国产的密码管理软件，我就问你敢不敢用！

我来翻页

楼主前期发帖就是典型软文，文中说自己发现了自己的产品，现在终于说出来是自己开发的，前后还没到两个月（ 51 天），你们这样随便欺骗人，如何让大家相信你们？

我只能说，楼主自己毁了自己。
这是一个讲诚信的社会，我不敢把密码交给这么笨的骗子！

很热闹的主题， 我也想补充一句我的想法：
国外的月亮虽然不一定比中国的圆，但是对方 zf 就算拿到我信息也不想、不能对我怎么样。

国内的产品除了隐私外，还有个服务的持久性。

密码跟云盘文件是两个概念?这都能相提并论?安不安全是质疑,你连这都回答不好....其他的还是先别答了

还是 既然说自己是非技术人员,就不要带上技术相关的了吧.....丢人

国产软件即使作者和运营者无恶意，但是天朝政府无法无天的情况下 你无从抵抗 让别人怎么相信。
国外软件至少人家有本钱不鸟天朝。

@loading 你自己没看清楚帖子内容就开喷，麻烦把帖子看看清楚。我有说过洋葱是我开发的吗？ 我简单点说吧，发上个帖子的时候我在找公司投简历，后来找到了。

200 层看下来，只能说如果这软件是楼主所在的公司开发的，就我个人来说，肯定不敢用。无论是国内还是国外的。

@Dexter0 好吧，反正也只有你自己知道，随便你吧。
现在更不敢用了……

谢谢楼主。

@vonsis 200 层看下来，你也是辛苦了。

@Dexter0
1 、领导对员工好，所以员工推广公司产品的时候就可以无节制？怎么说呢， IT 业的自干五？
2 、你说不在其位不谋其政，那么你作为一个开发人员怎么干起了无节操推广任务呢？这不是市场部的人做的吗？然后你干政了？还是想篡位？@奶罩 ，快来看看你家员工十项全能，又开发又推广，这个月不加工资怎么说得过去啊？
3 、不不不，在我回复你之前你说的话不少了。你只是针对“ GOV 要数据到底给不给“的问题上面惜字如金，就像你连续两次长篇回复我一样，只谈皮毛不谈问题一样。
4 、如果你觉得作为一个开发者来说这个问题不好回答，直接说或者沉默就好了。没必要搪塞或者转移话题，这样不磊落甚至很 low 。我们不是你的竞争对手，不应该被你当作敷衍的对象。

不敢，密码这种重要的东西要么存本地要么存到所在地政府不能轻易接触的地方。
如果移民国外，我才可能会用国内的密码管理软件，更可能还是不用

@mrlawrence
1.发俩帖子就是无节制推广了，你的“节制”值几毛?
2.发俩帖子，提一下自己家产品，就是篡位！！！照你这个逻辑 这个贴里这么多抱怨 GOV 会拿用户数据，是不是要夺权？（我一共就发了仨帖子，就算你全部当成推广帖，也就三个，你这个反应有点过激）
3.关于“给不给”的问题，我一直很真诚很正面回答你：我不知道。 我是真的不知道，我特么没工作多久，你问我一些跟政府打交道的事情，我真不知道怎么处理（也不会由我来处理）

如果你知道如何处理，我很愿意向你请教，真心的。

我自己的话，肯定是不会用也不敢用的。

不过作为这样一个国产产品，你就不应该在这里问这种问题，这里没有你的目标客户，这玩意儿还是得看普通互联网用户，不知道你们能不能成，但我觉得这种服务有潜力。

@xucuncicero 感谢不喷之恩~（今天也就工作之余水个帖子，结果被喷懵逼了 23333333 ）

想说爱你不容易。

不会用。
作为技术人员，对这些应用都不放心。
从另外一个角度说，密码管理这个应用是极小众的需求。

@Dexter0 喂喂，你这个是在侮辱大家的智商么

51 天前：『我就发现了一个免费的在线密码管理工具：洋葱』

现在：『我们做了一款密码软件：洋葱 做了大半年』

解释：『我有说过洋葱是我开发的吗？ 我简单点说吧，发上个帖子的时候我在找公司投简历，后来找到了。』

这贴水了，其实 2 楼、 69 楼的回复就已经很到位。

@Dexter0 提醒一下, 你这个广告影响太差了, 马上就秋天了, 天干物燥, 小心 fire 哦亲....

我认识的一位高 P 在用贵司的软件，他也向我肯定并给我介绍了贵司的软件。

理论上来说，在某国，用户根本就是无隐私的，用户要求一个公司去影响政策……
倒不如大方承认来的爽快……

I use GPG + Emacs + GitHub Repo...

网易邮箱很好用，我选择 gmail

开源吧

原来我司也在用吗。。完全没见过啊。。

@Dexter0
1 、如果推广要算数量的话，你的确做得很好，节制；如果要说质量的话，前面的朋友已经给你的推广评价了： low
2 、我觉得你语文成绩肯定不好。我原回复是”你说不在其位不谋其政且不是董事长 CEO ，那么为何为自己产品如此卖力推广呢？“你不是市场部怎么这么卖力推广难道不是篡位？你前面说不在其位不谋其政，后面又觉得自己替市场部干活很正确？
3 、如果你不知道就说不知道，脾气这么大的开发者我在 V2 上面看得还很少。不知者无罪，说不知道很难吗？大胆承认自己初出茅庐不懂事很难吗？非要大脾气被人喷，痰盂营销？

讲真，不敢。

不过，你们要是坚持做了十来年，也许我会试试。

关于国产，涉及隐私信息的软件和服务。

首先，我觉得不管具体国情如何，一些措施和条款都要具体列出来吧。 LastPass 称自己也解不开用户的密码， KeepPass 和 1Password 是用户自己的数据库，也称只有用户能看到数据。而洋葱我没看到这样的声称，当然我希望有这样的声称，就跟 RAR 加密一样，技术上保证的情况下，其它方面的压迫我觉得贵司完全可以免责。

其次，稍微吐槽下主密码。以上三个知名密码管理软件应该（我没用过 KeepPass ，请指正）都是一个强密码作为主密码的，虽然有很多不便，甚至还会导致丢失后也找不回来的严重后果。当然这种 all in one 的选择是不是好我暂不争论，但是洋葱选择手机作为主管理器，然后居然用手势来解锁（还强调手势不能太弱……），这个安全性我觉得很一般。

最后就不吐槽啦， PC 端完全不可用倒还好，用扫码来手机来扫码真的是……不过这和主题无关了。

胜败乃兵家常事
大侠请重新来过

不敢

我之前做过一个基于输入法的密码管理器，使用上非常方便（安全性还好啦）。现在用的少了，习惯直接用系统自带的 keychain 来管理密码。

2333 心疼楼主～～～

@xjp 我也说了些不太礼貌的话，主要是因为上来让喷得不行了，有点懵逼。

@zhujinliang 待我再开一帖，邀请此帖所有人，重新喷过，哈哈哈

国产？？？？我胆小，你还是找胆子大的人来用吧！

不是不用，而是不敢！

如果你们开源，本地加密，不依赖服务器，我觉得我会用。反之，不敢用啊，怕被一锅端。

其实楼主想推广成功，建议发一下你们官方网站里面提到的使用了你们服务的一些场景，既然这么多大公司用，你提一下，大家才会去认真对待的。当然，你们要真的有应用场景。


当然，开源也行，但是，那样你们公司会倒闭的，因为国内一大抄你也应该知道……

吐个槽，你们的 ICON 看起来像播放器，我之前一直纳闷这到底是个啥。

换个 icon 吧。

说因为和谐问题不敢用的人 我其实想问 假如 JC 叔叔把你抓进句子里给你来一个保健套餐让你说密码 你说不说?

个人觉得如果能做到，加密后洋葱自己也无法得到明文密码还是能接受的。但是，现在那么多密码管理工具，感觉没什么理由使用非著名软件呀(我个人一般是选用户多的。)


另外，在某一层看到“您的密码强度击败了**%的全国用户”，这个是开玩笑的我还是真的...真有的话就真的不想用了...😷

@danshendog 然而你认识比眼前的 policeman 官阶更高的人，就没什么好怕的腊！

撕起来了噢

国外的泄露的不会像国内的那样瞒着还死不承认，歪果仁对于我那一堆国内账户也不会有那么大兴趣，至少中文对于他们的门槛挺高。当然关键的一些密码还是自己记在脑子里，只会把那些不常用的网站密码放上去。

