法从提炼硅开始做起,CPU 能植入漏洞,openssl 也可以植入漏洞。用商用软件,理论上你只需要信任他就够了。如果用 keepass,你需要信任一大堆开源开发者,要信任客户端的开发者,要信任云服务商,任何一个环节出问题都可能导致安全隐患。
    cnnblike
        53
    cnnblike  
       2019-12-04 03:46:46 +08:00
    bitwarden-rs 可以自己 host 的
    Dachunlv
        54
    Dachunlv  
       2019-12-04 08:31:12 +08:00
    放心大胆地用吧,起码他是目前来说口碑最好的,到底有多安全谁能说得清楚呢?
    atwoodSoInterest
        55
    atwoodSoInterest  
       2019-12-04 09:04:44 +08:00
    我认为安全是由 **价值** 和 **壁垒** 构成的。
    高价值,低壁垒,不安全(李嘉诚儿子被绑架)
    高价值,不够高的壁垒,不安全 (一身名牌走在没有监控的小路,带了一条吉娃娃当保镖,哈哈)
    低价值,低壁垒,安全 (一个 q 币都没有的账号密码,放在了个人电脑上)

    感觉把自己的没有什么价值的密码绑定在了一个软件上,这个软件的价值就远高于我密码的价值了,反而导致了不安全。(技术壁垒是有,但是在成千上万人的账号价值下,始终有被黑的可能性)
    liuqi0270
        56
    liuqi0270  
       2019-12-04 09:26:32 +08:00 via iPhone
    跟风问下,招行掌上生活这样的 app 不能调用 1P 的用户名密码?
    chengkai1853
        57
    chengkai1853  
       2019-12-04 09:31:35 +08:00
    如果非要强调安全性,Keepass 可以看这里,会让人有安全的感觉。https://www.intigriti.com/programs/keepass/keepassbyec/detail
    mangoDB
        58
    mangoDB  
       2019-12-04 09:52:33 +08:00
    @BayernTutu 感谢,不过我并没有在“安全”中找到指纹登陆的相关设置。我怀疑是最近版本更新导致,与此同时 app 语言也从中文变成了英文。
    mangoDB
        59
    mangoDB  
       2019-12-04 09:54:57 +08:00
    @SharkIng 隐约记得几年前,1password 不在云端存储数据被作为一个优点,用来和 lastpass 比较。但目前感觉 1password 应该是主推云端存储数据,弱化用户手动备份数据。
    DiamondbacK
        60
    DiamondbacK  
       2019-12-04 10:30:01 +08:00
    没有多处备份才是不安全,全靠脑子就更不安全了。大部分担忧都是臆想,甚至连软件功能都说错了。
    h123123h
        61
    h123123h  
       2019-12-04 10:35:29 +08:00
    这有点像区块链钱包,密钥保存本地,但是后台真的想获取,你也没办法吧?
    auhah
        62
    auhah  
       2019-12-04 10:37:55 +08:00
    我用它最主要的目的是防止撞库,懒得填密码

    我重要的密码都没在里面存。。。存的都是一些杂七杂八的网站密码

    真要是不安全全丢了。。那就丢了,换一遍密码的事没啥损失
    nrtEBH
        63
    nrtEBH  
       2019-12-04 11:10:11 +08:00
    敏感密码只存在脑子里
    statement
        64
    statement  
       2019-12-04 11:16:07 +08:00
    其实现在密码的安全性也没那么重要了 上一点体量的公司 即使被人获取了密码也没太大的风险
    xfriday
        65
    xfriday  
       2019-12-04 12:28:51 +08:00
    出了事就不安全,没出事就安全
    vex2pp
        66
    vex2pp  
    OP
       2019-12-04 13:21:27 +08:00
    看了那么多,我还决定把密码写到纸上吧。
    SharkIng
        67
    SharkIng  
       2019-12-05 02:52:24 +08:00
    @mangoDB 我个人并不是非常抵触云端存,因为无论如何都至少需要有个地方备份,否则那么多密码要是电脑损坏等想恢复都不好弄。
    JasonShawn
        68
    JasonShawn  
       2019-12-09 11:20:24 +08:00
    @otakustay 手机上可以面部识别,MacOS 上只有 safari 可以指纹解锁, chrome 貌似只能手打密码.
    JasonShawn
        69
    JasonShawn  
       2019-12-09 11:21:09 +08:00
    @ShadyK 找个老婆,他也不一定看奈飞,孩子更不可能看.而且老婆可以用自己的手机记住密码,跟 1password 一点关系都没有
    otakustay
        70
    otakustay  
       2019-12-09 11:49:00 +08:00
    @JasonShawn 我的 chrome 也可以指纹解锁
    JasonShawn
        71
    JasonShawn  
       2019-12-18 16:06:01 +08:00
    @otakustay 我在设置中完全没有找到关于指纹解锁的选项.请问你是怎么设置的?插件是 1password 还是 1passwordX?
    BlueLuffy
        72
    BlueLuffy  
       2020-02-07 04:57:37 +08:00
    没有用 1password 的云端,采用了 dropbox 和 icloud 的云端,然后重要的与财产相关的密码以及重要证件没有放入 1password 里面,所以不要完全相信这个软件,自己按照密码重要性和便捷性去取舍。
    BlueLuffy
        73
    BlueLuffy  
       2020-02-07 04:59:11 +08:00
    @imn1 密码之类的安全问题还是持谨慎的态度比较好,万一有小白听你的把各种重要的密码都放进去了,出了问题就是大问题,所以对于这样的问题还是 疑罪从有 比较稳妥。
    imn1
        74
    imn1  
       2020-02-07 07:52:10 +08:00
    @BlueLuffy #73
    你说 #2 吧,我没加🐶而已,参看#9 #50
    #50 我定给自己的规则中就有一条不用工具的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   997 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 19:15 · PVG 03:15 · LAX 11:15 · JFK 14:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.