有哪位大佬了解 web3password 这个密码管理器么?

304 天前
 joemark

今天刷推,看到一个帖子,好奇进他们官网看了一下他们的白皮书,看起来好像非常的牛逼。 看文档,好像有个自托管的审计模式,好像能够解决我对 1p 的后门顾虑?哪位大佬能够解释一下这个是否可信么? 看起来好像是没有在国内上架,我只能用我的美区 appleid 下载。但是 app 价格好像没有活动。看他们官网活动好像才 9.9 美刀一年? 有哪位大佬在使用这个产品么?了解助记词么?看起来好像是区块链行业在用的东西? 有了这个,貌似就不需要我自己搭建的 vaultwarden 了?我总担心 vps 跑路。

https://twitter.com/stamhe/status/1752376594872803828

2817 次点击
所在节点    程序员
31 条回复
rekulas
304 天前
看了下,产品不算 nb ,数据加密放到区块链上好多年前炒作过的了,只是专注于密码管理的似乎不多,一个垂直领域(不过看了下支持了共享解密,这是一个创新点)

如果他们产品实现确实是按照白皮书实现而且代码上没有明显 bug 的话,那安全性确实很高,比较 bip 助记词的安全性比大多数人的主密码强多了

协议貌似开源了?这是一个加分项
joemark
304 天前
@rekulas 你了解 bip39 么?我大概了解了一下,好像 bip39 确实是区块链行业在用的东西,这个玩意儿的安全性真的很强么?比 argon2d 还强?

玩了一下,功能好像跟其他 bitwarden 差不多,而且这些小的 feature 也挺不错的。看起来还在内测。
https://imgur.com/H7Xa85W
guodexi
304 天前
下载插件玩了一下,这个产品有意思来着,完全没有邮箱和手机,密码,好奇怎么做数据同步和身份验证的?签名吗?
coderworld
303 天前
研究了一会儿,感觉很有潜力的产品啊,下单了一个年付的版本,玩玩看。

貌似符合我对密码管理器的所有想象?感觉可以扔掉我的 bitwarden 订阅了。😭
monster1priest
303 天前
风险提示:有特长保密有效期的信息不要存储在这上面
rekulas
303 天前
@joemark 算是比较了解吧,之前就做过一些相关算法, 但这个跟 argon2d 没有可比性,一个是生成协议一个是散列算法,bip39 即使以低挡的 12 词来算强度都相当于 33 位 16 进制的密码例如这样 b02c4bff31a91bbcea0caebef27a72a61 很显然量子计算有能力破解前不用担心强度
joemark
303 天前
@rekulas argon2d 和 PBKDF2 是加大难度的吧。下午了解了一下,这个 bip39 好像是派生密钥的,天生好像就很强大。
比特币很强大啊。居然有这种技术,也算长见识了。
下午翻他们官网,还看的一个有意思的,他们居然放了比特币的私钥在里面,让去破解,不知道可不可以破解出来。
joemark
303 天前
@monster1priest

大佬,请问一下,特长保密有效期是指啥呢?会有啥问题么?被暴力破解?
monster1priest
303 天前
@joemark 假设你有份重要文件有十年、二十年的有效期,量子计算出来后会被破解的,因为你加密后的信息是放在链上公开的
joemark
303 天前
@monster1priest 哦哦,也就是量子计算机出来之前,应该问题不大?
guodexi
303 天前
@rekulas 请问一下,他这个产品没有用户名和登录密码,怎么认证权限呢?你知道么?
monster1priest
303 天前
@joemark 大部分密码其实都不影响,但有些特别重要的信息还是要单独保存
monster1priest
303 天前
@guodexi 通过密钥做签名、加密
guodexi
303 天前
@monster1priest
了解了一下他们的白皮书,看起来是用的比特币的那套 ECDSA 来保障鉴权?那这个安全性确实可以啊。比我的 enpass 的密码登录安全很多。
markbook
303 天前
@coderworld
一样,哈哈,我也担心我的 vps 数据损坏,看 OP 发了这个,看了白皮书,安全性和隐私性确实都非常不错。
他们都那个 audit 模式挺有意思的,我的 vps 上面可以解密所有数据,看了他们的协议代码,看起来好像他们的服务器没有下发任何的密钥,完全依赖端上的助记词密钥加密的数据。这样看起来,至少安全性和后门不用担心了。
Autonomous
303 天前
先观望,目前自建 vaultwarden 完全免费,用这个 web3password 能免费吗
phithon
303 天前
本来以为这个是把数据放到链上,但看了下白皮书,好像只是使用了 BIP39 来生成密钥和助记词,数据并没有上链?
joemark
303 天前
joemark
303 天前
@phithon
https://web3password.com/security-game

看到他们的这个东西,看起来好像是上链了,至少还没有找到在哪里可以查询这个数据的。
估计是还没有对外开放吧?
lengyuqu
303 天前
自己搭建的 vaultwarden 都是放自家的 nas 上,放什么服务器上。 这种上链的就是坑。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1013351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX