再吐槽一下,1password其实不如lastpass

2014-01-26 20:34:14 +08:00
 kinghenry
我在windows里一直用的是keepass+lastpass。其中lastpass对于网页登录的支持做得相当棒。上手mac之后,发现所有人的一致推荐都是1password。终于,把1password的win+mac+ios+android都配置好了用上一段时间后,发现1p强大当然还是强大,但其实有点过喻,其原因可能是在mac下。1p的客户端做的的确很好,但仅此而已。举个例子,1p存储了登录finance.qq.com时的用户名密码,到了我要登录mail.qq.com,它竟然不能识别这还是qq.com的网页。最后,我手动把1p里的网页改成qq.com,才算解决问题,但其实在有些第三方网页需要用qq帐户登录时还是存在问题。而在用lastpass这都不是问题。

总之,我是觉得1p除了客户端比较赞之外,并没有让我觉得太强大的地方。希望有同学能告诉我1p还有什么超强的功能我忽略了的。
37178 次点击
所在节点    分享发现
35 条回复
luyan
2014-01-26 21:04:53 +08:00
1p价格很强大啊,不过我觉得1P用的很好很舒服。
X-Force
2014-01-26 21:08:16 +08:00
重点是1P的数据全部在本地,自我感觉相对更安全一点。
nAODI
2014-01-26 21:09:28 +08:00
lastpass 是通过什么方式实现这功能的?倒是可以和 1p 反馈一下,1p 的客服非常活跃与有耐心。

lastpass 没用过,1p 完全能处理好我的密码与其他各种私人信息(比如软件授权管理等等)。
pright
2014-01-26 21:15:25 +08:00
ladtpass其实就是判断*.qq.com,但是相对的有的网站如steam,它的商店和客服都是steampowered.com,就是前面不同,lastpass遇到这种就会显示找到两个匹配纪录
Leafove
2014-01-26 21:16:17 +08:00
不同的二级域名间账号如果不同怎么办?
yutify
2014-01-26 21:17:31 +08:00
1p被吹神了
loading
2014-01-26 21:48:54 +08:00
@pright 正解,其实就是url匹配问题,1p为了准确和防止错误,默认写的死一些。

而lastpass更懂互联网
kinghenry
2014-01-26 21:50:51 +08:00
@Leafove 这种情况我还没怎么遇到。

总之,1p对url和网页内容的识别不是特别强。

说到安全性,只要你要跨平台使用,1p一样是需要在云端有备份的。如果说到本地的安全性,那keepass带密钥的双因素和lastpass的双因素其实都比1p强。1p只用一个密码进行加密,我还真有点不是那么放心。
jaylong
2014-01-27 00:44:52 +08:00
1password 4已经支持单账号添加多域名了
hzlzh
2014-01-27 01:10:29 +08:00
赞成 2楼回答,比如我的 Dropbox 被盗,你拿到我1P的备份也没关系,需要master pass才能解密。

所以1P存了以下信息理论上是安全的:

* 银行卡帐号+安全码
* 身份证号+社保号
* 网站网银帐号密码
* 各类软件授权证书和密钥
* 比特币钱包和Ripple币钱包备份密钥

我敢放进去,因为数据是加密后存在本地的,不存在被盗后的遭遇解密的风险。而有一些服务比如 Lastpass,使用的前提是你信任这家 Lastpass 公司,如果是这样,就没什么好讨论了。

另外推荐阅读 lifehacker 这篇纵向测评:
http://lifehacker.com/5799036/the-best-password-utilities-that-dont-store-your-data-in-the-cloud

注意检索文章中的关键字 `local` 以及考虑文章中下面这句话:
"But, we understand that some of you may be rethinking your decision to store your passwords online"
LazyZhu
2014-01-27 01:28:35 +08:00
lastpass/1password/keepass 我都试用过一段时间,最终选择了keepass, 因为可扩展性最好。

PS: 有个keepass插件叫KeeAgent,对用密匙登录管理VPS/服务器的人非常有用。
http://lechnology.com/KeeAgent
“KeeAgent is a plugin for KeePass 2.x(external link) that allows SSH keys stored in a KeePass database to be used for SSH authentication by other programs.”
pright
2014-01-27 01:33:57 +08:00
@Leafove @kinghenry 这个就是我说的steam的例子,steam的商店(store.steampowered.com)和客服(support.steampowered.com)就是这种情况,两个是不同账号,这个时候进任何一个页面lastpass都会提示有两个匹配记录,自动填写的记录有可能不是正确的,需要用户自己选择合适的。
其实和相同页面多账户的情况是类似的,比如记录了多个邮箱账号的情况。
yfdyh000
2014-01-27 02:53:44 +08:00
@hzlzh LastPass也是本地加密后云端上传,区别只在云服务的强制性,以及由此产生的心理影响。
1P也是闭源商业软件,同样无法排除预留后门或存在漏洞的可能性,所以同样需要信任。
那么只有开源甚至物理隔离的KeePass才可能绝对可靠。

@Leafove @pright LastPass的“帐户设置”可以添加“主机精确匹配”规则,不过确实比较麻烦。
这只是与1P所选择的策略不同。
yyfearth
2014-01-27 07:51:54 +08:00
@yfdyh000 LastPass 主要是信任度得问题,比如他们得云端不能访问了,虽然本地有缓存,但是也会担心,因为感觉数据“不属于你”
KeePass 在某种程度上面确实比 1p 好,但是用户体验和 1p 得差距还是不小
kinghenry
2014-01-27 08:59:36 +08:00
其实,1p和lp的信任问题是同一水平的,都需要依赖对厂商的信任。1p要完全做到local,你就得用防火墙让它永不联网,这样还不够,因为它加了驱动,它真要做坏事,防火墙也挡不住。1p和lp在信任问题上的差异,仅仅只是用户的感觉上的差异而已。

keepass才是真正完全解决了信任问题,因为它是开源的,同时程序很干净,不需要高级权限,不主动升级,不联网,不加驱,而且它的加密程度很高。很多同学是把密码库和密钥分别放在两个云存储服务里,进一步保证安全性的。

keepass的问题不是易用性,它的易用性并不差,只是UI差点而已。kp最大的问题是跨平台,只在windows平台是开源的,其它平台都是第三方实现,信任度就不行了。

如果不是kp跨平台的问题,我肯定会选择kp而不是lp。
kinghenry
2014-01-27 09:03:52 +08:00
在需要易用性的时候,用lp,在需要高密级的时候,用kp。如果不是要跨平台,lp+kp秒杀1p。

现在唯一的遗憾就是kp没有针对mac os x做开源。
jinghli
2014-01-27 10:48:47 +08:00
Lastpass本地加密上传云端,而且云端支持两步认证,所以还是蛮安全的。对于url识别,如果识别太智能,其实是不安全的一个因素。譬如http的网页也会提交https页面记录的密码。如果用lastpass切记不要enable自动提交。

具体看看这里提到的PDF,http://isecpartners.github.io/whitepapers/passwords/2013/11/05/Browser-Extension-Password-Managers.html
kinghenry
2014-01-27 11:03:47 +08:00
@jinghli 有道理,这的确是个安全隐患。
kinghenry
2014-01-27 12:55:39 +08:00
不过,1p的对url和页面的识别也太差了,手工填加一级域名后,经常会对着根本不是用户名密码的地方乱填,安全性堪忧。lp在这方面识别得很好,能理解哪些是用户名密码的位置。

总之,1p这款在mac/ios下被盛赞的密码管理应用,实际能力不太对得起名声。
kinghenry
2014-01-27 13:04:40 +08:00
@jinghli 根据你说的这个自动提交问题,我把1p全部设为从不自动提交,因为默认是自动提交。1p对url和填充位置识别太差,如果自动提交,密码被泄露的一塌糊涂。太危险了。

用1p的同学可以注意一下。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/98445

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX