使用 1password 两年后,我开始改用 safeincloud

2019-03-10 09:33:37 +08:00
 luckycat
在 1password 之前,我用的是 Keepass,但是各端系统不统一、自动填充需要配置,导致折腾起来很费劲。最终弃用。但是 Keepass 的设计理念非常符合我的使用习惯。

用过两款软件的会明显感觉到,1password 和 keepass 的区别。1password 说实话我个人感觉,整体缺乏设计。可能是开始做软件的时候,只是针对 OSX 来做的,因此软件在不同系统下缺乏统一结构和思想。导致了在各端上界面有比较大的区别,操作起来也不太相同。如果你也用过 1password 4 的 Windows 客户端的话,就会明白我所讲的。

1password 的优势在于软件功能和细节优化的好,尤其是浏览器插件方面,使用起来很少遇到问题或者 Bug,可以感觉到开发团队确实投入了大量的工作。

1password 对我来讲,就是浏览器填充方面用起来非常顺手。目前为止保存了 600 多条密码,使得我对 1password 形成了一定的依赖,但是我并不喜欢这个软件。使用 1password 实属“暂时没有更好的选择”。再加上 1password 的整体策略似乎在往客户端向云端转移,对客户端的支持优先级似乎越来越低,也促使我寻找更好的替换品。

前几天看到了 enpass 和 safeincloud,尝试在 Windows 下载使用后发现了一些有趣的事情。

enpass 据说是印度人开发的,印度人做软件给我的感觉就是中规中矩,更倾向于模仿现有的软件,整体缺乏灵魂。比如 zoho 之于 Google docs,有很多的模仿成分在里边。enpass 的官网做的很漂亮,文档也很全很规整,给人的感觉还是很好的。但是安装以后感觉完全是跟 1password 一样的界面,当时就卸载了。

safeincloud 的官网进去以后我当时就关掉了。因为实在是比较山寨,感觉像是个人小作坊做的。后来 V2 上搜索了发现好多人推荐,而且还是俄罗斯老毛子开发的,就再次打开下载了软件。安装后发现了 Keepass 的感觉,我立即产生了兴趣。

safeincloud 就是那种你一眼就能看穿的软件,设计简洁到没有多余的功能。但是对于密码管理软件来讲,却比 1password 更加有设计感。比如说 template,作为一个密码条目快速输入的模板非常好用。可以自定义不同的账户模板,比如银行账户、邮箱账号、服务器账户,新增条目时可以直接套用模板。这个功能是 1password 最该增加的,但是他们却放在了云端的企业版里。

safeincloud 没有分类只有标签的设计,我开始时很不习惯的。后来我仔细考虑,其实对于一款密码管理软件来讲,同时存在分类和标签是过度设计了。在用 1password 时,标签功能基本上用不到。所以完全可以用标签来替代分类。

有一点需要提出,就是 safeincloud 的 template 不是分类。template 只是一个快速创建条目的工具。

safeincloud 的手机端和电脑端的界面是统一的,这样的设计是比较让人舒服的。

使用几天下来发现 safeincloud 如果能增加对密码按照名称、创建时间、修改时间进行排序就好了。还有就是如果能像 1password 自动备份会更安全,目前是一个手动的备份功能。
22391 次点击
所在节点    随想
71 条回复
kersbal
2019-03-10 23:42:34 +08:00
@n1dragon "During a workflow to derive the decryption key, the master password is leaked into a string buffer in memory and never scrubbed, even when LastPass is placed into a locked state." 主密码同样扔在内存中

至于官方态度就更呵呵了,没有任何通稿回应,在 lastpass 论坛搜索这篇文章只有一个结果:
https://forums.lastpass.com/search.php?keywords=Password+Managers%3A+Under+the+Hood+of+Secrets+Management

![]( )

底下讨论的人也不知道是不是都是用户,有一个名字是绿的,可能代表官方或管理员:
![]( )
kersbal
2019-03-10 23:49:20 +08:00
@n1dragon 从底下的回复看这个 jpenny84 也不是官方人员

![]( )

从头到尾没有官方回应
shequ
2019-03-11 00:13:05 +08:00
请问 safeincloud
这种软件为什么不支持双因子加密
比如密码+密钥文件
不然官方不开源的话
密码被窃取后,等于是被一锅端了
duskpark
2019-03-11 00:20:23 +08:00
以前纯靠脑,后来用了 1password 觉得真的好多了,现在是个网站就要注册,只要有相对安全的网站帮忙整合就很好。考虑到最高级的安全性的话,跟金钱有关的密码还是分开吧,凡事都得有个预案不是?
n1dragon
2019-03-11 07:11:24 +08:00
@kersbal Lastpass 不是在官方论坛回复的,而是直接回复了新闻媒体

LastPass CTO Sandor Palfy said:

"This particular vulnerability, in LastPass for Applications, our legacy, local Windows Application (which accounts for less than .2 percent of all LastPass usage) was brought to our attention by researchers through our Bug Bounty Program.

