首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vex2pp
V2EX  ›  Apple

1password 这样的保存密码 app 安全吗?

  •  
  •   vex2pp · 47 天前 · 4957 次点击
    这是一个创建于 47 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1password 这样保存密码的 app 安全吗? 本地存储,还是上传到云端?

    71 回复  |  直到 2019-12-18 16:06:01 +08:00
    kera0a
        1
    kera0a   47 天前
    我是本地存储,然后开了 iCould 自动备份,安全性应该还行
    imn1
        2
    imn1   47 天前
    v2ex 有大量 1p 的客户,你说不安全?拿出证据来
    目前好像只有 keepass 是没有云端的
    vex2pp
        3
    vex2pp   47 天前
    @imn1 我没说不安全呀?
    我是在问大家安全不安全,我没用过,最近想了解下,如果挺好就用一下。
    上传到云端,数据泄露了咋办啊?
    isaacpei
        4
    isaacpei   47 天前
    安全 因为我忘过主密码
    Dvel
        5
    Dvel   47 天前
    存本地的没啥安全问题。
    vex2pp
        6
    vex2pp   47 天前
    @Dvel 1password 可选密码存储方式?
    vicnicLight007
        7
    vicnicLight007   47 天前 via iPhone
    我是客户端开发,自己写一个
    Ettup
        8
    Ettup   47 天前 via iPhone
    @vex2pp 我用 Dropbox 同步
    imn1
        9
    imn1   47 天前
    @vex2pp
    好吧,又遇到一个一本正经的人,是我说话方式错了
    这是反问方式陈述状态,语文修辞手法之一,我意思是这里已经很多人用上了 1p,没必要问安全性,他们自然都认为足够安全才用的,你得到的答案自然也只有一个:安全

    信任问题,你是否信任对方的保密能力,如果在 icloud,还有是否信任 icloud
    我个人对云端保存持保留态度,我考虑的并非只有被黑之类暴力获取,而是放在一个不可控的地方,只要时间足够长,必然会有意想不到的状况,还包括丢失、数据损坏等等非暴力情况,放在身边能快速应对
    ftu
        10
    ftu   47 天前
    安全,目前没啥负面传闻
    Dvel
        11
    Dvel   47 天前
    @vex2pp #6 好像订阅的是云端同步,买断的是本地自己同步。
    hihipp
        12
    hihipp   47 天前   ♥ 1
    我觉得这类软件,考虑使用便利性大于安全性。安全是相对的,用他的订阅服务(云端)和自己传云端(本地),性质一样。

