V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
MFWT
V2EX  ›  程序员

各位是怎么『适应』第三方密码管理器的?

  •  
  •   MFWT · 11 天前 · 4659 次点击

    这里的第三方,指的是非 Chrome/FF 等内置于浏览器,只能通过 Extension ,或者手动复制粘贴之类的方式,来实现密码填充的工具,包括但不限于 Keepass ,1Password ,Bitwarden 等等

    我的情况是这样的:两年前吧,我的设备曾经被盗过一次号,tg 被拿去发垃圾广告,油管关注了几个不认识的三无小号。当然事后分析的话,这种就不是密码盗号,而是不小心下了木马什么的,直接读 cookies/token

    那时候是高中,一周回家一次,因此也就是做了一些亡羊补牢的工作。当时也有想过用 Keepass (因为当时我的日用密码真的是弱,而且也听说了 Chrome 密码管理基本上就是纸糊的),但是试了几个之后,总感觉很别扭,不如 Chrome 内置那个爽快,而且当时想的是『我的密码应该还不至于需要通过每次开机输入 20 位的主密钥来保护』(不论是我之前的笔记本,还是我现在的台式机,都没有用于 Windows Hello 的摄像头或者指纹),然后这件事就搁置了

    最近的话,因为家里面 NAS 有了稳定的存储,学校也放了小 NAS ,『密码库丢失』之类的问题基本上可以放心,所以再次开始玩密码管理器。这次尝试了别的(免费的那些,付费版本以后再支持),但是总觉得还是有隐隐约约的别扭,最后还是选择留在 Keepass

    问一下各位 V 友,我应该怎么做,或者说各位是怎么适应下来的呢?

    另:推荐买一个用 USB 线插电脑的 WinHello 指纹模块吗?

    第 1 条附言  ·  10 天前
    EDIT:
    已经下单了 WinHello 指纹模块
    打算能上 Passkey 的上 Passkey ,上不了的用 Keepass ( Keepass 自己再加插件用指纹认证 )
    53 条回复    2024-12-03 16:26:18 +08:00
    Zhousiru
        1
    Zhousiru  
       11 天前 via Android   ❤️ 1
    减少关机次数就可以减少输入主密码的次数了(逃
    Vnaner
        2
    Vnaner  
       11 天前   ❤️ 1
    我买了个 windows hello 的摄像头,连着主屏幕解锁一起安排了
    XSNARUTO
        3
    XSNARUTO  
       11 天前
    如果是纯个人设备的话,信任设备的密码/生物认证就好了,密码管理器放宽重新验证的限制,对几个重要条目再加个「验证主密码」。毕竟个人设备很少让其他人碰。公共设备我最多网页端临时用一下,随用随关了。
    Heymans
        4
    Heymans  
       11 天前
    一直在用 1password, 唯一的缺点就是 bug 现在有点多....
    Meld
        5
    Meld  
       11 天前
    全平台使用 Bitwarden 的官方版,慢慢就习惯了
    Frytea
        6
    Frytea  
       11 天前
    就用 bitwarden + 自建 vaultwarden ,感觉挺好用。能自己记住就自己记,太复杂的就丢进去,需要的时候去查。
    TrackBack
        7
    TrackBack  
       11 天前
    不知道你用的哪个版本,keepassxc 即使开了指纹,每次开机第一次打开数据库也还是要输入主密码,我觉得没有方便多少
    (而且浏览器识别也不是很准…)
    不过能同时管理 totp 和 ssh 密钥是个优点
    dcsuibian
        8
    dcsuibian  
       11 天前
    忍了
    dcsuibian
        9
    dcsuibian  
       11 天前   ❤️ 1
    便利性和安全性你总要做个平衡,对我来说是安全性更重要一点,所以我不介意把密码设的长点。
    你要是想更方便,那把密码设短点不就行了
    Tiande
        10
    Tiande  
       11 天前 via Android
    bitwarden 可以设置 pin 码或生物识别,很方便啊。
    zuotun
        11
    zuotun  
       11 天前
    打字够快就可以忽略,数了一下我的密码是十七位的,只有两个分别重复的字母。我的策略是每次关闭浏览器重新上锁,无他唯手熟耳(
    MFWT
        12
    MFWT  
    OP
       11 天前
    @zuotun 快确实够快,但是有些别扭罢了.....不过习惯了开机输密码其实也还好?
    Alixys
        13
    Alixys  
       11 天前
    没什么适不适应的,密码你手机上也要用吧,那你所指的非“第三方”,到手机上就成第三方了。
    Irilsy
        14
    Irilsy  
       11 天前
    每次重启都要输主密码挺好的,定期检查我还记不记得主密码,主密码是我唯一一个我没有重复使用、我能记得下来的、长于 20 位的密码了😭
    ltkun
        15
    ltkun  
       11 天前 via Android
    用了就爱上了不仅仅浏览器 app 密码 2fa 都可以记
    cmdOptionKana
        16
    cmdOptionKana  
       10 天前
    平时要输什么密码?本来就是低频操作,麻烦一点没什么吧。
    cmdOptionKana
        17
    cmdOptionKana  
       10 天前
    举个例子,你发这个贴约 500 个中文字,算你 1000 次击键,按你的密码 20 位算,这个帖子的击键量相当于 50 次输入密码了,而密码也不需要每天输入,就这已经相当于你 2 个月输入密码的击键量。这个“成本”不高吧?
    BloodBlade
        18
    BloodBlade  
       10 天前 via iPhone
    keepass (非 xc )有个 windows hello 插件,这个插件可以通过将主密码保存在 Windows 凭据的方式来实现重启之后也不用输入主密码。
    frankilla
        19
    frankilla  
       10 天前
    没觉得有什么大的差距。
    MFWT
        20
    MFWT  
    OP
       10 天前
    @BloodBlade
    对,我也在考虑这个东西,因为按指纹可比输密码快多了
    至于遗忘主密码....打死我都忘不了那串密码,成肌肉记忆了
    yidev
        21
    yidev  
       10 天前
    bitwarden+指纹
    atrifly
        22
    atrifly  
       10 天前
    @yidev 也是这么用的,但指纹需要桌面端配合,有点麻烦
    spediacn
        23
    spediacn  
       10 天前 via iPhone
    Passkey 挺好用的,逐步替换中
    x2ve
        24
    x2ve  
       10 天前
    我的密码一般按网站来,自己记一套规则就行了,另外我还写了一个专门对称加解密的密码纪录 web 应用,当规则不记得的时候就自查,一般要输密码了不在乎多出个 1 分半钟来
    gletec
        25
    gletec  
       10 天前 via Android
    就我个人来说,并不指望密码不泄露,但是用密码管理软件,可以确保每一个账户都有不同的密码,不至于泄露一个就泄露全家。
    其次就是便利性,需要全平台(主要是安卓,win 和 iPhone 等)多设备同步,需要支持自建或者接入自己的 webdav/s3 同步。
    不选择只能官方同步的,或者离线差的(比如 lastpass ),尽量不选择出过重大泄露事故的(还是你,lastpass )。

    综合下来,比较好的有几个,1password (除了贵没太大问题),bitwarden (免费就能用,自建也方便),keepass (开源全免费,但是界面复古功能复杂,iOS 不太便利)。
    我现在用的是以前买断的 enpass ,用自己的坚果云 webdav 同步, 现在价格不美丽,不太推荐。
    Legman
        26
    Legman  
       10 天前 via Android
    刚加入到 bitwarden ,还在习惯中。
    WilliamKong
        27
    WilliamKong  
       10 天前
    只要开始用,而且操作并不太反人类的话很快就适应的。bitwarden+自建 vaultwarden 已经很久了,除了配合最近客户端的更新升级了一次容器版本外基本不用怎么管。浏览器端 extension 近期更新之后可以在输入框直接选择账号填入了,解锁可以用 pin ,如果有桌面客户端可以和 windows hello 配合使用,iOS 用 Face ID/Touch ID 很自然,android 配合辅助服务的话是用也很流畅,至于主密码,每次接入新设备/重置旧设备/登入网页版就填一次,已经快成肌肉记忆了
    hyh0u0
        28
    hyh0u0  
       10 天前
    @BloodBlade KeePassXC 首次登录后不退出就不需要再输入主密码,输系统 PIN 码就行了😀还可以设置最小化到任务栏 https://www.reddit.com/r/KeePass/comments/igy3t1/keepassxc_why_is_there_no_minimize_to_tray_in_the/
    cdlnls
        29
    cdlnls  
       10 天前
    桌面电脑上用密码管理软件属于是高风险操作了(除非隔离环境),只要中毒了,基本上就是一锅端,chrome 直接可以导出来密码,键盘监听,屏幕截图什么的也是轻轻松松就能做的,啥模块来了都不好使。

    用密码管理器的话还是老老实实用手机客户端,登录的时候掏手机手动输入。
    MFWT
        30
    MFWT  
    OP
       10 天前
    @gletec 我这边没有苹果设备,所以 Keepass 的缺点暂时问题还不大
    Christolan
        31
    Christolan  
       10 天前
    我也适应不了,就一直用的 chrome 自带的密码管理
    fun201108
        32
    fun201108  
       10 天前
    使用方便了,被偷密的也方便
    TheWalkingDead
        33
    TheWalkingDead  
       10 天前
    一直用的 bitwarden 官服,但是想问下啊,如果哪一天官服出问题了,或着不服务了,客户端还能离线用吗?我记得客户端经常要输入主密码,如果服务端都没了,这个主密码怎么验证啊。
    yzc27
        34
    yzc27  
       10 天前
    @WilliamKong 想问下,Windows 11 下,只安装 Bitwarden 的 Chrome 扩展,能配合 Windows hello(指纹)解锁吗?我尝试了一下,提示 Browser integration is not set up in the Bitwarden desktop application. Please set it up in the settings within the desktop application. 似乎想用指纹解锁还要安装桌面程序,不能单纯依赖 Chrome 插件就能指纹解锁吗?
    veni2023
        35
    veni2023  
       10 天前
    chrome 自带的密码管理 再开启设备上加密 安全性怎么样
    smlcgx
        36
    smlcgx  
       10 天前 via iPhone
    虽然现在设备不多,只是 mac 和 ios ,但是不保证将来不用 win 或者安卓登录一些账号啥的,所以还是需要一个跨平台的管理工具
    BeautifulSoap
        37
    BeautifulSoap  
       10 天前
    看了下我 bitwarden 密码库里账号数量——1081

    差不多从大学账号数量超过 100 得时候就不得不用密码管理软件了
    WilliamKong
        38
    WilliamKong  
       10 天前
    @yzc27 浏览器扩展的生物解锁是依靠桌面程序完成的。看官方指南 https://bitwarden.com/help/biometrics/#tab-browser-extension ,Unlock with biometrics is supported for extensions through an integration with the Bitwarden desktop app.
    imba97
        39
    imba97  
       10 天前
    目前用的 bitwarden 自建服务,感觉还挺方便的,只是调生物验证很麻烦,要下客户端。所以我一般常用设备设置永久不锁定,公司设备设置关浏览器锁定
    zhaogaz
        40
    zhaogaz  
       10 天前   ❤️ 1
    先回复标题:在使用电子的工具之前,有一个本子记录密码,但是越来越多,而且很模糊,自己记录的都看不懂。使我不得不想办法换一个。所以就是不管有多难用,但是无论如何比之前好用。所以开始了 keepass2

    keepass2 有插件的,每次保存都可以同步到 onedrive 、dropbox 或其他 webdav 地方。。。所以你考虑得丢失基本是伪命题。。。

    再接着回答楼里的问题:
    1. 没啥适应的。无非是看看软件功能够不够用,能不能把数据都录入,有没有什么方便的功能,读一遍 doc 就行了;
    2. 当年选择并不多。个人的密码要是存到云平台,鬼知道会怎么样。还是自己加密扔上去靠谱。。 ;
    3. 这里有一个建议是,如果你觉得需要适应,那可能说明这个不合适,不如选你觉得好用的。否则你大概率会放弃。

    指纹啥的,无所谓,想买就买。passkey 之类的,建议至少买 2 个,相当于物理钥匙嘛,门锁的钥匙也不会只给你一把。

    ---
    额外感慨下
    1. 建议用 keepassxc ,后期使用的系统平台多了,我换到了 keepassxc 上,也够用了。
    2. 年纪轻轻,玩什么 nas 。。。
    3. 我觉得你的问题可以翻译成 [密码管理工具有什么正确的使用方式,我现在觉得有点难用]
    4. 其实你觉得难用正常,早七八年前,大厂都不做密码管理(或者我不知道),小厂云平台的密码管理明星公司也不多,一两个。离线客户端就 keepass 行,其他都看不上;互联网还在上行,很多人可能也没觉得需要这个工具。 反观现在,大厂也开始深度集成,还可以自建,提供服务的小厂也多了;你现在用过 chrome 的,回头说第三方的不好用,可不不好用嘛。。。
    iwdmb
        41
    iwdmb  
       10 天前
    Proton Pass

    免费美观好用
    bigtear
        42
    bigtear  
       9 天前 via Android
    bitwarden 也支持硬件密钥,太爽了
    wenzhuo
        43
    wenzhuo  
       9 天前
    @cmdOptionKana 不能这么算,发帖的内容又不需要记忆,密码为了安全性通常很复杂而且不同,
    cmdOptionKana
        44
    cmdOptionKana  
       9 天前
    @wenzhuo 但是主密码是无论如何必须记得的啊,而且多输入几次就肌肉记忆了,随着输入次数增加,越来越熟练。
    fugu37
        45
    fugu37  
       9 天前
    @TheWalkingDead #33
    任何一个登录了账号的客户端都有本地数据备份,官服失联你可以导出数据切换到私服再重新导入,没有区别。(附件可能会丢失)
    Tink
        46
    Tink  
       9 天前
    keepass bitwarden vaultwarden 都用过,短的一周,长的一年多

    最后还是 1p 征服了我,养老了
    Tink
        47
    Tink  
       9 天前
    哦对 lastpass 也用过一年多
    alading11
        48
    alading11  
       9 天前
    lastpass 免费时主力使用,后来改订阅制免费版只能一个端后迁移到 bitwarden 。主要考虑几个点:
    1. 多端同步
    2. 免费
    3. 界面美观、操作性强
    TheWalkingDead
        49
    TheWalkingDead  
       9 天前
    @fugu37 可是经常要输入主密码啊,如果服务器没了,APP 要输入主密码进不去咋办。
    fugu37
        50
    fugu37  
       9 天前
    @TheWalkingDead #49 先杀掉 Bitwarden 客户端,然后断网,再打开试试?
    hanyuwei70
        51
    hanyuwei70  
       8 天前
    1. 有 passkey 的用 passkey ,这个不谈;
    2. 如果服务支持 Google/Github/QQ 等大平台的三方登录,优先使用;
    3. 支持 2FA 的,可以用一个短密码+2FA ;
    4. 随机密码+密码管理器;
    5. 如果支持手机密码重置的,把密码重置当作登录方式(
    hanyuwei70
        52
    hanyuwei70  
       8 天前
    顺便主密码我是这么解决的:手动记住一个非常长的复杂密码,形成肌肉记忆。
    MFWT
        53
    MFWT  
    OP
       8 天前 via Android
    @hanyuwei70 记忆主密码对我来说问题不大,目前可以记住
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:10 · PVG 04:10 · LAX 12:10 · JFK 15:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.