Stage1st

 找回密码
 立即注册
搜索
查看: 2164|回复: 26

[软件] 使用密码管理器的一些问题及建议

[复制链接]
     
发表于 2021-10-12 11:36 | 显示全部楼层 |阅读模式
目前很多人使用密码管理器管理密码,但若使用不当则有着丢失所有密码的风险
下面讨论基于相信软件公司及各系统官方软件分发平台,若软件提供方本身不可信则其他安全措施毫无意义
首先最基本从官网或各大系统官方商店下载软件,以防软件本身被篡改
下面从各种不同密码同步方式进行讨论

1.使用官方服务器进行同步
今早看到个新闻 https://www.v2ex.com/t/807213
目前主流密码管理器均为国外出品,难以无法保证服务器可随时登录
若只是登不上服务器还是可以从本地导出密码
但若丢失本地数据时出现无法登陆问题则束手无策

建议使用此方案时确认密码库是否能导出加密备份并定时导出备份至其他网盘

2.通过bitwarden自建密码服务器进行同步
个人自建服务器出现漏洞后一般不能及时更新,并且服务器安全管理弱于官方团队导致服务器较易攻破
本来密码服务器存储均为加密文件,被攻破也不影响密码安全
但目前自建密码服务器问题在于其同时提供web端,此部分若被篡改则会使黑客能获取主密钥解密所有信息

建议服务器部署在家中不要提供外网访问,在外必要时使用v*n链接内网访问,订阅项目release消息并及时更新,确认密码库是否能导出加密备份并定时导出备份至其他网盘

3.使用网盘进行同步
与使用官方服务器进行同步问题相似,但可选择在国内运营网盘来保证连通性,同时建议定期将密码库备份至其他网盘

最后确保以上所有备份网盘在不使用密码库前提下可登录,以防出现winrar.rar问题

此文章为看到v2ex帖子后临时写成,内容可能不够全面或不准确,欢迎指正
回复

使用道具 举报

     
发表于 2021-10-12 13:09 | 显示全部楼层
国内
苹果用云上贵州iCloud同步
安卓用坚果云同步
回复

使用道具 举报

发表于 2021-10-12 13:23 来自手机 | 显示全部楼层
丢了也无关紧要的次级账户密码才用密码管理器,重要密码自己记在其他地方 https://bbs.saraba1st.com/2b/forum.php?mod=viewthread&tid=2030507 https://bbs.saraba1st.com/2b/thread-1988112-1-1.html
回复

使用道具 举报

     
发表于 2021-10-12 14:46 | 显示全部楼层
重要密码怎么可能保存在别人的机器上
回复

使用道具 举报

     
发表于 2021-10-12 14:48 | 显示全部楼层
我都是用微软的密码填充器
回复

使用道具 举报

     
发表于 2021-10-12 14:55 | 显示全部楼层
keepass+坚果云

—— 来自 S1Fun
回复

使用道具 举报

发表于 2021-10-12 15:11 | 显示全部楼层
我用的群晖nas的docker上**itwardenrs,外网访问用腾讯轻量云+腾讯ddns穿透到nas中。
连接用ssl+https 我想应该很安全了
回复

使用道具 举报

     
发表于 2021-10-12 15:17 | 显示全部楼层
keepass多年,同步最早用Dropbox,后来由于Dropbox的设备数限制换成了GoogleDrive,不过GD的代理设置比较麻烦,目前换成了iCloud
回复

使用道具 举报

     
发表于 2021-10-12 15:57 | 显示全部楼层
keepass ,三重备份,密码密匙分开放
回复

使用道具 举报

     
发表于 2021-10-12 16:30 | 显示全部楼层
既然会上v2ex,那是超能力对吧
既然是超能力者,不放心就自己写个得了
回复

使用道具 举报

     
发表于 2021-10-12 16:48 | 显示全部楼层
我用Edge自带的密码填充器,手机端和桌面端都能用
回复

使用道具 举报

     
发表于 2021-10-12 16:58 | 显示全部楼层
keepass + onedrive
国产网盘不放心
主密码足够强不用证书也行了
回复

使用道具 举报

     
发表于 2021-10-12 17:14 | 显示全部楼层
我是safe in cloud+坚果云,最近酷安有个有个国产的密码管理软件,UI设计很好,但是用起来比SIC蛋疼,试用了一段时间还是换回去了
回复

使用道具 举报

     
发表于 2021-10-12 18:05 | 显示全部楼层
keepass 使用WEBDAV方式,把密码库丢坚果云上,就可以了呀

或者BITWARDEN可以自建服务器。
回复

使用道具 举报

     
发表于 2021-10-12 18:56 | 显示全部楼层
中午看到这贴,联通4G试了下,晚上回家电信固网又试了下,都可以正常同步
回复

使用道具 举报

     
发表于 2021-10-12 19:28 | 显示全部楼层
1password 一劳永逸
之前折腾 keepass 用了一年,换成 1password 后神清气爽
回复

使用道具 举报

发表于 2021-10-12 22:35 | 显示全部楼层
精钢魔像 发表于 2021-10-12 16:30
既然会上v2ex,那是超能力对吧
既然是超能力者,不放心就自己写个得了

能自己独立实现随机数生成和加密算法,并不出(容易被破解的)漏洞

这样的超能力者怕不是level 7,都被情报部门高薪聘走了
回复

使用道具 举报

     
发表于 2021-10-12 22:41 | 显示全部楼层
citrus 发表于 2021-10-12 22:35
能自己独立实现随机数生成和加密算法,并不出(容易被破解的)漏洞

这样的超能力者怕不是level 7,都被 ...

没那么复杂

密码泄漏主要是撞库,你给自己用的每一个账号都设不同的密码就不怕撞库了
也没有云密码的需要,自己的电脑上装个sqlite,用消息钩也行,用浏览器脚本和进程通信也行,不难写
回复

使用道具 举报

     
发表于 2021-10-12 23:52 | 显示全部楼层
我用bitwarden,默认的那种。

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2021-10-12 23:53 来自手机 | 显示全部楼层
忘记之前哪里看的,现在密码都是固定个复杂密码再加上网站域名,好记也不容易出事

—— 来自 Xiaomi M2007J3SC, Android 11上的 S1Next-鹅版 v2.4.3
回复

使用道具 举报

     
发表于 2021-10-13 00:34 | 显示全部楼层
俺现在的拟定方案:

网站密码用浏览器和icloud自带钥匙串的自动生成+填充,主要防简单暴力破解和撞库,真丢了也无所谓

最主要的银行卡密码、服务密码、支付密码这类(每个银行和钱包app我都设的不一样),这些我从来不在任何一个媒介上记录,脑海里也不记具体的密码,是“公开的+只记线索”,是某个想不到偏僻地区的邮编,是游戏/影视/动画里某情节出现的密码,是一些著名无限不循环小数的1000位后的6个连续数字,具体数忘了把这些东西拿出来看一遍,对应方法只存在你的脑海中

另外现在的防范重点不是密码本身,是盘外招: 比如你手机丢了,人家把你sim卡拔下来插别的手机,不管你密码设得再复杂,用验证码找回功能一套带走。一些沙壁的运营商/政府办事app登录后还能看见你的身份证信息,再配合你的手机接码功能,这时候密码还重要吗。多保护好手机,给sim卡加个pin码,别连莫名其妙wifi别乱点手贱

评分

参与人数 1战斗力 +1 收起 理由
dhivzi + 1 果然还是要加pin码啊

查看全部评分

回复

使用道具 举报

发表于 2021-10-13 04:52 来自手机 | 显示全部楼层
keepass。我原先强迫症加密次数太多,导致手机打开解码要用10秒以上。5950x解码要2-3秒。

—— 来自 HUAWEI LIO-AN00, Android 10上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

     
发表于 2021-10-13 07:38 | 显示全部楼层
一直用 Keepass 离线版。
我连坚果云都不想用。
用的是一个从不对外公布的邮箱地址来同步密码文件到手机上。
另外除了注册邮箱不能改,注册用户名都是随机生成的。

每次用邮箱发送密码文件时,会去网上拷一篇热门且图片多的八卦新闻,把密码文件当成附件一起发出去。
回复

使用道具 举报

     
发表于 2021-10-13 09:00 | 显示全部楼层
keepass+OneDrive
回复

使用道具 举报

     
发表于 2021-10-13 20:45 来自手机 | 显示全部楼层
bitwarden官网可能CDN地址被搞了,密码管理器可以正常访问

—— 来自 Xiaomi M2102J2SC, Android 11上的 S1Next-鹅版 v2.2.2
回复

使用道具 举报

     
发表于 2021-10-13 23:41 | 显示全部楼层
keepass(pc)+dropbox(同步)+keepassium(ios)
回复

使用道具 举报

     
发表于 2021-10-13 23:41 | 显示全部楼层
忘记说了,除了同步软件,解密软件不要授予网络权限
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|Archiver|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|stage1st ( 沪ICP备13020230号-1 沪公网安备 31010702004909号 )

GMT+8, 2021-10-26 16:52 , Processed in 0.048370 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表