终于找到情商比我低的人了！

学学华为，虽然手机做的不怎么样，但是广告做的好啊，水军好啊。

如果 GOV 要求你交出所有的用户资料（包括密码），或者“主动配合”“有关部门”的调查和监视，你们会怎样做？如 lavabit 那样么？

国产的东西 即使是开源的，还得大概看下代码，然后国外没有更好的，而且不得不用的才使用，
不针对你，但大环境是这样，遇到太多无节操，没有尝试的动力

@mrhuiyu 笑出声哈哈

@dommyet 你好,请问哪个 safenet 的加密狗我该如何拥有?我通过搜索,官网上好像并没有具体的使用方式,还有售价

@hytd 更正,是那个不是哪个

单机开源才用

如果这项目是 LZ 做的，即使你是国外的软件我也不敢用。

这就像是一个观念，观念是由看多了见多了形成的想法。
就说你吧，可能极端了一点，就说你自己，能不用任何国外的软件吗？
无可替代性可以理解。
那么你可以不用翻墙么？
跟普通网友一样，该用国内软件就用，对国外软件鄙视。

可以么？
如果不能，那就请收回你几楼说过的话，什么月亮圆什么的。

不可能的， 国内公司别说保管密码， 就是注册个用户都毫无节操的把用户的明文密码给保存了。从以往被爆用户库的国内公司来看，居然没有一家公司老老实实只保存用户的加密口令，包括新浪这种规模的公司。

在密码管理软件方面，我会选择 1p + dp 这样的逻辑，不交给任何人管

@hytd 淘宝有 价格人民币一百块一个

这是营销里面最差的一种，智障营销。

@dommyet 谢谢

国内反恐法要求所有软件厂商预留查询接口，实话说能有替代的国外软件基本不用国产软件

楼主在泉水挂机中……

@loading @Dexter0
大哥你开玩笑呢，压缩加密哪里随便解得开。就算不用 64 位密码```随便给你一个 AES 的 十六位密码的，那也解不开。何况好多地方都是 AES+TwoFish+Serpent 。用超算算多少年也解不开啊```

不敢

@dawnLuke 楼主也发现自己错了。其实密码不用很长，包够大也玩死人，哈哈。

付费才敢用

@loading 这是基本的常识啊 他还说自己做密码管理软件开发。然后连密码学基本的常识都```随便能解开的，那都不是真的加密了吧```可能只是用户权限控制什么的。真的用算法加密之后，只要密码不是几位，那都是没法解啊。就算是很老的，几十年前的那些算法，他们应该都解不开。何况新的算法，现在还是多重的加密。

不管软件好不好 反正是毁在这个帖子上了 坐等楼主被公司开除

@dawnLuke 目前 RAR 压缩文件使用的是 AES 算法，是公认比较安全的算法之一。但问题就在于用户使用的密码不安全，许多账号安全事件都是脱库然后撞库搞出来的，密码管理器的意义就在于可以让用户在多个地方使用不同的密码，并且不担心忘记。

楼主你上一个帖子…… 你这不是骗人么？

@mrlawrence
1.你内心认定我在做推广，我说什么都没用，就像我另外一个帖子，明明提都没提洋葱，居然有人追过去喷我，说我做推广，真是气死我了。 https://www.v2ex.com/t/301496#reply16
2 、你认定我在替市场部干活，帮推广。可是我只是发了个帖子而已，我刚开始发这个帖子的时候没想到这么多回复，我发帖只用了 1 分钟，不到 200 个字，上趟厕所时间都不够，我不觉得这是个“卖力”的活儿。
3.辣么多喷我的你不说，正如 1 中的，那个人追着我喷，追到另一个帖子，我都没骂过人，你从哪看出来我脾气大的？

就冲你前后这几个帖子的情况，我不敢用。君子坦荡荡都做不到，你叫我相信你的密码管理软件？搞笑

呵呵，显然不用。衙门可以随便删各网站帖，要是知道了个人的密码，天知道会发生什么奇葩事。😄～～

@wclebb 嗯，观念是长期形成的这没错。我发帖只是出于一个疑问，“为什么大家会觉得国内的不靠谱”，有人就回答“因为 GOV 会拿用户数据”、“国内的法律不健全”等等。可是我还是纳闷，如果同样是如此，那云笔记云盘为什么大家又不介意呢，不一样涉及隐私吗？

然后他们就说我转移话题，不敢正面回答问题，责怪我为什么不能虚心接受……甚至骂人的，换做谁不会生气啊……结果就成这样了。╮(╯▽╰)╭

@Dexter0 我一般都是用的 100+位数随机生成的密码压缩，加密钥文件， AES+TwoFish+Serpent 。不管传网盘也好，邮件也好，都无所谓了。如果你们的这个洋葱 也能做到 zero-knowledge ，然后通过独立的代码审查。那就应该没人会说你没不安全啦。哈哈哈...也不怕什么机构部门的压力了。他们真想要，就算拿到加密数据也没办法。没人解得开。

@jellybool 火力都从软件本身转移到我自己身上来了这没问题。 其实一开始发帖的目的，只是和同事聊到这个话题，他们说有朋友觉得国产软件不靠谱，所以过来想问一下到底“为什么大家会对国产软件心存芥蒂”，想弄明白根本的原因而已，看 273 楼。

@Dexter0 因为真正很在乎隐私的人，都是硬盘整个加密。隐私文件传送，云盘网盘邮件云笔记上传都会加密的。但是你们做的软件不一样，不可同日而语嘛。加密要求要高很多的。因为笔记网盘不一定都是需要加密的隐私文件，但是你做这个密码管理，那都是需要加密了。大家自己都是用的很高级的加密方法，复杂的密钥，通过审查了的软件。所以你们公司想要大家信任，这三点是必须的啊。你们用的什么加密方法？是不是 zero － knowledge 如何应对审查？应该披露这些信息。

大家冷静哈，互喷没啥意义

@dawnLuke 你这个回答就很中肯了，安全性上肯定会努力的，毕竟如果做密码管理服务的话，一旦出事谁还敢用呢。
按照你的习惯，用 100+位随机密码压缩+密钥文件 , AES+TwoFish+Serpent 。说明你是一个很注重这方面安全的人。但是根据以往数据泄露情况看来，有相当一部分人，使用弱口令，暴力破解不是难事。而且他们会在很多地方使用一样的密码，很容易发生撞库。

之前的 CSDN 事件造成了很多网站被撞，前不久的 163 、 Linkedin 也是这样。

@Dexter0 嗯是的，洋葱一出来那天我就知道这个产品。当时记得很清晰是 奶罩团队做的。
然后我个人本来就很看重人品这类虚的东西，像我这种，要推广就直接送东西，坦荡荡推广

至于：
>其实一开始发帖的目的，只是和同事聊到这个话题，他们说有朋友觉得国产软件不靠谱，所以过来想问一下到底“为什么大家会对国产软件心存芥蒂”，想弄明白根本的原因而已

我是不信的。看你这标题和内容，如果真的是上面的目的，为何标题细分到密码管理软件，内容直接说你做的洋葱？如果真的是单纯出于上面的内容，标题不应该是：
>为什么大家会对国产软件心存芥蒂?

其实，一个米缸里，有好米，也有被老鼠屎污染的坏米。
但是谁有这个耐心去甄别呢？所以，还是选择一个国外产品吧。

呵呵 LZ 作为一个利益相关到现在还在一脸无辜状的卖萌 密码和云盘笔记是重要级别完全不同的东西 真是强行纳闷

@Dexter0 纳尼说嘛 你们怎么加密的，说完就都信服了 哈哈。说完你也知道你这个帖子问题的答案了。
LastPass ： AES-256 bit encryption with PBKDF2 SHA-256 and salted hashes 。他们还有 two － factors 和 Regular Third-Party Audits.
1Password ： Providing a secure foundation with 256-bit AES encryption, PBKDF2,

@9hills 发帖子的时候没有把话说准，对不起了好不好。但是死掐着“我们”、’“大半年”这几个字眼来攻击我，真的没意思。

我举个例子好了，“今天修这个 bug 花了我大半天时间”，这里的“大半天”只是形容时间长而已，但是你非要说“什么？你今天花了整整 12 个小时修这个 bug ？你骗人！”同样，做了大半年”的意思是：洋葱推出的时间不短了，但是发现一直有人说国产不安全………