    鉴于 GPU 性能太强劲,加上有 hashcat 这类软件,破解只是时间问题,详情看 1Password 这个连接。

    https://support.1password.com/pbkdf2/
    yihaomizhijia
        13
    yihaomizhijia   47 天前 via iPhone
    没有绝对安全,极端的人,自己用实体笔记本写暗语提示,锁在保险箱。但是这样就牺牲了便捷。
    MeteorCat
        14
    MeteorCat   47 天前 via Android
    我也赞同没有绝对安全,只有相对安全,目前来说用 1password 是相对安全的方式
    opengps
        15
    opengps   47 天前 via Android
    起码是个做安全的,至少比哪些不懂密码存储的系统处理到位
    di11wei
        16
    di11wei   47 天前
    我一直在用的,我觉得我的那些密码和信息,还不足以让我担心安全的问题。
    AoTmmy
        17
    AoTmmy   47 天前 via Android
    @imn1 KeePass 可以用 webdav 比如坚果云或者自建
    Junn
        18
    Junn   47 天前
    只能这么说,目前来看,相对安全。
    otakustay
        19
    otakustay   47 天前
    数据通过你的 master password 加密后经过网络传输保存在服务器端,但 master password 不经网络传输也不存在服务器端,所以丢了 master password 全完蛋,反之只有你有 master password 其他人拿到服务器的数据无法解密
    想硬破 AES 加密?省省心吧我们大部分人的数据没这价值
    Leonard
        20
    Leonard   47 天前
    借楼问下,1password 相对 iCloud 钥匙串除了跨平台外还有哪些优势?
    free4537
        21
    free4537   47 天前 via Android
    可以考虑生成密码的工具,就是记忆密码 + 区别码 + 算法生成高强度密码。
    JasonShawn
        22
    JasonShawn   47 天前
    说实话吧用户体验感觉并不是那么太理想,Safari 插件支持比不上自家的钥匙串,Chrome 每次填充密码都要解锁 1password,而且还不能用指纹识别解锁,这就比较操蛋了.Mac 上的应用也支持的不够好,每次都要自己手动唤出 1p,然后填充才行.可能是我用的方式不太对?iPhone 上面我也没找到在软件中如何唤出 1p,支持的软件会有提示,不支持的根本没法搞.免费一年用用还行,花钱真的不知道值不值的搞.求大神指导一下‘如何正确使用 1password’..在线等.挺急的..
    ShadyK
        23
    ShadyK   47 天前 via iPhone
    @JasonShawn 找个老婆,生几个孩子,一家人共享一些账号比如 Netflix 的时候,就有价值了
    otakustay
        24
    otakustay   47 天前
    @JasonShawn 可以用指纹解锁,iOS 上要先单独打开一次 1password,app 里要聚集密码那个输入框才会提示能自动填充
    hedongcun
        25
    hedongcun   47 天前
    不安全,但我选择用。
    chztv
        26
    chztv   47 天前
    在没有新的竞品出现前,1Password 还是首选。
    QUIOA
        27
    QUIOA   47 天前 via Android
    不想付费
    cpper
        28
    cpper   47 天前
    @isaacpei 悲伤的故事
    tankb52
        29
    tankb52   47 天前 via Android
    lastpass 被攻击过好几次。我都还在用
    d5
        30
    d5   47 天前
    都是 sqlcipher 吧,微信聊天记录也是如此。
    理论上没有密钥解不开的。
    1p、enpass 等等都是公开采用加密 SQLite 数据库-sqlcipher
    d5
        31
    d5   47 天前
    软件不作恶的情况下是安全的
    Nathanzheng
        32
    Nathanzheng   47 天前
    借楼问句为什么都选择 1pass,Lastpass 有啥缺陷吗?还是 1pass 有啥优势?
    Yuicon
        33
    Yuicon   47 天前
    我还自己做了个网站 明文存储密码 最安全莫过于别人不知道
    rainincloud
        34
    rainincloud   47 天前 via iPhone
    @Nathanzheng #32 lastpass 手机端无法搜索笔记内容,电脑端可以,不知道怎么想的。
    arthas2234
        35
    arthas2234   47 天前
    当成本>>收益的时候,就是绝对的安全
    mangoDB
        36
    mangoDB   47 天前
    借楼请教个问题,有人知道为什么 Lastpass 的 Android 版本,无法设置指纹登陆吗?

    记得以前是可以的,最近版本更新之后这个功能不见了,找了很久都没有找到。
    sephinh
        37
    sephinh   47 天前 via iPhone
    @vex2pp #3 keepass 加密完再传网盘,不担心泄露问题
    BayernTutu
        38
    BayernTutu   47 天前 via Android
    @mangoDB 设置-安全-指纹解锁。我的一直都是指纹解锁
    alphatoad
        39
    alphatoad   47 天前
    我读过他们的白皮书,我认同这是目前在安全和便利之间平衡得很完美的解决方案
    kunsito
        40
    kunsito   47 天前 via iPhone
    @imn1 我就说不安全啊
    kunsito
        41
    kunsito   47 天前 via iPhone
    @imn1 正常人都不会觉得人家问问题是怀疑,你这也太敏感了
    kunsito
        42
    kunsito   47 天前 via iPhone
    只有存在脑袋里 100%是安全的
    solitudewm
        43
    solitudewm   47 天前
    只用 mac os+ios 的话是不是自带钥匙串使用感吊打 1P 呀?只有跨平台需要用 1P 吗?
    jxie0755
        44
    jxie0755   47 天前
    @imn1
    请问怎么看 chrome+icloud keychain 这样的组合? 对比 1password 有什么优缺点?

    我目前没用 1password 主要是怕有些网站不支持, 不过话说回来也不是每个地方都支持 chrome 和 keychain.
    但是因为我手机一直是 iphone 至少我能在手机上手动查找.

    密码的话, 我个人特别不敢使用机器生成的随机密码, 因为如果 app 丢了那就彻底没了, 还是用的熟悉的字段各种拼接和组合
    sunmacarenas
        45
    sunmacarenas   47 天前 via Android
    enpass
    classyk
        46
    classyk   47 天前
    只用本地存储,不用他自身的云。要同步也是其他方式
    NeoChen
        47
    NeoChen   47 天前 via iPhone
    我还是喜欢用 keepass,感觉比 1p 方便…
    PbCopy111
        48
    PbCopy111   47 天前
    @kunsito #42 你知道间谍这个工作是干嘛的么?
    shutongxinq
        49
    shutongxinq   47 天前 via iPhone
    @hihipp gpu 再强悍也是 polynomial time,打 np 问题本质上 cpu 没区别,也就是别人密码要多加几位的区别罢了。
    imn1
        50
    imn1   47 天前
    @kunsito
    不知道怎么回应
    密码软件,我觉得用的人自然认为足够安全,不是绝对,是足够
    不用的人,也很难批评人家不安全,除非专做安全方面的专家现身,不然 LZ 很难得到客观答案,仅此而已

    @jxie0755
    同上,没用过很难评价
    随机密码我也不喜欢,一来如你所说
    二来,1p 不知道,keepass 生成的是不带符号的,我想是作者考虑并非个个网站都支持符号,才这样

    密码软件和工具,我觉得#12 说得在理,更多是在于便捷
    桌面的话,我有自写的程序,连本地保存都没有,每次根据主密码(脑子记)和 domain/账号,算出该网站密码,但手机我是没办法移植过去(不懂 android 开发),还好我是手机轻度用户,除了几个支付密码外,大部分 app 都是首次使用填密码,后面用就不需要了,没太大阻碍
    其实不是所有密码都不存,例如 email 用的是 app 密码,由网站生成,不是自己算法计算的,还是要存的

    基本上保持一站一密,避免碰撞,算是足够了,浏览器的保存,可以当成密码工具的一种形式,方便为主

    我给自己定了几条规则:
    1.密码的重要性分级,分开不同地方存放,包括 2FA 也和密码分开放(不分开 2FA 没太大意义)
    2.极度重要的密码,例如前面说的主密码,属于密码的密码,脑子记、非电子方式记录到别人看到也并不知道是密码的地方,以备失忆,🐶
    3.高度重要的密码,放弃便捷,以目测和手打的方式输入,剪贴板权限目前是无解的
    4.不太重要的密码,如什么资源网站的账密,被偷了又何妨?怎么方便就怎么记是了

    相比密码工具,我更重视隐写工具,长期保留可运行版本(每次系统更新我都要检查对它有没有影响)
    一些图片,别人看是“风景”,但我知道里面写了什么
    SharkIng
        51
    SharkIng   47 天前
    1Password 有两种:

    一种是:1password.com 这种云端的,数据都存在他们的服务器上,Subscription 付费,一个月多少钱,可以家庭
    另一种:老版本 1password (不知道现在还有没)可以存在本地,完全没有备份,也可以使用 Dropbox,iCloud 备份数据库

    对于题主问题来讲主要就是数据库怎么是否云端的问题,如果不云端备份的话丢了怎么办?如果云端备份的话,第二种相对好一些,可以选择自己信赖的服务,或者可以选择在本地然后通过本地例如 NAS 备份(理论可行)

    关于安全性这两种其实一样的,据他们说法是数据库经过各种加密,加密除非有 Master Password 否则无法破解。所以按理说即使有人得到数据库也拿不到里面内容。当然这是理论值
    lovestudykid
        52
    lovestudykid   47 天前
    你总得信任点什么,毕竟没法从提炼硅开始做起,CPU 能植入漏洞,openssl 也可以植入漏洞。用商用软件,理论上你只需要信任他就够了。如果用 keepass,你需要信任一大堆开源开发者,要信任客户端的开发者,要信任云服务商,任何一个环节出问题都可能导致安全隐患。
    cnnblike
        53
    cnnblike   47 天前
    bitwarden-rs 可以自己 host 的
    Dachunlv
        54
    Dachunlv   46 天前
    放心大胆地用吧,起码他是目前来说口碑最好的,到底有多安全谁能说得清楚呢?
    atwoodSoInterest
        55
    atwoodSoInterest   46 天前
    我认为安全是由 **价值** 和 **壁垒** 构成的。
    高价值,低壁垒,不安全(李嘉诚儿子被绑架)
    高价值,不够高的壁垒,不安全 (一身名牌走在没有监控的小路,带了一条吉娃娃当保镖,哈哈)
    低价值,低壁垒,安全 (一个 q 币都没有的账号密码,放在了个人电脑上)

    感觉把自己的没有什么价值的密码绑定在了一个软件上,这个软件的价值就远高于我密码的价值了,反而导致了不安全。(技术壁垒是有,但是在成千上万人的账号价值下,始终有被黑的可能性)
    liuqi0270
        56
    liuqi0270   46 天前 via iPhone
    跟风问下,招行掌上生活这样的 app 不能调用 1P 的用户名密码?
    chengkai1853
        57
    chengkai1853   46 天前
    如果非要强调安全性,Keepass 可以看这里,会让人有安全的感觉。https://www.intigriti.com/programs/keepass/keepassbyec/detail
    mangoDB
        58
    mangoDB   46 天前
    @BayernTutu 感谢,不过我并没有在“安全”中找到指纹登陆的相关设置。我怀疑是最近版本更新导致,与此同时 app 语言也从中文变成了英文。
    mangoDB
        59
    mangoDB   46 天前
    @SharkIng 隐约记得几年前,1password 不在云端存储数据被作为一个优点,用来和 lastpass 比较。但目前感觉 1password 应该是主推云端存储数据,弱化用户手动备份数据。
    DiamondbacK
        60
    DiamondbacK   46 天前
    没有多处备份才是不安全,全靠脑子就更不安全了。大部分担忧都是臆想,甚至连软件功能都说错了。
    h123123h
        61
    h123123h   46 天前
    这有点像区块链钱包,密钥保存本地,但是后台真的想获取,你也没办法吧?
    auhah
        62
    auhah   46 天前
    我用它最主要的目的是防止撞库,懒得填密码

    我重要的密码都没在里面存。。。存的都是一些杂七杂八的网站密码

    真要是不安全全丢了。。那就丢了,换一遍密码的事没啥损失
    nrtEBH
        63
    nrtEBH   46 天前
    敏感密码只存在脑子里
    statement
        64
    statement   46 天前
    其实现在密码的安全性也没那么重要了 上一点体量的公司 即使被人获取了密码也没太大的风险
    xfriday
        65
    xfriday   46 天前
    出了事就不安全,没出事就安全
    vex2pp
        66
    vex2pp   46 天前
    看了那么多,我还决定把密码写到纸上吧。
    SharkIng
        67
    SharkIng   46 天前
    @mangoDB 我个人并不是非常抵触云端存,因为无论如何都至少需要有个地方备份,否则那么多密码要是电脑损坏等想恢复都不好弄。
    JasonShawn
        68
    JasonShawn   41 天前
    @otakustay 手机上可以面部识别,MacOS 上只有 safari 可以指纹解锁, chrome 貌似只能手打密码.
    JasonShawn
        69
    JasonShawn   41 天前
    @ShadyK 找个老婆,他也不一定看奈飞,孩子更不可能看.而且老婆可以用自己的手机记住密码,跟 1password 一点关系都没有
    otakustay
        70
    otakustay   41 天前
    @JasonShawn 我的 chrome 也可以指纹解锁
    JasonShawn
        71
    JasonShawn   32 天前
    @otakustay 我在设置中完全没有找到关于指纹解锁的选项.请问你是怎么设置的?插件是 1password 还是 1passwordX?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   982 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 21:31 · PVG 05:31 · LAX 13:31 · JFK 16:31
    ♥ Do have faith in what you're doing.