V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skfu
V2EX  ›  信息安全

关于 1password 保险库备份问题有坑莫踩

  •  
  •   skfu · 45 天前 · 2372 次点击
    这是一个创建于 45 天前的主题,其中的信息可能已经有所发展或是发生改变。
    开车的人很多,为了应对账号未来可能出现的问题,大家都开始另外备份保险库,这里面有个坑,有人备份保险库的时候,考虑到安全问题,选择了备份 1password 自加密的保险库,这其实等于没备份,因为 1password 开车可能出现的最大问题是可能账号被删掉,如果账号删掉了,那么你备份的保险库就没法用了,不要想你再注册个账号,然后保险库就能导入进去,密钥变了,是不可能让你导入的。
    所以还是建议导出未加密的保险库,然后自己加密,这样才是最保险的。
    45 条回复    2021-12-14 14:08:15 +08:00
    LokiSharp
        1
    LokiSharp  
       45 天前 via iPhone
    花点钱自己开就没问题了吧
    dingwen07
        2
    dingwen07  
       45 天前
    怎么备份成 1password 加密的格式,我怎么找不到选项,我这导出都说是未加密的
    dolphintwo
        3
    dolphintwo  
       45 天前 via iPhone
    我选择个人版
    Huelse
        4
    Huelse  
       45 天前   ❤️ 3
    bitwarden 摆着不用,非要折腾
    skfu
        5
    skfu  
    OP
       45 天前
    @dingwen07 导出的都是未加密的,1password 软件备份或者同步的都是 1pss 自加密保险库,我原来的时候为了怕保险库盗取,总是喜欢自己另外备份一遍这个 1pass 自加密保险库,后来想到了,等于没什么用
    leoleoasd
        6
    leoleoasd  
       45 天前   ❤️ 1
    .1pif 格式的文件,可以导入到别的 1pif 账号啊
    换过一次账号,没出问题🤔
    leoleoasd
        7
    leoleoasd  
       45 天前
    导入的东西还有一个 tag
    skfu
        8
    skfu  
    OP
       45 天前
    @leoleoasd 这不是加密的保险库
    leoleoasd
        9
    leoleoasd  
       45 天前
    哦 没事了 刚看到说的是保险库
    leoleoasd
        10
    leoleoasd  
       45 天前
    我现在:
    有硬件 gpg 秘钥
    leoleoasd
        11
    leoleoasd  
       45 天前   ❤️ 2
    我现在:
    有硬件 gpg 秘钥
    重要密码 gpg 加密备份

    如果硬件秘钥丢了,家里和单位还有一份二维码,扫完拼起来是加密后的 gpg 秘钥
    ugvfpdcuwfnh
        12
    ugvfpdcuwfnh  
       45 天前
    自建 bitwarden 比较简单,免费安全,现在 docker 版的改成 vaultwarden 了,还是建议自建,需要 ssl 的话,在国内要备案,但是不用 ssl 也能用。
    skfu
        13
    skfu  
    OP
       45 天前
    @ugvfpdcuwfnh 试用了你的自建,发现很多网站图标都不显示,比如 google 不显示网站图标。
    ugvfpdcuwfnh
        14
    ugvfpdcuwfnh  
       45 天前
    @skfu 哥,我这是腾讯云上的服务器,本身没有给 bitwarden 的服务翻墙,你多试试国内的网站,确实是有网站图标的。
    skfu
        15
    skfu  
    OP
       45 天前
    @ugvfpdcuwfnh 明白了
    yanyumihuang
        16
    yanyumihuang  
       45 天前
    opvalut 没有问题,你账号被删除后,这个格式可以在不登陆的情况下直接导入的,我的密码就是这样救回来的。导入时需要输入你原本的主密码,输入后就导入到 1p 的保险库了。
    skfu
        17
    skfu  
    OP
       45 天前
    @yanyumihuang 不登陆怎么导入的呢?
    dingwen07
        18
    dingwen07  
       45 天前 via iPhone
    @yanyumihuang #16 怎么导出成 open vault ?
    ZE3kr
        19
    ZE3kr  
       45 天前 via iPhone
    刚刚在手机上试了下,可以启动独立保险库,然后拷贝到独立保险库里。独立保险库可以 iCloud/Dropbox 同步
    parametrix
        20
    parametrix  
       45 天前
    @ZE3kr 这也是我知道的 1P 数据库最完整的备份方法,不过 1P8 应该不能这样干了。
    dangyuluo
        21
    dangyuluo  
       45 天前
    还好我是一个靠谱的车主😄
    qping
        22
    qping  
       45 天前
    老哥,你旁边的 OP 是什么意思
    qping
        23
    qping  
       45 天前
    @qping #22 知道了,当我没问, (捂脸
    tankren
        24
    tankren  
       45 天前
    bitwarden 自建啊
    baijuyi
        25
    baijuyi  
       45 天前
    密码这个重要的东西还敢拼车?心真大
    nekochyan
        26
    nekochyan  
       45 天前
    op 不是原批的意思吗(逃
    einq7
        27
    einq7  
       45 天前   ❤️ 1
    @qping #22 origin poster ,国外论坛用的,相当于楼主的意思
    yanyumihuang
        28
    yanyumihuang  
       45 天前 via Android
    @skfu 双击 opvalut 文件就行了
    yanyumihuang
        29
    yanyumihuang  
       45 天前 via Android
    @dingwen07 就是导出保险库用网盘同步的那个文件,你搜一下
    zhaidoudou123
        30
    zhaidoudou123  
       45 天前 via iPhone
    本来以为只是 Windows 版不能导出加密格式,今天看了看 Mac 和 iOS 版,严格按照官网的教程,都找不到 backup 相关命令
    skfu
        31
    skfu  
    OP
       45 天前
    经过验证,备份的自加密 opvalut 确实可以还原到任何账号,仅仅需要输入主密码就可以了,但是 bitwarden 是不可以的,bitwarden 导出的加密备份只能还原到原账号。
    新问题又来了,1password 备份的自加密 opvalut 可以还原到任意账户,只要输入主密码就可以了,进一步测试,在断网的情况下也可以,那么设想在本地配合脚本+暴力破解,这个主密码应该很容易吧,也就说在理论上,只要被 1password 官网被脱裤就完了呢?大家怎么看?
    codeisjobs
        32
    codeisjobs  
       45 天前
    @skfu #31 这不是得怪自己密码太弱? 16 位字符加单词组合排布加特殊符号和数字混合。能暴力破解的话,不应该躺平吗?
    neptuno
        33
    neptuno  
       45 天前 via iPhone
    @skfu #31 主密码设置复杂点就好了,暴力也得多少年吧。而求断网你咋恢复到任意账户,除非你本地有机制可以检测到密码是正确的
    skfu
        34
    skfu  
    OP
       45 天前
    @codeisjobs 1 ,主密码太复杂了,用起来不方便,所以很多人的主密码甚至不如其他网站的密码复杂。
    2 ,两步登陆验证,还有 secret key ,在这个步骤上都已经失去保护作用了,大家从来没想过主密码要面对被离线暴力破解。
    skfu
        35
    skfu  
    OP
       45 天前
    @neptuno 没有密码错误需要输入验证码模式,暴力破解的速度是很快的,1 天足够
    Tink
        36
    Tink  
       45 天前 via Android
    @skfu 主密码加密啊
    Tink
        37
    Tink  
       45 天前 via Android
    @skfu 密码从来都没有绝对的安全
    codeisjobs
        38
    codeisjobs  
       45 天前
    @skfu #34 这个不简单,现在的 1password 手机上支持指纹解锁,电脑上支持指纹和 Windows hello ,完全用不到输入密码。主密码复杂不是更好?
    neptuno
        39
    neptuno  
       45 天前
    @skfu 有没有可能解锁过程是需要联网的
    neptuno
        40
    neptuno  
       45 天前
    @skfu 我觉得你可以本地写个脚本先破解试试,如果可行,可以反馈给 1pass
    hjxx
        41
    hjxx  
       45 天前
    按这么说。。我用的早期的版本 如果主密码不够复杂的话
    valut 文件是通过 dropbox 同步的那种 岂不是很危险。。
    datoo
        42
    datoo  
       44 天前
    1password 一年才多少钱。。。真的差那点钱么?
    ncepuzs
        43
    ncepuzs  
       44 天前
    @ugvfpdcuwfnh #12 你这说法有问题,vaultwarden 是其他人用 Rust 写的服务端,官方也提供 docker 安装,只不过对服务器的要求高点。SSL 跟备案没关系,你解析到大陆地区的服务器才需要备案。
    parametrix
        44
    parametrix  
       44 天前
    @skfu 1P 官网被脱裤,暴力破解还需要 secret key ,这也是 secret key 的主要作用。本地备份与他们官网服务器存档还是不一样的,具体可以看他们的安全白皮书。

    另外,实际加密的密钥也应该不会直接使用主密码(或主密码+secret key ),而是密钥导出算法给出的。除非预先知道一些主密码的信息(社工),否则暴力破解也没那么容易。
    mangoDB
        45
    mangoDB  
       34 天前
    楼主请问你说的「备份」是如何操作的呢?我只在官网找到了「导出」的介绍,没有明确找到有关「备份」的文章。

    导出数据: https://support.1password.com/export/
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4377 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 07:58 · PVG 15:58 · LAX 23:58 · JFK 02:58
    ♥ Do have faith in what you're doing.