V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lasse
V2EX  ›  macOS

1password不够安全啊!!

  •  
  •   lasse · 2013-04-11 11:10:40 +08:00 · 5554 次点击
    这是一个创建于 4237 天前的主题,其中的信息可能已经有所发展或是发生改变。
    可能是我火星了。
    今天无意中在我的PC里搜索到1password(MAC版本)在dropbox下保存的data目录
    .....\1Password.agilekeychain\data\default,底下有个contents.js 建议大家打开看看,你会发现所有1password里记录的item标题都明文显示在里面。包括Secure Notes的标题,虽然看不到标题下对应的具体内容,但是标题本身就涵盖了很多你想保密的信息!

    1password应该没有在特别明显的地方告诉我们其实item 标题是不安全保存,可以被全文搜索到的。我网上找了下相关的讨论,官方解释如下:
    http://support.agilebits.com/discussions/questions/1261-title-and-hostnames-stored-in-the-contentsjs
    16 条回复    1970-01-01 08:00:00 +08:00
    sdysj
        1
    sdysj  
       2013-04-11 12:13:45 +08:00
    所有云同步的密码管理应用都不安全,自己搭建同步才免遭一锅端。
    webflier
        2
    webflier  
       2013-04-11 12:29:50 +08:00
    @sdysj 你自己搭建的能比dropbox更安全?
    swulling
        3
    swulling  
       2013-04-11 13:11:13 +08:00
    @sdysj 不要一棒子打翻一船人。
    「所有云同步的密码管理应用都不安全」

    从技术上讲,目前的LastPass等云同步的密码应用是非常安全的,暴破什么的都是扯淡流。。。
    lookhi
        4
    lookhi  
       2013-04-11 13:32:08 +08:00
    keepassx本地保存 上次同步也不怕。密钥保留好就成
    wzxjohn
        5
    wzxjohn  
       2013-04-12 08:14:28 +08:00 via iPad
    @swulling 但是LastPass绝对是众多黑客的目标。光这一点就不安全了。。。
    Wonderwall
        6
    Wonderwall  
       2013-04-12 09:23:58 +08:00
    刚刚问了一下开发商,1Password 4已经是全部加密的了
    feiandxs
        7
    feiandxs  
       2013-04-12 09:51:01 +08:00
    我的工行银行卡密码是850403


    so ?
    csx162
        8
    csx162  
       2013-04-12 10:22:04 +08:00
    我自己的lastpass已经用上了两步验证,我感觉还是非常安全的
    @wzxjohn
    swulling
        9
    swulling  
       2013-04-12 10:59:22 +08:00
    @wzxjohn 我的意思是就算Lastpass数据库被破,你的密码也很安全
    lasse
        10
    lasse  
    OP
       2013-04-12 13:44:45 +08:00
    @Wonderwall 4不知道什么时候能出,我看了下release note 最近一个版本都快一年没更新了
    Version 3.8.20 3 changes Published 2012-07-17
    viogus
        11
    viogus  
       2013-04-12 16:56:49 +08:00
    最新的是3.9.x吧
    Wonderwall
        12
    Wonderwall  
       2013-04-12 20:23:21 +08:00 via iPad
    @lasse @viogus
    Mac的4还在开发,ios的已经是4了。
    lasse
        13
    lasse  
    OP
       2013-04-13 11:49:18 +08:00
    @viogus 是的,我在mac app store上买的,查了下是3.9.6
    luyan
        14
    luyan  
       2013-04-13 22:54:59 +08:00
    目前来说,我感觉1password还是不错的
    nVic
        15
    nVic  
       2013-04-14 15:33:50 +08:00
    @swulling 未必吧,一个dns污染就能直接拿到你的密码了。
    swulling
        16
    swulling  
       2013-04-14 22:11:04 +08:00
    @nVic lastpass密码是加密存在本地和上传的,除非控制本机。否则以当前的计算能力,可以认定密码安全。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2816 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 09:46 · PVG 17:46 · LAX 01:46 · JFK 04:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.