首页   注册   登录
 janssenkm 最近的时间轴更新

janssenkm

V2EX 第 93415 号会员,加入于 2015-01-24 00:56:29 +08:00
今日活跃度排名 15890
根据 janssenkm 的设置,主题列表只有在你登录之后才可查看
janssenkm 最近回复了
5 小时 44 分钟前
回复了 dxfree 创建的主题 小米 Redmi Note 7 Pro 到手,用了大半天,不推荐作为主力机。
刷了国际版的也是垃圾一堆,还是一加好,不刷都干净。刷了后的区别也就是去掉了百度输入法
5 小时 45 分钟前
回复了 Hiyuu 创建的主题 MacBook Pro 求助:购买 MacBook Pro 2018 选择问题
还考虑后来呢,都不确定的话,建议买个便宜的小米先用着。
笔记本跑虚拟机很吃力,不如弄一个 mini 小电脑,当作服务器用就行了。接上宽带可以远程,性能也好。
17 小时 4 分钟前
回复了 gyuce 创建的主题 宽带症候群 v6 速度与 v4 对比
直接关掉 V6,我觉得还不到普及的时候
17 小时 40 分钟前
回复了 zoomcmj 创建的主题 Android 安卓系统的开放,对用户真的很重要么?
安卓和 android 已经不是一种系统了,同样苹果和 apple 也不是一个东西了。
用百度存放软件包,用 OneDrive 放文档,都用啊,不过百度死了我会放个礼花
在线存储的安全性理论上是比较安全的,老大哥 lastpass 的做法是加密后上传,加密时用自己的主密码,到了服务器上就全是一堆二进制了,而且有一个比较好的选项是密钥轮数量的设置,默认好像是 10000,现在电脑性能好多了,完全可以设置为 100 万,官方说轮子数量不同加密结果完全不同,所以这一项也可以用作个人安全设置,而且这个数值在官方服务器上也是将存储的,换句话说,加密解密都在这里设备上进行。自己可以设置一个特别的数字,比如某个一百万左右的随机数 1836294。这样即使拿到了你的主密码也还缺这个密钥轮参数不行。

这一点后面各大厂商基本都遵循这个原理来设计了。也许有偷懒的吧。

简单检查自己用的密码管理软件在服务端是否做有效的加密可以这么干,注册一个帐号,批量加入一堆密码项目,多存点长文本和附件,怎么都得放上一百个。

然后做一个大胆的操作,修改主密码,如果是加密后传到服务器的话,这个过程会持续一段时间的,数量越多越明显,如果是瞬间就结束了的话,那么对不起,GAME OVER.
实际上我目的不纯,因为看着淘宝怎会那么便宜,就想看看有什么猫腻,于是乎去调戏淘宝店家了,说是去年感恩节优惠免费三年,才六十?

我是新开的空账户,随便做了十几条假数据在里头,然后假装小白对店家各种问,最后也是各种检查,登录进去不仔细看还真没发现有什么差别。

有点不一样的就是显示为感恩节免费试用一年,然后他说第二年系统自动续期,共三年。

在我的各种查询和官网邮件闻讯后终于在一个邮件验证里发现这个帐号显示为 family 成员!于是我和店家好好掰扯了一下,然后就是我这边显示帐号已删除。


如大家所说,结论是,密码管理软件管理的是我们的数字资产,相信这价值对自己而言几乎是无价了,不要贪图小便宜。

只需用什么软件,我相信只要用一个靠谱的自己喜欢的就行,云端同步的就看对方的安全意识了。

本地管理的鼻祖 KeePass,类似的还有 Enpass,SafeInCloud 等,支持云盘同步以及 WebDav 协议同步

云端产品就多了,老大哥 LastPass 一直很好用,紧跟后面的新秀还有 1Password, Dashlane, PasswordBox, StickyPassword, PasswordBoss, Bitwarden, PasswordWrench, 老牌公司 RoboForm 也插入了一脚,以及各家杀毒软件的跟风制作“ [杀毒软件名称] Password Manager ”。

国产的极密盾号称吊打上面那些软件,不过因为是国产,我就产生不安全的感觉,哪个大老爷们儿领导想看就看?所以看一眼就不用了。

还有一类奇葩软件,叫花密,用原始密码加上网站标签分租后计算一个密码,定一个密码 12345,加上一个标签比如新浪,搜狐,类似哈希算法算出一个密码来。感觉有点不好使。


用了十几年 lastpass, 总被他错误极高的识别率困扰,可毕竟免费,大多数识别也还不错,就一直用着了。最近又心血来潮捣腾了一下其他软件,总有这点那点的不满意。

KeePass 用了一下,主流在 windows,苹果下都是第三方开发的爱好者产品来进行网盘同步,多的数不胜数,反而就担心这些软件的安全性了。没继续用。

Enpass 和 SafeInCloud 是用网盘同步的,我特地自己用美国的一台服务器搭建了一个 WebDav,速度还不错,但我有个怪癖,搞事情几个设备多平台一起同步批量造出来的一万条带附件的数据,结果挂了,产生了一堆不一致,于是自己同步的心思就放弃。

转战进入 Bitwarden,用了官方的同步没问题,批量一万条带附件也没问题,我还是喜欢搞事情,他不是开源嘛,从 git 下了包装在一台服务器上,用起来也不错,可正好那几天服务器被土耳其和俄罗斯还有盐城的几万个 ip 把它 DDos 了几天,服务器商家也没法抗 D,后面也死心了,不过 Bitwarden 代码我看了一下,真的很优雅!有兴趣可以自己学着写一个。这个我最喜欢。

StackSocial 在卖 StickyPassword,PasswordBoss,PasswordWrench 的终身版会员,价格也就二三十美刀,我都买来尝试了一下,都很不错,不过缺点也明显,这几家开发都有点反人类,而且同步速度不快。

StickyPassword 不喜欢哪套 UI,据介绍是日本人开发的,启用两步验证后每割十分钟解锁时又得在输入主密码后再次输入两步验证码,觉得有点反人类。放弃了。

PasswordBoss,密码老板?带有豪,老板之类词语的比较反感,总觉得像是有国人参与,安全性不敢恭维,后来过了一年搜索了一下这家公司的爆破记录,还真有一堆安全漏洞被人家贴出来了,于是放弃。不过最近看了一下,这家公司的漏洞都修补完成了,还提供了多地多节点。

PasswordWrench 是 stacksocial 上新出的,19.9 刀下手,这尼玛的 UI 不支持我的高分辨率(150%)Win10 啊,显示效果惨不忍睹。就像 360 一样。没开始就结束了。

dashlane 以前试用过,很不错很好用,但这价格最近涨得太厉害了,里头还嵌套一个 v.p.n,尼玛我买来管理密码的,用这个干嘛。

1Password 分两三年试用了几次,说真的,我对 lastpass 不满意的功能他都解决了,比如登录微软谷歌需要点三次下一步,而我是多帐号! lastpass 到下一步就得重新选择用哪项,这个不用,行云流水一气呵成!但它截取表单内容不如 lastpass,1p 是提交前截取,这样如果提交修改密码失败恰好你点了更新就悲催了(虽然还可以去翻历史密码),lastpass 就做得很好,提交成功后再弹窗提示更新,如果失败了就不点更新即可。林林总总这俩货都是又爱又恨,不过有一点我喜欢,1Password 客服回复很慢,但回答很专业,前几年我提交了一份邮件说了两个小建议,大约就是能不能在安全提示里(现在叫瞭望塔)专门列出已经开通了两步验证的登录项目,他们回复了一堆看不懂的评估建议,然后说这功能会慢慢加进去,结果过了几年真的出现这个功能了。还有一个就是问了问浏览器点开匹配密码项右上角能否可以将该项目置顶显示,尼玛现在只在 mac 版本上提供,windows 无缘这功能了。

还有一家新创的公司产品叫 RememBear,他在人机互动上做得很好,开发试用版玩了一年多,最近正式提供收费套餐了,但毕竟初创,这东东还是等稳定了再考虑吧,说真的,智能化工作做得太好了,如果他是已经运营了五六年的话且安全性不错的话,我绝对会考虑他,不过目前存储功能有点单一,还不支持两步验证代码存储。


其他还有一堆各大杀毒厂商跟风做的 Kaspasky PasswordManager, Avira Password Manager, Norton Password Manager, Macafee PasswordBox,懒的说了,真是跟风之作,仗着品牌效应,功能简单价格却不低,麦咖啡稍好一点点,貌似是从英特尔弄过来的。随便看了一下,没细看。



林林总总用了一大堆,最后我个人还是喜欢 LastPass 和 1Password,有时间的话想学习一下 Bitwardon,
至于本地同步的我想还是放弃了,尽管我也喜欢 Enpass 和 safeincloud,但出现高压下数据不一致情况下还真是有点怕的,最终选了 1Password,官网有充值卡优惠。


文章写的有点乱,等有空了我好好写一篇出来。再见。
@ggmood 本地同步的还有一款叫 SafeInCloud,操作上我觉得比 enpass 好使点
@essethon 我的想法和你一样
@namesc 你不值钱,所以没必要搞你,等你值钱了再搞……
😁😁
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2518 人在线   最高记录 4385   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 7ms · UTC 14:38 · PVG 22:38 · LAX 07:38 · JFK 10:38
♥ Do have faith in what you're doing.
沪ICP备16043287号-1