V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kinghenry
V2EX  ›  分享发现

再吐槽一下,1password其实不如lastpass

  •  
  •   kinghenry · 2014-01-26 20:34:14 +08:00 · 37212 次点击
    这是一个创建于 3979 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我在windows里一直用的是keepass+lastpass。其中lastpass对于网页登录的支持做得相当棒。上手mac之后,发现所有人的一致推荐都是1password。终于,把1password的win+mac+ios+android都配置好了用上一段时间后,发现1p强大当然还是强大,但其实有点过喻,其原因可能是在mac下。1p的客户端做的的确很好,但仅此而已。举个例子,1p存储了登录finance.qq.com时的用户名密码,到了我要登录mail.qq.com,它竟然不能识别这还是qq.com的网页。最后,我手动把1p里的网页改成qq.com,才算解决问题,但其实在有些第三方网页需要用qq帐户登录时还是存在问题。而在用lastpass这都不是问题。

    总之,我是觉得1p除了客户端比较赞之外,并没有让我觉得太强大的地方。希望有同学能告诉我1p还有什么超强的功能我忽略了的。
    35 条回复    2014-08-07 15:12:00 +08:00
    luyan
        1
    luyan  
       2014-01-26 21:04:53 +08:00
    1p价格很强大啊,不过我觉得1P用的很好很舒服。
    X-Force
        2
    X-Force  
       2014-01-26 21:08:16 +08:00
    重点是1P的数据全部在本地,自我感觉相对更安全一点。
    nAODI
        3
    nAODI  
       2014-01-26 21:09:28 +08:00
    lastpass 是通过什么方式实现这功能的?倒是可以和 1p 反馈一下,1p 的客服非常活跃与有耐心。

    lastpass 没用过,1p 完全能处理好我的密码与其他各种私人信息(比如软件授权管理等等)。
    pright
        4
    pright  
       2014-01-26 21:15:25 +08:00 via Android
    ladtpass其实就是判断*.qq.com,但是相对的有的网站如steam,它的商店和客服都是steampowered.com,就是前面不同,lastpass遇到这种就会显示找到两个匹配纪录
    Leafove
        5
    Leafove  
       2014-01-26 21:16:17 +08:00
    不同的二级域名间账号如果不同怎么办?
    yutify
        6
    yutify  
       2014-01-26 21:17:31 +08:00 via iPhone
    1p被吹神了
    loading
        7
    loading  
       2014-01-26 21:48:54 +08:00 via iPhone
    @pright 正解,其实就是url匹配问题,1p为了准确和防止错误,默认写的死一些。

    而lastpass更懂互联网
    kinghenry
        8
    kinghenry  
    OP
       2014-01-26 21:50:51 +08:00
    @Leafove 这种情况我还没怎么遇到。

    总之,1p对url和网页内容的识别不是特别强。

    说到安全性,只要你要跨平台使用,1p一样是需要在云端有备份的。如果说到本地的安全性,那keepass带密钥的双因素和lastpass的双因素其实都比1p强。1p只用一个密码进行加密,我还真有点不是那么放心。
    jaylong
        9
    jaylong  
       2014-01-27 00:44:52 +08:00
    1password 4已经支持单账号添加多域名了
    hzlzh
        10
    hzlzh  
       2014-01-27 01:10:29 +08:00
    赞成 2楼回答,比如我的 Dropbox 被盗,你拿到我1P的备份也没关系,需要master pass才能解密。

    所以1P存了以下信息理论上是安全的:

    * 银行卡帐号+安全码
    * 身份证号+社保号
    * 网站网银帐号密码
    * 各类软件授权证书和密钥
    * 比特币钱包和Ripple币钱包备份密钥

    我敢放进去,因为数据是加密后存在本地的,不存在被盗后的遭遇解密的风险。而有一些服务比如 Lastpass,使用的前提是你信任这家 Lastpass 公司,如果是这样,就没什么好讨论了。

    另外推荐阅读 lifehacker 这篇纵向测评:
    http://lifehacker.com/5799036/the-best-password-utilities-that-dont-store-your-data-in-the-cloud

    注意检索文章中的关键字 `local` 以及考虑文章中下面这句话:
    "But, we understand that some of you may be rethinking your decision to store your passwords online"
    LazyZhu
        11
    LazyZhu  
       2014-01-27 01:28:35 +08:00   ❤️ 2
    lastpass/1password/keepass 我都试用过一段时间,最终选择了keepass, 因为可扩展性最好。

    PS: 有个keepass插件叫KeeAgent,对用密匙登录管理VPS/服务器的人非常有用。
    http://lechnology.com/KeeAgent
    “KeeAgent is a plugin for KeePass 2.x(external link) that allows SSH keys stored in a KeePass database to be used for SSH authentication by other programs.”
    pright
        12
    pright  
       2014-01-27 01:33:57 +08:00
    @Leafove @kinghenry 这个就是我说的steam的例子,steam的商店(store.steampowered.com)和客服(support.steampowered.com)就是这种情况,两个是不同账号,这个时候进任何一个页面lastpass都会提示有两个匹配记录,自动填写的记录有可能不是正确的,需要用户自己选择合适的。
    其实和相同页面多账户的情况是类似的,比如记录了多个邮箱账号的情况。
    yfdyh000
        13
    yfdyh000  
       2014-01-27 02:53:44 +08:00
    @hzlzh LastPass也是本地加密后云端上传,区别只在云服务的强制性,以及由此产生的心理影响。
    1P也是闭源商业软件,同样无法排除预留后门或存在漏洞的可能性,所以同样需要信任。
    那么只有开源甚至物理隔离的KeePass才可能绝对可靠。

    @Leafove @pright LastPass的“帐户设置”可以添加“主机精确匹配”规则,不过确实比较麻烦。
    这只是与1P所选择的策略不同。
    yyfearth
        14
    yyfearth  
       2014-01-27 07:51:54 +08:00
    @yfdyh000 LastPass 主要是信任度得问题,比如他们得云端不能访问了,虽然本地有缓存,但是也会担心,因为感觉数据“不属于你”
    KeePass 在某种程度上面确实比 1p 好,但是用户体验和 1p 得差距还是不小
    kinghenry
        15
    kinghenry  
    OP
       2014-01-27 08:59:36 +08:00   ❤️ 2
    其实,1p和lp的信任问题是同一水平的,都需要依赖对厂商的信任。1p要完全做到local,你就得用防火墙让它永不联网,这样还不够,因为它加了驱动,它真要做坏事,防火墙也挡不住。1p和lp在信任问题上的差异,仅仅只是用户的感觉上的差异而已。

    keepass才是真正完全解决了信任问题,因为它是开源的,同时程序很干净,不需要高级权限,不主动升级,不联网,不加驱,而且它的加密程度很高。很多同学是把密码库和密钥分别放在两个云存储服务里,进一步保证安全性的。

    keepass的问题不是易用性,它的易用性并不差,只是UI差点而已。kp最大的问题是跨平台,只在windows平台是开源的,其它平台都是第三方实现,信任度就不行了。

    如果不是kp跨平台的问题,我肯定会选择kp而不是lp。
    kinghenry
        16
    kinghenry  
    OP
       2014-01-27 09:03:52 +08:00
    在需要易用性的时候,用lp,在需要高密级的时候,用kp。如果不是要跨平台,lp+kp秒杀1p。

    现在唯一的遗憾就是kp没有针对mac os x做开源。
    jinghli
        17
    jinghli  
       2014-01-27 10:48:47 +08:00
    Lastpass本地加密上传云端,而且云端支持两步认证,所以还是蛮安全的。对于url识别,如果识别太智能,其实是不安全的一个因素。譬如http的网页也会提交https页面记录的密码。如果用lastpass切记不要enable自动提交。

    具体看看这里提到的PDF,http://isecpartners.github.io/whitepapers/passwords/2013/11/05/Browser-Extension-Password-Managers.html
    kinghenry
        18
    kinghenry  
    OP
       2014-01-27 11:03:47 +08:00
    @jinghli 有道理,这的确是个安全隐患。
    kinghenry
        19
    kinghenry  
    OP
       2014-01-27 12:55:39 +08:00
    不过,1p的对url和页面的识别也太差了,手工填加一级域名后,经常会对着根本不是用户名密码的地方乱填,安全性堪忧。lp在这方面识别得很好,能理解哪些是用户名密码的位置。

    总之,1p这款在mac/ios下被盛赞的密码管理应用,实际能力不太对得起名声。
    kinghenry
        20
    kinghenry  
    OP
       2014-01-27 13:04:40 +08:00
    @jinghli 根据你说的这个自动提交问题,我把1p全部设为从不自动提交,因为默认是自动提交。1p对url和填充位置识别太差,如果自动提交,密码被泄露的一塌糊涂。太危险了。

    用1p的同学可以注意一下。
    panlilu
        21
    panlilu  
       2014-01-27 13:48:28 +08:00
    1P的博客里面有他们关于安全加密部分原理的解释,我觉得挺好的。
    kinghenry
        22
    kinghenry  
    OP
       2014-01-27 13:53:17 +08:00
    @panlilu 相对于lp,kp有什么特别之处吗?
    jinghli
        23
    jinghli  
       2014-01-27 15:30:56 +08:00
    @kinghenry 有必要,自己点一下提交不费事,但至少可以确认是不是真网站,尤其使用public Wi-Fi的时候。
    P99LrYZVkZkg
        24
    P99LrYZVkZkg  
       2014-01-27 17:02:36 +08:00
    1p我买了,真tm的贵。现在处于很尴尬的境地。

    mac版本的客户端比windows的新,两个版本不兼容。

    所以我现在windows复杂密码需要用ipad打开1p然后手动输入。。。
    kinghenry
        25
    kinghenry  
    OP
       2014-01-27 18:15:59 +08:00
    @P99LrYZVkZkg win/mac版现在最大的问题是两个平台的chrome扩展是不通用的,这边扩展升到4.0,那边就不能用了。我发现论坛上已经反映这个问题快一年了,竟然还没能修复。
    kinghenry
        27
    kinghenry  
    OP
       2014-01-27 18:37:14 +08:00
    @ccming 已经被1p伤到钱包,还要再伤一遍?
    ccming
        28
    ccming  
       2014-01-27 18:44:54 +08:00
    @kinghenry 再也不相信爱情了?
    aku
        29
    aku  
       2014-01-27 19:16:58 +08:00 via Android
    @kinghenry 没有任何特别之处,相对keepass简直弱爆了,跟lastpass基本一样,都是本地加密。
    0bit
        30
    0bit  
       2014-01-28 21:34:05 +08:00
    每次看到关于lastpass的话题,我都要再吐槽一次:
    LastPass的UI设计得真差,虽然现在更新了,但是还是差,用着不方便。
    io565
        31
    io565  
       2014-01-29 02:52:57 +08:00 via iPhone
    一直lastpass,跨平台没得说
    加密方式楼上已经介绍过了
    两步加密也会使得加密数据改变 所以一点不担心安全性
    毕竟没什么危害人类的行为
    这么多双眼睛盯着 lp敢乱来么
    别这么纠结
    robbielj
        32
    robbielj  
       2014-01-29 03:28:21 +08:00
    1p这一套下来实在是太贵了,就算做得多么漂亮,一个密码管理器还会天天盯着?
    而且现在浏览器填表的需求很容易满足吧,chrome有自己的密码同步,safari的话mac+ios有keychain,我真没有觉得要经常借助密码管理器输密码。

    我现在的方案就是keepass加上ios的minikeepass,数据库用key和keyfile加密,放在dropbox上,虽然minikeepass不支持自动同步,但手动也很简单。

    lastpass没有用过,不过免费的我已经用得很舒服,没觉得有必要再掏钱了。

    顺带一提类似服务还有dashlane和securesafe
    robbielj
        33
    robbielj  
       2014-01-29 03:31:46 +08:00
    @kinghenry mac和linux上keepassx是开源的吧,ios上minikeepass也是开源的,都在github上。
    coagent
        34
    coagent  
       2014-02-05 11:16:49 +08:00
    KeePassX 和 KeePass 是什么关系呢?
    stonehoo
        35
    stonehoo  
       2014-08-07 15:12:00 +08:00
    本来准备花钱买一套1p的看了这么多,决定还是用lp吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5293 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:45 · PVG 16:45 · LAX 00:45 · JFK 03:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.