我用词不准确，这个怪我，我和所有人道歉，可不可以？ 但是我没怎么上 V2 ，不清楚发的帖子是不能改的，在其他大部分论坛都是可以改的呀！


8 楼的时候我说压缩包容易被破解，那个也是说错了，导致大家一致觉得我没有密码学常识。其实我的本意是，如果 GOV 真的打算要你的个人信息，你只要肉身在中国，什么手段都没用。但是我没太说清楚，于是就说成了“小小的压缩包加密等于没有加密。”当时准备叫外卖吃午饭了，说话也是没过脑子。没想到就被抓住不放。

毕竟闭源啊，我连 1password 都不敢用

@evagreenworking 我当时为什么会提到云盘和云笔记，请看 273 楼。还有说句题外话（不知道会不会因此又遭喷）为什么他们觉得我脾气大，你还觉得我在卖萌？我是真心被喷累的，白天上班一直被这个影响心情，晚上回来好好回复一下，好休息。

@Dexter0 哈哈 代表群众原谅你在八楼的错误啦。但是你说的还是不全面，如果十分注意的话，至少网上的行为，可以做到不被 GOV 侦查到。网上的人可以完全和现实的身份分离开的。这个是可行的。

说说你们的 security policy 是怎么搞的吧 对这个比较感兴趣```如果能公布的话

国情原因。

其实楼主你真想做推广的话，与其在 V2 和我们扯，不如去其他渠道推广那些还没有密码安全意识的人了。

何必纳闷我们对国产服务的看法呢，还牵强地扯上什么云盘云笔记。更何况很多负面看法并不是没有依据的。

你和我们说再多，我们弃用现在手头的 1Password 、 LastPass 之类，转去用你们服务的可能性又有多少呢？

我就问一句， 110 找你要密码你给不给？你要说你加密了你自己也看不到你想想 110 会要你怎样？跟国情对抗就是死路一条。

@jellybool 关于为什么没有用你说的那个标题，我只能说每个人的思维方式都不一样的，因为我不想让这个讨论变得国语宽泛，大家也没有对国产软件心存芥蒂：我们每天都在用着微信微博 V2EX 以及各种国内产品。但是唯独在密码管理这块大家非常抵触（至少周围不少朋友提过），出于一个了解用户需求的目的，毕竟顺手发个帖子，真的不会思考那么多，字字斟酌呀。后来越说越黑，是确实着急，手头有工作要做，但是不回复又心里膈应。

关于你说的推广方式，这个不是我决定的，我也只是一个普通员工呀！但是这个帖子我被喷成这样，全公司的人也都知道了，不知道情况怎么样，也不知道我还能不能继续呆下去，/(ㄒoㄒ)/

@Dexter0 你说“安全性上肯定会努力的”，那请你具体说说你们做了什么努力

@dawnLuke 感谢，其实我不是特别确定（因为我不是负责这一块的），所以不敢乱说，怕说得不对或者不完整又被一些人死抓不放。我到时候另开个帖子澄清并说明好了，不管我到时候还在不在洋葱。

@Dexter0 哎呀 你这说的太上纲上线了。至于么 还待不下去了。哈哈 你这小心脏太脆弱了吧。如果是我的话 就整理一份报告出来给开发人员，就是现在 IT 从业者对于密码管理软件的看法。相信这也是制约你们公司发展的因素之一吧，也能知道至少是技术上对于这方面的要求。

挺好的啊，做了一次市场调研，问卷调查一样，还免费的呢。很有价值啊。

至少 client 端开源才敢用

@dawnLuke 他们说因为我这个帖子，就再也不用洋葱了，所以我怕我的个人行为对公司造成不好的影响，如果真是那样，我也不好意思呆下去了，唉不管，顺其自然吧。不过通过这个帖子我也基本了解了这里的 IT 从业者对密码管理软件的看法，大致有这些类：
1.对 GOV 拿数据的有所忌惮
2.对是否开源比较关心
3.是否本地加密，用户自己掌握解密方法
4.加密措施是否到位，算法是否公开
5.数据是存储在用户的云盘还是服务提供商那里

还有很多，太多了有些说不完，到时候整理下另开一个帖子。

我记得奶罩有一次说过，他自己以前也是买的 1password ，觉得价格挺贵的，后来 1password 出了团队版，价格更是夸张，所以想把洋葱也加入密码管理功能，并且可以提供团队服务（之前主要是做替代密码方案）作为补充。我觉得解决密码问题这个想法本身就很棒，公司也有不少同事说自己是因为觉得这件事情很有意义才过来的。

然后我发个帖子，就有人质疑我”既不是 CEO 又不是领导，为什么这么卖力为市场部干活”，难道创业公司的人不应该这样吗？ :-(

「您需要开启权限通知才能接收到推送服务」

每次打开 App 就给我这个模态框提示，我都点击了「暂不设置」了，还是每次、每次、每次打开都提示。

- 我能说脏话吗？
- 不能
- 那我没什么好说的了。

@Dexter0
不知道你们有没有调研过，做密码替代，我不是特别看好这个市场``` 还太早吧。以前国外有过一款做硬件的公司，虹膜识别的，也是替代密码```不知道怎么样了。

“他们”是谁们？ 你们公司又不是只靠 v2 上面的这几人用。好多人本来就不用，他们说再也不用```不知道这样说有什么很大的意义没。 哈哈 觉得好搞笑的。

从另外一个方面分析，你增加你公司的曝光度了啊。这是要火的前奏啊 哈哈哈。不管是好的 reputation 还是有争议，这都是自然的。哪个公司没争议。

我估计你这比 v2 上面的广告效果还好。 v2 上面的广告估计大部分都被屏蔽了吧，反正我是从来没看到过 哈哈

为啥下载不了，想用

@Dexter0 你太敏感的。乌合之众，程序员也这样。别人说你就怎么怎么样了，没那回事。世上闲的无聊的人，有恶意的人多了，就是无理由的互相看不对眼的也多了去了。哪能顺了每个人的意。要有人看不惯就不舒服，那干脆别活了。

”既不是 CEO 又不是领导，为什么这么卖力为市场部干活”。说这的倒也挺有意思。那我问你， v2 上面打广告的都是 CEO 么？都是领导么？为什么公司里的任何一个员工不能推广公司的产品。你这行为是不是推广还不一定（是不是只有你自己清楚吧，我个人倒觉得是现在人都太敏感，看不得除了开源产品之外的任何产品来这上面吧。特别是你的标题，你学过语言学就知道，你这样的语气是把自己放在其他人的对立面，本来就是引导人起争议的，如果你真是在打广告的话，这点无疑是没做好的。。。） v2 上发帖难道就是宣传渠道之一么？不清楚 v2 现在的发展，但是我是抱怀疑态度的。在一个论坛发帖，上纲上线干什么。

这无关是不是创业公吧，他们心态不正确。正是在一个公司里面，从感性上来说，跟融入一个家庭一样。从理性上来说，是利益共同体。做宣传，维护公司的形象什么的在正常不过了。

你应该收集大家的看法，然后整理出来。这才是你应该做的。

赞同 69 楼 @imn1 ， 85 楼 @Aliencn ， 191 楼 @zsj950618 ， 205 楼 @crab 和 287 楼 @Sauce032 的观点。

目前来看，密码管理软件的用户主要是对自身隐私保护较为重视的群体。但是，我觉得你们完全没必要因此就把目光聚焦在这个群体上，而应该扬长避短，开拓更大的蓝海市场。

按照目前的国情，不懂英文、不懂科学上网、不懂密码学、对自己的隐私毫不在意的用户和 V2EX 这群人相比，孰多孰少？如果你们发挥好自己的本土化优势，把产品定位于「管理好他们自己记不清楚的各个网站的纯数字弱密码」，我相信你们的产品不难取得成功。当然，如果能顺便引导这些用户逐渐提高自己的隐私保护意识，增强一下自己的密码强度，那就更好了。

相反，建议你们公司不要在 V2EX 这样的平台进行推广，这里什么形势 69 楼已经说的很清楚了，想必楼主也已经亲身体验到了。看了你发的 14 楼和 20 楼，我觉得你的看法可能与 V2EX 上多数人的看法是有较大差异的，继续在这里宣传你们的产品可能会带来更多无意义的撕逼，造成负面影响。

@Arnie97 其实把产品定位为转卖密码给黑产，可能成功的可能性更大