论坛 › ＰＣ数码 › 使用密码管理器的一些问题及建议

ffggty 发表于 2021-10-12 11:36

使用密码管理器的一些问题及建议

目前很多人使用密码管理器管理密码，但若使用不当则有着丢失所有密码的风险
下面讨论基于相信软件公司及各系统官方软件分发平台，若软件提供方本身不可信则其他安全措施毫无意义
首先最基本从官网或各大系统官方商店下载软件，以防软件本身被篡改
下面从各种不同密码同步方式进行讨论

1.使用官方服务器进行同步
今早看到个新闻 https://www.v2ex.com/t/807213
目前主流密码管理器均为国外出品，难以无法保证服务器可随时登录
若只是登不上服务器还是可以从本地导出密码
但若丢失本地数据时出现无法登陆问题则束手无策

建议使用此方案时确认密码库是否能导出加密备份并定时导出备份至其他网盘

2.通过bitwarden自建密码服务器进行同步
个人自建服务器出现漏洞后一般不能及时更新，并且服务器安全管理弱于官方团队导致服务器较易攻破
本来密码服务器存储均为加密文件，被攻破也不影响密码安全
但目前自建密码服务器问题在于其同时提供web端，此部分若被篡改则会使黑客能获取主密钥解密所有信息

建议服务器部署在家中不要提供外网访问，在外必要时使用v*n链接内网访问，订阅项目release消息并及时更新，确认密码库是否能导出加密备份并定时导出备份至其他网盘

3.使用网盘进行同步
与使用官方服务器进行同步问题相似，但可选择在国内运营网盘来保证连通性，同时建议定期将密码库备份至其他网盘

最后确保以上所有备份网盘在不使用密码库前提下可登录，以防出现winrar.rar问题

此文章为看到v2ex帖子后临时写成，内容可能不够全面或不准确，欢迎指正

atomicink 发表于 2021-10-12 13:09

国内
苹果用云上贵州iCloud同步
安卓用坚果云同步

两个路人 发表于 2021-10-12 13:23

kara2000 发表于 2021-10-12 14:46

重要密码怎么可能保存在别人的机器上

猫不萌 发表于 2021-10-12 14:48

我都是用微软的密码填充器

进击のAsuna 发表于 2021-10-12 14:55

keepass+坚果云

—— 来自 S1Fun

satan023 发表于 2021-10-12 15:11

我用的群晖nas的docker上**itwardenrs，外网访问用腾讯轻量云+腾讯ddns穿透到nas中。
连接用ssl+https 我想应该很安全了

モナド 发表于 2021-10-12 15:17

keepass多年，同步最早用Dropbox，后来由于Dropbox的设备数限制换成了GoogleDrive，不过GD的代理设置比较麻烦，目前换成了iCloud

191634 发表于 2021-10-12 15:57

keepass ,三重备份，密码密匙分开放

精钢魔像 发表于 2021-10-12 16:30

既然会上v2ex，那是超能力对吧
既然是超能力者，不放心就自己写个得了

Nanachi 发表于 2021-10-12 16:48

我用Edge自带的密码填充器，手机端和桌面端都能用

chachi 发表于 2021-10-12 16:58

keepass + onedrive
国产网盘不放心
主密码足够强不用证书也行了

内森德雷克 发表于 2021-10-12 17:14

我是safe in cloud+坚果云，最近酷安有个有个国产的密码管理软件，UI设计很好，但是用起来比SIC蛋疼，试用了一段时间还是换回去了

refo2613 发表于 2021-10-12 18:05

强尼高达 发表于 2021-10-12 18:56

中午看到这贴，联通4G试了下，晚上回家电信固网又试了下，都可以正常同步

huzhiyangqaz 发表于 2021-10-12 19:28

1password 一劳永逸
之前折腾 keepass 用了一年，换成 1password 后神清气爽

citrus 发表于 2021-10-12 22:35

精钢魔像 发表于 2021-10-12 16:30
既然会上v2ex，那是超能力对吧
既然是超能力者，不放心就自己写个得了

能自己独立实现随机数生成和加密算法，并不出（容易被破解的）漏洞

这样的超能力者怕不是level 7，都被情报部门高薪聘走了

精钢魔像 发表于 2021-10-12 22:41

citrus 发表于 2021-10-12 22:35
能自己独立实现随机数生成和加密算法，并不出（容易被破解的）漏洞

这样的超能力者怕不是level 7，都被 ...

没那么复杂

密码泄漏主要是撞库，你给自己用的每一个账号都设不同的密码就不怕撞库了
也没有云密码的需要，自己的电脑上装个sqlite，用消息钩也行，用浏览器脚本和进程通信也行，不难写

用户名已注册 发表于 2021-10-12 23:52

我用bitwarden，默认的那种。

—— 来自 S1Fun

zy450 发表于 2021-10-12 23:53

忘记之前哪里看的，现在密码都是固定个复杂密码再加上网站域名，好记也不容易出事

—— 来自 Xiaomi M2007J3SC, Android 11上的 S1Next-鹅版 v2.4.3

天网 发表于 2021-10-13 00:34

lhw369 发表于 2021-10-13 04:52

keepass。我原先强迫症加密次数太多，导致手机打开解码要用10秒以上。5950x解码要2-3秒。

—— 来自 HUAWEI LIO-AN00, Android 10上的 S1Next-鹅版 v2.5.2

佳丽三千到 发表于 2021-10-13 07:38

一直用 Keepass 离线版。
我连坚果云都不想用。
用的是一个从不对外公布的邮箱地址来同步密码文件到手机上。
另外除了注册邮箱不能改，注册用户名都是随机生成的。

每次用邮箱发送密码文件时，会去网上拷一篇热门且图片多的八卦新闻，把密码文件当成附件一起发出去。

xy2401 发表于 2021-10-13 09:00

keepass+OneDrive

kyokofsky 发表于 2021-10-13 20:45

bitwarden官网可能CDN地址被搞了，密码管理器可以正常访问

—— 来自 Xiaomi M2102J2SC, Android 11上的 S1Next-鹅版 v2.2.2

kanwakyuudai 发表于 2021-10-13 23:41

keepass(pc)+dropbox(同步)+keepassium(ios)

kanwakyuudai 发表于 2021-10-13 23:41

忘记说了，除了同步软件，解密软件不要授予网络权限

查看完整版本: 使用密码管理器的一些问题及建议