千万不能贪小便宜购买 1Password 家庭版,后果很严重

2019-02-19 22:51:23 +08:00
 janssenkm

做了一个测试测试测试,马某人家的 1Password 家庭版加入很便宜,就几十块,但管理员权限很足很足。一言不合直接把你的账号删掉没商量,将对方惹怒后,人家成功地删掉了我的 1Password 账号。不过本人人品好,马大叔先行退款了。没有任何损失。

25726 次点击
所在节点    问与答
78 条回复
jadec0der
2019-02-20 09:02:00 +08:00
到底为什么不用 lastpass 呢?
namesc
2019-02-20 09:06:47 +08:00
@msg7086 脱库被撞出来了那就是“泄露一个密码”啊,我说的是“泄露一个密码”之后对方通过一百几十次的尝试破解不出其他密码”。

像我上面已经告诉你我 E 字母密码是 Ee@16201805 了,你不用脱也不用撞了,那你试一百几十次看能不能试出我 V 站的 V 字母密码,我有自信你会在成功之前就放弃。
namesc
2019-02-20 09:11:02 +08:00
@xenme 六位数数字密码当然是独立的,就算你用记忆软件也是独立啊。其他的文本密码长度都支持十二三位,还没遇到过不支持的,自己注意别太长就行了。确实存在个别网站不支持特殊符号的情况,比如 12306 就不支持,这就是我说有时候密码需要试两次的时候,不过这种情况是特别罕见的。
essethon
2019-02-20 09:18:04 +08:00
@namesc #2 我觉得我用密码管理器的重点倒不仅在于「各网站密码不同 /防止社工 /撞库 /遗忘」这类需求上,而是密码管理器可以记录除了密码本身之外的好多信息,是一个私人互联网帐号信息库。
比如我有好几个手机号,有移动联通,还有海外的,以及 GV,不同的互联网帐号我可能酌情绑定了不同的手机号;绑定邮箱同理。包括但不限于以上信息都可以记在密码管理器里。

这样的好处是随时可以搜索,比如因某些原因我要放弃某个手机号或邮箱不用了,只要搜索一下,就可以清楚看到哪些帐号绑定了这个手机号 /邮箱,及时解绑;还可以实现很多其他的信息管理功能。对于帐号信息经常变动的我来说,密码管理器是很得力的助手。

当然你也可以说用「密码规则 + Excel 」也能做到这些。
至于我为什么选择 1Password 而不是 LastPass、KeePass 甚至直接加密一个 Excel 文件或者弄个数据库,这就是在界面、操作舒适度、同步便利性上的个人喜好了。相当于花钱买舒服而已。

当然,随机密码、防止社工、撞库之类的,算是密码管理的基本功能,自然也给解决了。

另外,我的密码库里有 500+ 条目,也不乏一些网站有好几个帐号的情况,我觉得让我都用密码规则我是根本 Hold 不住的。十几个几十个网站还行,但多到这个程度,哪天打开一个小网站,「我是否在这个网站注册过、当时用的哪个邮箱」这种问题,我根本想不起来。
msg7086
2019-02-20 09:19:23 +08:00
@namesc 我说的的泄露一个密码是真的泄露了一个密码而不是脱裤。
脱裤在密码熵够大的情况下是撞不出来的。
(你说脱裤被撞密码就已经是一个弱点了。)

我说的是当你已经有一个明文密码的情况下,再拿到一个脱裤出来的哈希以后就可以跑穷举了。
只要你有固定的规则,天生就会造成密码低熵,只要熵够低就能穷举出来。

换句话说,你告诉我 Ee 密码,再告诉我你 V 站密码的 SHA256 哈希,我就可以试出来你的密码。
反过来我可以把我 V 站密码的 SHA256 哈希给你,而你永远不知道我原始密码是啥。
说杞人忧天倒是不至于,外面满地都是脱裤撞库,天都塌下来几千万次了,你还觉得是杞人忧天,我也没办法啦。
但是 2 楼这样把这种不安全的想法推荐给别人,给别人的密码安全带来隐患,不太好吧。
ggmood
2019-02-20 09:21:38 +08:00
Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass
msg7086
2019-02-20 09:21:44 +08:00
嗯,上面说的多账户也是一个因素。比如我 Google 账号前后有十几个,有些 VPS 厂商的账号,有自己用的有给客户注册的还有朋友的,要我不用密码管理器而用脑子记,怕不是几天就忘光了。
namesc
2019-02-20 09:25:29 +08:00
@essethon 账号很多的话是很有必要使用账号管理了,一些小号是没必要去记得,我的小号也是存起来的。

我前面说的只针对密码管理。
gamelyking
2019-02-20 09:29:07 +08:00
@msg7086 想问一下你这个 125bit 的密码是怎么生成的啊
essethon
2019-02-20 09:29:16 +08:00
关于本帖主题,1Password 家庭版订阅的安全问题,我目前的认识(不一定对):

- 1Password 有本地备份,比如 macOS 版的在 ~/Library/Group Containers/...blahblah 里面,被动删除帐号的话,这个应该不会丢吧?
- 家庭版管理员可以对某个成员帐号发起 Recovery (当然按照楼主所说,还可以直接删帐号),但是发起 Recovery 的话是那个成员自己的邮箱会收到 1Password 的邮件,由他自己来操作获取新 Secret Key 和 Master Password。

所以我的理解是,正常情况下,机制应该不允许家庭版管理员看到成员的私人密码库内容吧?
但删号删订阅之类的风险还是有,所以还是最好熟人合租
Mosugar
2019-02-20 09:37:14 +08:00
Enpass+1
msg7086
2019-02-20 09:38:05 +08:00
@gamelyking 我是用的 KeepAss 的密码生成器生成的。LastPass 也有生成器,都挺方便的。
namesc
2019-02-20 09:41:21 +08:00
@msg7086 大家要求不一样吧。我是所有大厂产品都开了二次验证,不怕万一密码泄露。而对于小厂产品,我是认为我只要防泄露一个之后不让他猜到其他的就够了,我不觉得会有职业安全员来破解我这些账号密码。

可能我比较有安全感,没有你们那么在乎所有账号的安全。
qsnow6
2019-02-20 09:43:56 +08:00
心算密码生成器就算了,实在不行就算了,有价格考虑的话,ENPASS 买断,实在不行就 lastpass
nathanw
2019-02-20 09:49:46 +08:00
1p 其实不需要账户,本地 wifi 同步即可,没必要同步到云端
passerbytiny
2019-02-20 10:09:20 +08:00
正常情况下,家庭版是给家庭用的,楼主这种行为相当于花钱认干爹。既然认了干爹,为什么不老老实实听干爹的话。这种认干爹的行为,是要比盗版更扰乱市场的行为。
zhenhao
2019-02-20 10:10:05 +08:00
谢谢提醒
Greenm
2019-02-20 11:00:41 +08:00
楼主主要是没认识到家庭版中,家长的权力是比较大,能够随意删除其他人的权限和账户,这本来就符合家庭版的定义。当然看密码是不可能的。所以选择加入家庭版时一定要慎重,选择能够信任的人。
zzxop
2019-02-20 11:15:46 +08:00
lastpass 有那么不堪吗?
loveour
2019-02-20 11:21:00 +08:00
其实没必要太敏感,脱库的密码泄露都会一次性很多密码,撞库也都是批量进行的,极大概率不会有人有闲心来单独破解某个人的密码的,我们做到密码本身和规律不要太简单,不要多个网站同密码就好了。什么样的规律密码更安全可以讨论,但是什么样的安全程度足够,其实每个人认知还真不一样。我是 CSDN 那次之后自己写的密码生成器,但是现在很多密码也就直接用 Chrome 生成的了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/536722

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX