V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fenxl
V2EX  ›  macOS

开源的 跨平台的密码管理工具支持(Windows, macOS, & Linux , iOS, android)

  •  
  •   fenxl · 2020-01-09 10:32:20 +08:00 · 6764 次点击
    这是一个创建于 1780 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现个好玩的开源密码管理工具 iOS, android C#写的 地址: https://github.com/bitwarden

    58 条回复    2021-02-27 17:06:26 +08:00
    xabc
        1
    xabc  
       2020-01-09 10:56:33 +08:00   ❤️ 1
    哈哈简单问题复杂化,就是这么折腾

    密码问题?其实自己记住 3 句话就行:

    1. 我的密码,谁也别想知道啊 [ wdMm,sYbxzda1 ] ( A 级安全,微信,淘宝,腾讯,京东一类使用)
    2. 我的密码,只有我知道 [ wdMm,zYwzd2 ]( B 级安全,邮箱,苹果 icloud 等)
    3. 这密码,丢了无所谓 [ zMm,dLwsw3 ]( C 级安全,各大垃圾论坛,v2ex bbs 各种灌水场所等一次性玩的地方,默认认为会丢失)

    三句话对应 3 个字符串,加上数字标点符号,三句话记不住吗?写在本子上可以吧,谁知道这是你密码?

    再也不担心密码丢失了?

    比如我之前有个密码是这样一句话: 很久很久以前的那只小黄鼠,我很想你啊!
    这种自己影响深刻的事情,几句话不会忘记,而且密码输入也非常简单
    bubuyu
        2
    bubuyu  
       2020-01-09 10:59:04 +08:00
    感觉 BitWarden 用的人不少了
    moyunhai
        3
    moyunhai  
       2020-01-09 11:23:23 +08:00
    @xabc 你每次输入大小写切换符号什么的不手忙脚乱马?就能保证一次性输入成功?
    1Password 为什么收费这么改贵还有很多人买,不就是因为方便吗?
    自动填充,跨平台同步。
    人性是追求效率的(懒惰的)。
    xabc
        4
    xabc  
       2020-01-09 11:32:47 +08:00 via iPhone
    我能保证的是天然跨平台,一句话都输入的手忙脚乱的话,说明其定力不足,职业发展瓶颈有限 😄
    november
        5
    november  
       2020-01-09 11:39:41 +08:00
    小白问下,自建服务器被黑了怎么办?数据库丢了怎么办?。。。
    ronman
        6
    ronman  
       2020-01-09 11:42:27 +08:00 via Android
    @xabc 重复密码管你多复杂都安全性都一样,一撞库就完事(当然现在大网站一般都有两步验证)管理软件最爽就是一键自动填充,管他密码是啥,根本不用记
    ronman
        7
    ronman  
       2020-01-09 11:43:24 +08:00 via Android
    @november 数据文件是加密的,只要你主密码不丢,数据文件丢了也不怕啊。
    iMusic
        8
    iMusic  
       2020-01-09 11:47:33 +08:00   ❤️ 1
    密码跟着域名走,比如 V2EX 密码 xxxxx@v2ex
    lunatic5
        9
    lunatic5  
       2020-01-09 11:49:45 +08:00
    之前用的 lastpass,但是现在取消中文了。用了一段时间的 1password,但是浏览器插件新增一个网站的时候居然是跳转到网页而不是直接通过插件的方式增加。最后换到了 bitwarden,除了 UI 简陋些,其它都好
    mxT52CRuqR6o5
        10
    mxT52CRuqR6o5  
       2020-01-09 11:51:57 +08:00 via Android
    一直在用 lastpass,不知道和 1password 差别在哪里
    CSGO
        11
    CSGO  
       2020-01-09 11:53:08 +08:00
    @mxT52CRuqR6o5 我也是,似乎就收费,和软件看上去好看一些好用一些的区别。
    Buges
        12
    Buges  
       2020-01-09 11:59:13 +08:00 via Android
    @november 服务器只是同步用的,E2EE 加密且每个客户端都有全套数据,随便删库脱裤都不会有任何损失。
    november
        13
    november  
       2020-01-09 11:59:33 +08:00
    @ronman
    但是主密码也是存在数据库里面的吧。看不懂源码,不知道是怎么个验证方式。
    现有知识就是,数据库丢了,就意味着,主密码和通过主密码加密的数据文件一起丢了。不是这个意思吗?
    november
        14
    november  
       2020-01-09 12:13:03 +08:00
    @Buges
    虽然不懂是怎么一回事,也就是说,真的被黑服务器被脱库也没损失是吧?
    这个开源软件其实很久前就见过了,想自己部署个。但是苦于对服务器安全不认识,怕被黑被泄漏了,就一直记在笔记本上(物理)。

    先找时间搭建试用下,再慢慢了解下原理吧。暂时先放论坛帐号上去。
    shutongxinq
        15
    shutongxinq  
       2020-01-09 12:14:24 +08:00
    @iMusic 别人知道了一个你的密码,其他的简单猜一下不就出来了?
    promisenev
        16
    promisenev  
       2020-01-09 12:24:08 +08:00
    @lunatic5 我和你用的不是一个 1p? 我怎么不用跳?
    zhucegeqiu
        17
    zhucegeqiu  
       2020-01-09 12:27:07 +08:00
    bitwarden 有 rust 版的 docker 可以自建服务器,我用了一年了,除了 ios 自动填充偶有失灵,其它基本不输 1p
    renyapeng
        18
    renyapeng  
       2020-01-09 12:28:36 +08:00
    用的 SafeInCloud,PC 端免费,移动端买断
    xabc
        19
    xabc  
       2020-01-09 12:35:38 +08:00
    @ronman 我信任阿里,腾讯的安全;如果阿里,腾讯的都泄漏了,密码管理器的密码一样保不住
    xmumiffy
        20
    xmumiffy  
       2020-01-09 12:50:07 +08:00 via Android   ❤️ 3
    KeepAss 不好么🤣
    xiaoz
        21
    xiaoz  
       2020-01-09 13:00:09 +08:00 via Android
    推荐 bitwarden_rs,资源占用更小,还带高级版功能:
    https://www.xiaoz.me/archives/14085
    juanxincai
        22
    juanxincai  
       2020-01-09 13:03:19 +08:00 via Android
    用了很久了,lastpass 用起来还是有点问题
    chih758
        23
    chih758  
       2020-01-09 13:05:42 +08:00
    和 keepass 比起来怎么样?
    lunatic5
        24
    lunatic5  
       2020-01-09 13:10:22 +08:00
    @promisenev 你是 mac 还是 win ?我在 win 系统的 chrome 浏览器上如果手动新增一个网站时会跳转到网页,而不是像 lastpass 或者 bitwarden 那样在插件里就可以添加了
    ronman
        25
    ronman  
       2020-01-09 13:14:27 +08:00
    @november 主密码在你脑子里,你可以简单搜索一下加密原理。反正丢了加密后的软件不存在安全风险(以现在的计算能力来说)
    QUIOA
        26
    QUIOA  
       2020-01-09 13:23:41 +08:00 via Android
    一直用这个
    AaronLee
        27
    AaronLee  
       2020-01-09 13:25:08 +08:00 via Android
    在用 docker 搭建 bitwarden_ rs
    charlie21
        28
    charlie21  
       2020-01-09 14:27:46 +08:00 via Android
    这个世界上还缺一个秘密管理软件吗?
    promisenev
        29
    promisenev  
       2020-01-09 16:25:16 +08:00
    @lunatic5 就是浏览器的插件啊,我 Mac 系统,但是插件都一样啊,和系统没关系
    securityCoding
        30
    securityCoding  
       2020-01-09 16:30:31 +08:00
    enpass 挺好用,印度人开发的
    NeoChen
        31
    NeoChen  
       2020-01-09 21:33:55 +08:00 via iPhone
    keepass 最好最香
    ShadyK
        32
    ShadyK  
       2020-01-09 22:14:11 +08:00
    @xabc 你是不是搞错了什么?

    最大的风险不是密码不够复杂,而是密码重复使用被撞库
    假设你一个 A 级安全的网站密码泄漏了,别有用心的人拿着你的邮箱和这个超级复杂的密码去各大网站试,一样分分钟被攻破
    xingheng
        33
    xingheng  
       2020-01-09 22:15:11 +08:00 via iPhone
    很想知道你们试用一个新密码管理器的时候是怎么迁移数据的,很方便吗?新工具也有导入导出功能吗?

    最重要的问题:怎么解决信任问题?不能每个平台都测试一遍网络流量出入吧?

    请解惑。
    vokins
        34
    vokins  
       2020-01-09 23:04:10 +08:00 via iPhone
    我一个朋友的密码是 7+1=8deile,里面包含了数学,逻辑,符号,方言。
    Tink
        35
    Tink  
       2020-01-09 23:24:57 +08:00 via iPhone
    @xabc #4 你这有什么用啊,那么多网站还是相同的人密码啊
    elfive
        36
    elfive  
       2020-01-10 08:15:10 +08:00 via iPhone
    1.开源的,表示密码的编码保存算法全是透明的,意味着只要知道这个编码存储流程的人都能通过存储密码的文件逆向出你的密码。

    2.为了解决问题 1,引入盐,加盐哈希,这就引入了另一个问题,我用一个密码保护一个密码或者一个密码(盐)保护所有密码,安全性反而降低。

    所以,开源的密码管理工具,很难做到这两点。
    只是为了输入密码方便点而已,安全性没什么本质的提升。
    amwyyyy
        37
    amwyyyy  
       2020-01-10 09:36:59 +08:00
    @xabc 你的场景太简单,如果是私人使用,这样也没问题。但是还有很多密码是办公用的,比如 ldap 密码、公司 vpn 密码、堡垒机密码、阿里云控制台密码等,他们的规则各不相同,最重要的是还会过期,过期的间隔也不相同。即使我用了密码管理器,但是有时还要找管理员重置密码,因为有些核心堡垒机的密码是组合密码,其它密码更新会影响这个密码。
    crazytudou
        38
    crazytudou  
       2020-01-10 09:46:35 +08:00
    使用这类工具,安全性是一方面,另一方面是现在账户密码太多了,靠脑力记是很麻烦,就算物理记,随身带个本也很奇怪。
    借贴额外请教下,之前腾迅云主机过期,想换境外的,布置一下 Bitwarden 试试,有什么好的推荐
    Chingim
        39
    Chingim  
       2020-01-10 10:18:39 +08:00
    @xabc 造几个复杂的密码并不难, 记住几个复杂的密码也不难. 难得是不重复
    Chingim
        40
    Chingim  
       2020-01-10 10:21:28 +08:00
    @xabc 就算是不重要的 c 级密码, 某个网站被脱裤了, 网站管理员安全起见, 强制用户改密码. 你是不是还要换一个密码?
    这样你有两个或者多个 c 级的密码, 时间一久, 你还能记得住哪个密码对应哪个账号吗?
    dangyuluo
        41
    dangyuluo  
       2020-01-10 15:03:39 +08:00
    @moyunhai 切换大小写不是按一个 Shift 就可以了的事情么。。
    FS1P7dJz
        42
    FS1P7dJz  
       2020-01-10 16:52:10 +08:00
    1 楼是典型的自以为是小聪明...
    ncepuzs
        43
    ncepuzs  
       2020-01-10 20:44:59 +08:00
    根据账号重要性对密码等级进行分级,以及基于域名(应用) + “盐”的密码组合规则,又不是什么创新之举,我都用过。

    但凡尝试过类似密码管理工具,想象每个账户密码都是(在可能的情况下) 24 位字母大小写、数字、特殊字符的随机组合,各平台一键填充、TOTP 全开启,都不会自以为是地说别人折腾和简单问题复杂化。
    ncepuzs
        44
    ncepuzs  
       2020-01-10 20:56:14 +08:00
    @promisenev
    @lunatic5

    你们应该是一个用的是浏览器扩展,一个用的是 1Password X,这两个不是一样的。直接在浏览器中新建密码项,后者确实会跳转到 Web Vault。
    Liampor
        45
    Liampor  
       2020-01-11 03:33:47 +08:00
    我之前也一直用 Bitwarden。但是有一次在德国某平台推荐了这个,有人回复这个帖子
    https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/
    大概意思说有点安全问题,太专业看不太懂。文章用德语写的,你可以 Google 翻一下
    fenxl
        46
    fenxl  
    OP
       2020-01-11 09:31:25 +08:00
    @Liampor https://en.wikipedia.org/wiki/Bitwarden 看维基百科的历史部分,2018 年 3 被指出存在的风险,在 2018 年 7 月发布的 Bitwarden 2.0 Web Vault,删除了第三方分析脚本的引用
    darmau
        47
    darmau  
       2020-01-11 18:37:29 +08:00 via iPhone
    @xabc 你是以为我们记不住几个复杂密码吗

    而我们要的是一号一密
    moyunhai
        48
    moyunhai  
       2020-01-14 09:27:20 +08:00
    @dangyuluo
    没错啊!输入一个 16 位的大小写字母加字符的密码也就按三四次 shift (还要时常担心确实按下去了?毕竟密码输入框里面显示的都是*,你根本不知道你输入的到底是 A 还是 a , 是&还是 7 )
    moyunhai
        49
    moyunhai  
       2020-01-14 09:28:31 +08:00
    @Liampor 开源的东西是免费的,免费的密码管理软件,是不会有人承担密码泄露给你造成的损失的。所以,程序员不会那么谨慎和细心。
    dangyuluo
        50
    dangyuluo  
       2020-01-14 12:03:00 +08:00
    @moyunhai 你可能要练习一下键盘输入了,这么多年我从来没觉得输入大写是个问题。想想 CamelCase 变量命名法吧
    moyunhai
        51
    moyunhai  
       2020-01-14 15:20:33 +08:00
    @dangyuluo
    1、手打十六位大小写字母和字符混合密码的过程是不是很爽?
    2、每一次登录都输入不同的十六位字符是不是很爽?
    3、每一次输入十六位密码按超人手速 5 秒理想计算,每天按最少 2 次输入密码频次计算,一个月就是 300 秒 5 分钟,一年就是 1 一小时。
    4、少年,为啥要浪费时间精力在这种事情上面?一年浪费的一小时时间看个片撸一发不好吗?
    5、对自己好一点,远离“手打输入复杂密码”这种事情。
    dangyuluo
        52
    dangyuluo  
       2020-01-15 02:12:21 +08:00
    @moyunhai 我算了一下,我的 1Password 密码共 27 位,其中均匀包含大小写 /数字 /字符,在 1Password 密码测评中的安全指数是最高。另外形成肌肉记忆后,每次输入速度可能只有 3 秒。

    至于我为什么要用这种密码呢?因为我觉得我其他的密码 /财产 /信用卡信息 /家人联系方式值得被保护,而且我的机械键盘用起来也很舒服。

    当然你要觉得你自己的东西没有任何价值的话,那你就去用 123456 咯,没人会管你。
    moyunhai
        53
    moyunhai  
       2020-01-15 11:23:59 +08:00
    有视频有真相,你既然说自己可以在 3 秒内手动输入 27 位均匀包含大小写 /数字 /字符 的密码,随手录个视频发上来好不好?
    对了,少年,你知道 Touch ID 吗?
    @dangyuluo
    dangyuluo
        54
    dangyuluo  
       2020-01-15 11:27:19 +08:00
    @moyunhai 你是不是脑袋不太好使?你觉得我有一丁点可能录制自己的密码么?还是说你打下这句话的时候没有过脑子?

    另外你知道很多人外接 Macbook 的时候喜欢扣上盖么?扣上盖你怎么 touch id ?

    ----

    我突然意识到你是不是以为 1Password 只有手机上有?
    moyunhai
        55
    moyunhai  
       2020-01-15 14:13:15 +08:00
    @dangyuluo

    !shHenouDTee&¥90ta

    这个密码,你能在五秒之内打完,录个视频,我就不假定你吹牛!

    这个争论最初的起因是你 DISS 我打字速度慢,并吹嘘自己 1Password 主密码是 27 位还 3 秒钟能够输入完成。

    牛皮吹了,请证明自己的手速吧!
    moyunhai
        56
    moyunhai  
       2020-01-15 14:14:49 +08:00
    @dangyuluo

    我是 1Password 好几年的老用户了,全平台使用。所以才对你坚持手动输入超长复杂密码的行为表示惊诧。
    yxc
        57
    yxc  
       2020-01-23 10:58:02 +08:00
    那些说手动输入密码的,自己编造密码记的,还很有自信的,真的挺搞笑的。
    NoDocCat
        58
    NoDocCat  
       2021-02-27 17:06:26 +08:00
    @Liampor 文章翻了一下, 大概意思是浏览器插件版本, 有一些库是从第三方加载的, 如果第三方被攻击可以直接伪造文件来影响插件. Android 版的接入了谷歌分析, 文章作者认为这是没必要的. 会增加信息泄露的风险.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2817 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 08:41 · PVG 16:41 · LAX 00:41 · JFK 03:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.