使用密码管理器的一些问题及建议
目前很多人使用密码管理器管理密码,但若使用不当则有着丢失所有密码的风险下面讨论基于相信软件公司及各系统官方软件分发平台,若软件提供方本身不可信则其他安全措施毫无意义
首先最基本从官网或各大系统官方商店下载软件,以防软件本身被篡改
下面从各种不同密码同步方式进行讨论
1.使用官方服务器进行同步
今早看到个新闻 https://www.v2ex.com/t/807213
目前主流密码管理器均为国外出品,难以无法保证服务器可随时登录
若只是登不上服务器还是可以从本地导出密码
但若丢失本地数据时出现无法登陆问题则束手无策
建议使用此方案时确认密码库是否能导出加密备份并定时导出备份至其他网盘
2.通过bitwarden自建密码服务器进行同步
个人自建服务器出现漏洞后一般不能及时更新,并且服务器安全管理弱于官方团队导致服务器较易攻破
本来密码服务器存储均为加密文件,被攻破也不影响密码安全
但目前自建密码服务器问题在于其同时提供web端,此部分若被篡改则会使黑客能获取主密钥解密所有信息
建议服务器部署在家中不要提供外网访问,在外必要时使用v*n链接内网访问,订阅项目release消息并及时更新,确认密码库是否能导出加密备份并定时导出备份至其他网盘
3.使用网盘进行同步
与使用官方服务器进行同步问题相似,但可选择在国内运营网盘来保证连通性,同时建议定期将密码库备份至其他网盘
最后确保以上所有备份网盘在不使用密码库前提下可登录,以防出现winrar.rar问题
此文章为看到v2ex帖子后临时写成,内容可能不够全面或不准确,欢迎指正 国内
苹果用云上贵州iCloud同步
安卓用坚果云同步 重要密码怎么可能保存在别人的机器上 我都是用微软的密码填充器 keepass+坚果云
—— 来自 S1Fun 我用的群晖nas的docker上**itwardenrs,外网访问用腾讯轻量云+腾讯ddns穿透到nas中。
连接用ssl+https 我想应该很安全了 keepass多年,同步最早用Dropbox,后来由于Dropbox的设备数限制换成了GoogleDrive,不过GD的代理设置比较麻烦,目前换成了iCloud
keepass ,三重备份,密码密匙分开放 既然会上v2ex,那是超能力对吧
既然是超能力者,不放心就自己写个得了 我用Edge自带的密码填充器,手机端和桌面端都能用 keepass + onedrive
国产网盘不放心
主密码足够强不用证书也行了 我是safe in cloud+坚果云,最近酷安有个有个国产的密码管理软件,UI设计很好,但是用起来比SIC蛋疼,试用了一段时间还是换回去了 中午看到这贴,联通4G试了下,晚上回家电信固网又试了下,都可以正常同步 1password 一劳永逸
之前折腾 keepass 用了一年,换成 1password 后神清气爽 精钢魔像 发表于 2021-10-12 16:30
既然会上v2ex,那是超能力对吧
既然是超能力者,不放心就自己写个得了
能自己独立实现随机数生成和加密算法,并不出(容易被破解的)漏洞
这样的超能力者怕不是level 7,都被情报部门高薪聘走了 citrus 发表于 2021-10-12 22:35
能自己独立实现随机数生成和加密算法,并不出(容易被破解的)漏洞
这样的超能力者怕不是level 7,都被 ...
没那么复杂
密码泄漏主要是撞库,你给自己用的每一个账号都设不同的密码就不怕撞库了
也没有云密码的需要,自己的电脑上装个sqlite,用消息钩也行,用浏览器脚本和进程通信也行,不难写 我用bitwarden,默认的那种。
—— 来自 S1Fun 忘记之前哪里看的,现在密码都是固定个复杂密码再加上网站域名,好记也不容易出事
—— 来自 Xiaomi M2007J3SC, Android 11上的 S1Next-鹅版 v2.4.3 keepass。我原先强迫症加密次数太多,导致手机打开解码要用10秒以上。5950x解码要2-3秒。
—— 来自 HUAWEI LIO-AN00, Android 10上的 S1Next-鹅版 v2.5.2 一直用 Keepass 离线版。
我连坚果云都不想用。
用的是一个从不对外公布的邮箱地址来同步密码文件到手机上。
另外除了注册邮箱不能改,注册用户名都是随机生成的。
每次用邮箱发送密码文件时,会去网上拷一篇热门且图片多的八卦新闻,把密码文件当成附件一起发出去。
keepass+OneDrive bitwarden官网可能CDN地址被搞了,密码管理器可以正常访问
—— 来自 Xiaomi M2102J2SC, Android 11上的 S1Next-鹅版 v2.2.2 keepass(pc)+dropbox(同步)+keepassium(ios) 忘记说了,除了同步软件,解密软件不要授予网络权限
页:
[1]