In order to read the memory of an application, an attacker would need to have local access and admin privileges to the compromised computer. We have already implemented changes to LastPass for Applications designed to mitigate and minimize the risk of the potential attack detailed in this report.

To mitigate the risk of compromise while LastPass for Applications is in a locked state, LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind."

第二天就发布了 patch。而且,lastpass 的漏洞没有 1password 严重,lastpass 只会解密用户正在使用的密码,而 1password 一上来就解密整个 database。

https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/

到今天,lastpass 在 lock 状态下已不会泄露任何密码,而在 unlock 状态下也只会泄露用户正在使用的密码(所有 password manager 都会这样)。而 1password 没有发布任何修补,只是一味的将责任推给用户。
n1dragon
2019-03-11 07:13:57 +08:00
@luckycat 没错。整体设计就有问题。现在 windows 版在解锁后依然会卡 3 秒钟,而且在更新密码的时候也会卡几秒钟。
zztt168
2019-03-11 07:26:42 +08:00
@mongoose keepassxc 是个啥?
kersbal
2019-03-11 07:45:43 +08:00
@n1dragon
我认为这两句话不是一个意思,前者更像是拿来糊弄媒体的说法。log out 的意思是登出,并不只是说 lock 状态

"LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind"

“到今天,lastpass 在 lock 状态下已不会泄露任何密码”
n1dragon
2019-03-11 08:00:02 +08:00
@kersbal lastpass for application 不是他们主要的产品,主要是用来填写一些 app 里面的密码的,只有 logout 功能,相当于 1password 里面的 Lock,都是要再输入主密码才能解锁 /登录的,不需要输入二步验证。在漏洞发布之前,lastpass for application 在 Logout 的时候只是 Lock 了界面(和 1password 一样),但是解密的密码并没有清除。这次的修补是在 logout 的时候重启软件,达到清除密码的目的。1password 本可以做同样的事情,但是没有。他们也不会去做。
wzw
2019-03-11 08:09:12 +08:00
之前看到有人推荐 keeweb,想试试
tianshilei1992
2019-03-11 08:26:25 +08:00
Windows 版 1Password 代理的支持有点蛋疼…
kersbal
2019-03-11 08:48:21 +08:00
@n1dragon
1. 那么请问他们的“主要产品”是怎么解决这个问题的呢?
这是最近的 release,只有这一个和此事相关
![]( )
2.“到今天,lastpass 在 lock 状态下已不会泄露任何密码” 这句话是如何得出的呢?
shutongxinq
2019-03-11 08:54:30 +08:00
@n1dragon #30 "任何本地程序均可随意访问其内容" 为什么啊?一个进程怎么会有权限访问其他进程的内存空间?
n1dragon
2019-03-11 09:01:54 +08:00
@kersbal 主要产品是 chrome 插件,和这次漏洞无关。lastpass application v4.24.1 补了漏洞。

程序退出后释放了内存地址,给系统 GC,虽说不能保证 100%立刻清除内存内容,但减少了 attack surface, 相比于 1password 什么都不做还是好得多
n1dragon
2019-03-11 09:05:05 +08:00
@shutongxinq 1password 是非管理员权限运行的,其他任何程序都能读取其内存,你可以用 process hack 自己实验一下。

本次漏洞的关键是 1password 的 lock 功能完全是骗人的,只是把用户界面遮了一下,程序内部运行和解锁时没有任何不同。
n1dragon
2019-03-11 09:09:10 +08:00
有漏洞并不可怕,修好了就行。但 1password 官方对这次漏洞的态度让人心寒。他们不但几年前就知道这个问题,而且在漏洞发表后还坚持己见,不做任何 mitigation。一个安全软件公司这样做,是不会有信誉的。
shutongxinq
2019-03-11 09:13:58 +08:00
@n1dragon #54 但是程序向 OS 申请新 memory 的时候,memory 肯定会被 zeroed 啊。这是现代 OS 设计的常识啊。只有程序自己利用自己之前 free 掉的内存的时候(在 heap 里面),才会出现以前写的内容没有被清除的情况。你说的 attack surface 并不存在啊。
shutongxinq
2019-03-11 09:15:14 +08:00
@n1dragon #55 怎么可能“一个程序非管理员权限运行,其他任何程序就可以读取其内存”?现在 OS 又不是单片机,都有 virtual memory 啊。
mnsw
2019-03-11 09:27:44 +08:00
1Password 无论是用户反馈,还是 BUG 报告,都是按星期回复的。以前两三天,不知道现在这个鸟样是个什么鬼。
kersbal
2019-03-11 09:54:40 +08:00
@n1dragon @shutongxinq 访问 vm 需要 PROCESS_VM_READ 访问权限

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/542948

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX