千万不能贪小便宜购买 1Password 家庭版,后果很严重

2019-02-19 22:51:23 +08:00
 janssenkm

做了一个测试测试测试,马某人家的 1Password 家庭版加入很便宜,就几十块,但管理员权限很足很足。一言不合直接把你的账号删掉没商量,将对方惹怒后,人家成功地删掉了我的 1Password 账号。不过本人人品好,马大叔先行退款了。没有任何损失。

25726 次点击
所在节点    问与答
78 条回复
yksoft1ex
2019-02-21 08:27:41 +08:00
“家庭版”有什么不同?管理者能够直接管理所属用户保存的密码吗
venster
2019-02-21 09:04:54 +08:00
自从 last pass 移动版免费后,我不知道普通用户有任何理由有 1password 的理由了。原来还是 last pass 付费用户的,移动版一免费也不付费了。
zhttty
2019-02-21 09:33:12 +08:00
开源的 keepass 不用吗?
Mosugar
2019-02-21 11:06:38 +08:00
@ialva 没有呀 我是同步在 onedrive 的。PC MAC IOS 安卓都可以同步 我都在用
janssenkm
2019-02-21 16:40:37 +08:00
@namesc 有个软件叫花蜜,名字很邪恶,但做法和你想的一模一样。不过话说回来,这个人家网站改密码改公司名称后就惨了。
janssenkm
2019-02-21 16:44:42 +08:00
@jadec0der 用啊,用了十几年了。危险的还是国内的各个网站和系统,随时脱裤子没商量的。现在对比了一下 1Password,发现 LastPass 的识别率的确不如 1Password,而且 1Password 有我喜欢的自定义字段,文字内容支持 Markdown,完全可以自己排版得很精美!
而且它集成了 2 步验证码自动填写了,注意是自动! Windows 下 Chrome 可以完全自动实现,MacOS 下 Safari 里需要手动实现,MacOS 下 Chrome 可以自动实现,Android 可以半自动,给你放在剪贴板里,iOS 没具体试过。
janssenkm
2019-02-21 16:46:03 +08:00
@Mosugar 本地文件同步网盘同步的要注意备份,有冲突会毁灭文件,特别是几个设备一起用的时候。
janssenkm
2019-02-21 16:47:58 +08:00
@nullllllllllllll 嗯嗯,只是试试玩哦,放心,没损失,也没丢失密码,钱找回来了。现在官网充值优惠正用着呢。
Mosugar
2019-02-21 17:45:50 +08:00
@janssenkm 感谢 看来要注意一下 目前还没遇到
janssenkm
2019-02-22 12:40:31 +08:00
@namesc 你不值钱,所以没必要搞你,等你值钱了再搞……
😁😁
janssenkm
2019-02-22 12:41:20 +08:00
@essethon 我的想法和你一样
janssenkm
2019-02-22 12:42:50 +08:00
@ggmood 本地同步的还有一款叫 SafeInCloud,操作上我觉得比 enpass 好使点
janssenkm
2019-02-22 13:57:38 +08:00
实际上我目的不纯,因为看着淘宝怎会那么便宜,就想看看有什么猫腻,于是乎去调戏淘宝店家了,说是去年感恩节优惠免费三年,才六十?

我是新开的空账户,随便做了十几条假数据在里头,然后假装小白对店家各种问,最后也是各种检查,登录进去不仔细看还真没发现有什么差别。

有点不一样的就是显示为感恩节免费试用一年,然后他说第二年系统自动续期,共三年。

在我的各种查询和官网邮件闻讯后终于在一个邮件验证里发现这个帐号显示为 family 成员!于是我和店家好好掰扯了一下,然后就是我这边显示帐号已删除。


如大家所说,结论是,密码管理软件管理的是我们的数字资产,相信这价值对自己而言几乎是无价了,不要贪图小便宜。

只需用什么软件,我相信只要用一个靠谱的自己喜欢的就行,云端同步的就看对方的安全意识了。

本地管理的鼻祖 KeePass,类似的还有 Enpass,SafeInCloud 等,支持云盘同步以及 WebDav 协议同步

云端产品就多了,老大哥 LastPass 一直很好用,紧跟后面的新秀还有 1Password, Dashlane, PasswordBox, StickyPassword, PasswordBoss, Bitwarden, PasswordWrench, 老牌公司 RoboForm 也插入了一脚,以及各家杀毒软件的跟风制作“ [杀毒软件名称] Password Manager ”。

国产的极密盾号称吊打上面那些软件,不过因为是国产,我就产生不安全的感觉,哪个大老爷们儿领导想看就看?所以看一眼就不用了。

还有一类奇葩软件,叫花密,用原始密码加上网站标签分租后计算一个密码,定一个密码 12345,加上一个标签比如新浪,搜狐,类似哈希算法算出一个密码来。感觉有点不好使。


用了十几年 lastpass, 总被他错误极高的识别率困扰,可毕竟免费,大多数识别也还不错,就一直用着了。最近又心血来潮捣腾了一下其他软件,总有这点那点的不满意。

KeePass 用了一下,主流在 windows,苹果下都是第三方开发的爱好者产品来进行网盘同步,多的数不胜数,反而就担心这些软件的安全性了。没继续用。

Enpass 和 SafeInCloud 是用网盘同步的,我特地自己用美国的一台服务器搭建了一个 WebDav,速度还不错,但我有个怪癖,搞事情几个设备多平台一起同步批量造出来的一万条带附件的数据,结果挂了,产生了一堆不一致,于是自己同步的心思就放弃。

转战进入 Bitwarden,用了官方的同步没问题,批量一万条带附件也没问题,我还是喜欢搞事情,他不是开源嘛,从 git 下了包装在一台服务器上,用起来也不错,可正好那几天服务器被土耳其和俄罗斯还有盐城的几万个 ip 把它 DDos 了几天,服务器商家也没法抗 D,后面也死心了,不过 Bitwarden 代码我看了一下,真的很优雅!有兴趣可以自己学着写一个。这个我最喜欢。

StackSocial 在卖 StickyPassword,PasswordBoss,PasswordWrench 的终身版会员,价格也就二三十美刀,我都买来尝试了一下,都很不错,不过缺点也明显,这几家开发都有点反人类,而且同步速度不快。

StickyPassword 不喜欢哪套 UI,据介绍是日本人开发的,启用两步验证后每割十分钟解锁时又得在输入主密码后再次输入两步验证码,觉得有点反人类。放弃了。

PasswordBoss,密码老板?带有豪,老板之类词语的比较反感,总觉得像是有国人参与,安全性不敢恭维,后来过了一年搜索了一下这家公司的爆破记录,还真有一堆安全漏洞被人家贴出来了,于是放弃。不过最近看了一下,这家公司的漏洞都修补完成了,还提供了多地多节点。

PasswordWrench 是 stacksocial 上新出的,19.9 刀下手,这尼玛的 UI 不支持我的高分辨率(150%)Win10 啊,显示效果惨不忍睹。就像 360 一样。没开始就结束了。

dashlane 以前试用过,很不错很好用,但这价格最近涨得太厉害了,里头还嵌套一个 v.p.n,尼玛我买来管理密码的,用这个干嘛。

1Password 分两三年试用了几次,说真的,我对 lastpass 不满意的功能他都解决了,比如登录微软谷歌需要点三次下一步,而我是多帐号! lastpass 到下一步就得重新选择用哪项,这个不用,行云流水一气呵成!但它截取表单内容不如 lastpass,1p 是提交前截取,这样如果提交修改密码失败恰好你点了更新就悲催了(虽然还可以去翻历史密码),lastpass 就做得很好,提交成功后再弹窗提示更新,如果失败了就不点更新即可。林林总总这俩货都是又爱又恨,不过有一点我喜欢,1Password 客服回复很慢,但回答很专业,前几年我提交了一份邮件说了两个小建议,大约就是能不能在安全提示里(现在叫瞭望塔)专门列出已经开通了两步验证的登录项目,他们回复了一堆看不懂的评估建议,然后说这功能会慢慢加进去,结果过了几年真的出现这个功能了。还有一个就是问了问浏览器点开匹配密码项右上角能否可以将该项目置顶显示,尼玛现在只在 mac 版本上提供,windows 无缘这功能了。

还有一家新创的公司产品叫 RememBear,他在人机互动上做得很好,开发试用版玩了一年多,最近正式提供收费套餐了,但毕竟初创,这东东还是等稳定了再考虑吧,说真的,智能化工作做得太好了,如果他是已经运营了五六年的话且安全性不错的话,我绝对会考虑他,不过目前存储功能有点单一,还不支持两步验证代码存储。


其他还有一堆各大杀毒厂商跟风做的 Kaspasky PasswordManager, Avira Password Manager, Norton Password Manager, Macafee PasswordBox,懒的说了,真是跟风之作,仗着品牌效应,功能简单价格却不低,麦咖啡稍好一点点,貌似是从英特尔弄过来的。随便看了一下,没细看。



林林总总用了一大堆,最后我个人还是喜欢 LastPass 和 1Password,有时间的话想学习一下 Bitwardon,
至于本地同步的我想还是放弃了,尽管我也喜欢 Enpass 和 safeincloud,但出现高压下数据不一致情况下还真是有点怕的,最终选了 1Password,官网有充值卡优惠。


文章写的有点乱,等有空了我好好写一篇出来。再见。
janssenkm
2019-02-22 14:13:53 +08:00
在线存储的安全性理论上是比较安全的,老大哥 lastpass 的做法是加密后上传,加密时用自己的主密码,到了服务器上就全是一堆二进制了,而且有一个比较好的选项是密钥轮数量的设置,默认好像是 10000,现在电脑性能好多了,完全可以设置为 100 万,官方说轮子数量不同加密结果完全不同,所以这一项也可以用作个人安全设置,而且这个数值在官方服务器上也是将存储的,换句话说,加密解密都在这里设备上进行。自己可以设置一个特别的数字,比如某个一百万左右的随机数 1836294。这样即使拿到了你的主密码也还缺这个密钥轮参数不行。

这一点后面各大厂商基本都遵循这个原理来设计了。也许有偷懒的吧。

简单检查自己用的密码管理软件在服务端是否做有效的加密可以这么干,注册一个帐号,批量加入一堆密码项目,多存点长文本和附件,怎么都得放上一百个。

然后做一个大胆的操作,修改主密码,如果是加密后传到服务器的话,这个过程会持续一段时间的,数量越多越明显,如果是瞬间就结束了的话,那么对不起,GAME OVER.
rainincloud
2019-06-18 21:19:53 +08:00
@janssenkm 我也试用了很多家之后,发现还是 lastpass 最好用。但是唯一一点不满意的是 lastpass 的 ios 版无法搜索出备注里的内容。
deecyn
2020-08-19 12:02:00 +08:00
楼主你好,这里管理员删除成员的账户:是指从家庭订阅服务中删除他的账户,还是彻底删除该账户及其已保存的密码等数据(即该成员不能登录该账户了)吗?
janssenkm
2020-08-19 13:21:31 +08:00
@deecyn 是,彻底删了
bobchengbin
2021-09-12 15:57:48 +08:00
刚才贪了个小便宜买了,然后发现存在这个隐患,不过已经得到解决,所有数据的都不同步到云帐户,还是使用原来 iCloud 方式同步,保存新的也还是保存在老的文件里面,这样即使真有什么问题最多就是没有 Membership 而已。

方法:

设置 -> Vaults -> Always open to 这里选自己以前的
设置 -> Vaults -> Vault for saving 同样选以前的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/536722

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX