首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  随想

使用 1password 两年后,我开始改用 safeincloud

  •  
  •   luckycat · 44 天前 · 5563 次点击
    这是一个创建于 44 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在 1password 之前,我用的是 Keepass,但是各端系统不统一、自动填充需要配置,导致折腾起来很费劲。最终弃用。但是 Keepass 的设计理念非常符合我的使用习惯。

    用过两款软件的会明显感觉到,1password 和 keepass 的区别。1password 说实话我个人感觉,整体缺乏设计。可能是开始做软件的时候,只是针对 OSX 来做的,因此软件在不同系统下缺乏统一结构和思想。导致了在各端上界面有比较大的区别,操作起来也不太相同。如果你也用过 1password 4 的 Windows 客户端的话,就会明白我所讲的。

    1password 的优势在于软件功能和细节优化的好,尤其是浏览器插件方面,使用起来很少遇到问题或者 Bug,可以感觉到开发团队确实投入了大量的工作。

    1password 对我来讲,就是浏览器填充方面用起来非常顺手。目前为止保存了 600 多条密码,使得我对 1password 形成了一定的依赖,但是我并不喜欢这个软件。使用 1password 实属“暂时没有更好的选择”。再加上 1password 的整体策略似乎在往客户端向云端转移,对客户端的支持优先级似乎越来越低,也促使我寻找更好的替换品。

    前几天看到了 enpass 和 safeincloud,尝试在 Windows 下载使用后发现了一些有趣的事情。

    enpass 据说是印度人开发的,印度人做软件给我的感觉就是中规中矩,更倾向于模仿现有的软件,整体缺乏灵魂。比如 zoho 之于 Google docs,有很多的模仿成分在里边。enpass 的官网做的很漂亮,文档也很全很规整,给人的感觉还是很好的。但是安装以后感觉完全是跟 1password 一样的界面,当时就卸载了。

    safeincloud 的官网进去以后我当时就关掉了。因为实在是比较山寨,感觉像是个人小作坊做的。后来 V2 上搜索了发现好多人推荐,而且还是俄罗斯老毛子开发的,就再次打开下载了软件。安装后发现了 Keepass 的感觉,我立即产生了兴趣。

    safeincloud 就是那种你一眼就能看穿的软件,设计简洁到没有多余的功能。但是对于密码管理软件来讲,却比 1password 更加有设计感。比如说 template,作为一个密码条目快速输入的模板非常好用。可以自定义不同的账户模板,比如银行账户、邮箱账号、服务器账户,新增条目时可以直接套用模板。这个功能是 1password 最该增加的,但是他们却放在了云端的企业版里。

    safeincloud 没有分类只有标签的设计,我开始时很不习惯的。后来我仔细考虑,其实对于一款密码管理软件来讲,同时存在分类和标签是过度设计了。在用 1password 时,标签功能基本上用不到。所以完全可以用标签来替代分类。

    有一点需要提出,就是 safeincloud 的 template 不是分类。template 只是一个快速创建条目的工具。

    safeincloud 的手机端和电脑端的界面是统一的,这样的设计是比较让人舒服的。

    使用几天下来发现 safeincloud 如果能增加对密码按照名称、创建时间、修改时间进行排序就好了。还有就是如果能像 1password 自动备份会更安全,目前是一个手动的备份功能。
    69 回复  |  直到 2019-04-11 10:05:54 +08:00
        1
    ShuoHui   44 天前 via iPhone
    安全性怎样
        2
    luckycat   44 天前
    @ShuoHui 安全方面,就算法而言足够 safe。只是这个俄罗斯毛子开发团队是不是足够 trusted,这个不太好说。在权威性方面,可能 1password 更好一点,毕竟名声在外。
        3
    zhaolion   44 天前 via iPhone
    Apple 全家桶下面 1Password 体验的统一性目前还没有敌手吧
        4
    chinesestudio   44 天前 via Android
    nextcloud 插件 passman 有啥不好的 免费 自己控制数据
        5
    luckycat   44 天前
    @zhaolion Apple 下确实做的不错。日常 Windows 也要交替使用。官方目前主推网络版,离线版貌似即将成为遗留系统,这个也是决定换掉的原因之一。
        6
    iyaozhen   44 天前 via Android
    safeincloud,用了几年了,该有的功能都有,关键是比较便宜
        7
    GDC   44 天前 via iPhone
    @luckycat 以前我也一直坚持离线版,Windows + iOS 之间很蛋疼,后来试了一次网络版之后果断付费了,虽然 iOS 和 Windows 的离线版都花钱买的但也不重要了,换到网络版之后体验提升了很多
        8
    ichaobuster   44 天前 via iPad
    我主要用 macOS 和 iOS,1Password 的体验还是很好的。
        9
    luckycat   44 天前
    @GDC 只要能云端同步,多设备之间应该问题不大,你所说的蛋疼是哪里的问题?密码管理软件我总认为构建于网络之上并不是好事,对于自己的加密文件要保证百分百可见可复制可备份等才放心。像 Lasspass 这种完全的网络版,万一哪天 lasspass 倒闭了,自己的数据可能一夜消失。
        10
    Semidio   44 天前
    缺乏统一是因为你 A 端用的都是 7.X,W 端用的却是 4.X,你把 W 端换成 7.X 就没有这个问题了,顺带一提 7.X 的 W 端已经支持本地库了
        11
    luckycat   44 天前
    @Semidio 7.x 我用好久了,包括有一段时间 7.2 版本在 Windows 上卡出翔来。默认分类没办法调整,分类里边的默认字段也无法增删,一直用的很难受。

        12
    Semidio   44 天前
    @luckycat #11 个人觉得默认的分类已经够用了,而且没有内容的分类在左侧也不会显示,性能问题 7.3 已经解决了。
        13
    luckycat   44 天前
    有些分类又很不合理,至少不符合中国国情。比如 Passport、Driver License 这些项分类,敢情每个人都会又很多的 护照和驾照 来管理吗?还有 SSN,这完全就是给老美设计的。
        14
    huclengyue   44 天前 via Android
    浏览器支持怎么样?另外 1p 里的密码你是手动导入进去的吗?
        15
    ian511   44 天前 via iPhone
    Bitwarden 其实挺好用的,但好像没什么人用
        16
    shutongxinq   44 天前
    safeincloud 不支持浏览器插件独立运行的模式(1Password X), Linux 不能用,致命缺点。这种密码管理软件,重点不是说价格或者是设计各平台一致,主要在于全平台支持和后期的支持力度。一口买断的,可持续性不能保证,后期没有了怎么办?
        17
    rolexman   44 天前
    今年 1pass 到期我什么都不用.用苹果自带的钥匙串挺好..省钱干什么不好
        18
    mirrorside   43 天前 via Android
    一直在用 lasspass win 端还好 安卓端太难受了
        19
    mongoose   43 天前
    为什么不试试 keepassxc 呢?
        20
    CoCoMcRee   43 天前
    iOS 自带钥匙串 + icloud 真香
        21
    xuromky   43 天前 via iPhone
    目前在用 lastpass 感觉良好
        22
    xiaoz   43 天前 via Android
    @mongoose keepassxc+1,稍微折腾下就很好用了。
        23
    kingcos   43 天前 via iPhone
    我还在用 1p6 …不用续费一次性买断,真香……
        24
    lovedebug   43 天前
    我是和坚果云 webdav 结合使用的,用了半年感觉还不错。
        25
    leo108   43 天前
    从始至终 Lastpass,日常 Mac + iOS,没有其他端需求。

    使用过一段时间 1Password 没有发现什么替换动力,求打醒。
        26
    orangeade   43 天前 via Android
    Keepass+Google,为什么要折腾
        27
    ShuoHui   43 天前 via iPhone
    @CoCoMcRee 用 Windows 的时候就很蛋疼了…
        28
    duvalier   43 天前 via iPhone
    买了 enpass,但是 ios 一直用自带的钥匙串,Windows 一直用 chrome,感觉白买了
        29
    Mohanson   43 天前 via Android
    我无法理解你们将密码交给别人开发的软件的行为…
        30
    n1dragon   43 天前
    之前也用 1password, 但在最近爆出严重安全问题后立刻转用 lastpass。传送门: https://www.securityevaluators.com/casestudies/password-manager-hacking/

    简而言之,1password 在解锁后立刻将所有密码和主密码解密到内存中,且在锁定后仍然可以读取。任何本地程序均可随意访问其内容。在被测试的所有软件中,1password 漏洞最大,而官方反应最为顽固,一直否认这个漏洞的严重性,不准备采取任何方法修补。

    现在我绝对不会向任何人推荐 1password
        31
    loading   43 天前 via Android
    嗯,enpass 这么优秀,被你说和 1pwd 很像就否决了,这样看来,我用 enpass 很正确。
        32
    luckycat   43 天前
    @huclengyue 1Password 6 或者 7 导出的 pif 或 csv 文件,可以直接无痛导入 safeincloud。
        33
    luckycat   43 天前
    @Mohanson 如果有将近 700 个账户密码,而且还在持续的增加中,你如何来管理?
        34
    DeepCold   43 天前
    1Password 的家庭共享比较实用,不知道 safeincloud 是否也有类似功能?
        35
    silvernoo   43 天前
    还是 keepass 放心
        36
    Nick   43 天前
    Avast Passwords 我觉得也挺好用的
        37
    Mohanson   43 天前
    @luckycat 作为程序员, 这种需求我觉得半个小时吧... 只要别自己手撸加密算法, 就好.
        38
    luckycat   43 天前
    @Mohanson Windows, Mac, iOS, Android 通用,主流浏览器自动填充支持,怕是没个大半年都弄不出个成品。
        39
    luckycat   43 天前
    @n1dragon 1Password 官方的态度一直是比较傲慢的。当时 Windows 7.2 版本卡出翔的时候,几乎是没办法用的。但是官方依然用了以月为单位的时间解决的问题。整体感觉他们就是在堆工作量,但这个软件设计和架构很初级。各种写死的东西,缺乏自定义的概念,用起来一点都不灵活,他们的定位应该是小白用户用的傻瓜软件。
        40
    zhaidoudou123   43 天前
    已经习惯 1Password 了。
    本来买了 Win+Mac 双端版,但是很少用。
    在推出订阅版之后第一时间购买,为什么买呢,因为本来 Windows 和 Apple 设备之间的同步是最大的痛点,用了 iCloud 就没有 Windows 同步,用了 Onedrive 就没有 Apple 设备同步,Dropbox 又需要时时刻刻挂着梯子,属实麻烦,订阅版就解决了这一系列问题。
        41
    kersbal   43 天前
    @n1dragon "During a workflow to derive the decryption key, the master password is leaked into a string buffer in memory and never scrubbed, even when LastPass is placed into a locked state." 主密码同样扔在内存中

    至于官方态度就更呵呵了,没有任何通稿回应,在 lastpass 论坛搜索这篇文章只有一个结果:
    https://forums.lastpass.com/search.php?keywords=Password+Managers%3A+Under+the+Hood+of+Secrets+Management

    ![]( )

    底下讨论的人也不知道是不是都是用户,有一个名字是绿的,可能代表官方或管理员:
    ![]( )
        42
    kersbal   43 天前
    @n1dragon 从底下的回复看这个 jpenny84 也不是官方人员

    ![]( )

    从头到尾没有官方回应
        43
    shequ   43 天前
    请问 safeincloud
    这种软件为什么不支持双因子加密
    比如密码+密钥文件
    不然官方不开源的话
    密码被窃取后,等于是被一锅端了
        44
    duskpark   43 天前
    以前纯靠脑,后来用了 1password 觉得真的好多了,现在是个网站就要注册,只要有相对安全的网站帮忙整合就很好。考虑到最高级的安全性的话,跟金钱有关的密码还是分开吧,凡事都得有个预案不是?
        45
    n1dragon   43 天前
    @kersbal Lastpass 不是在官方论坛回复的,而是直接回复了新闻媒体

    LastPass CTO Sandor Palfy said:

    "This particular vulnerability, in LastPass for Applications, our legacy, local Windows Application (which accounts for less than .2 percent of all LastPass usage) was brought to our attention by researchers through our Bug Bounty Program.

    In order to read the memory of an application, an attacker would need to have local access and admin privileges to the compromised computer. We have already implemented changes to LastPass for Applications designed to mitigate and minimize the risk of the potential attack detailed in this report.

    To mitigate the risk of compromise while LastPass for Applications is in a locked state, LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind."

    第二天就发布了 patch。而且,lastpass 的漏洞没有 1password 严重,lastpass 只会解密用户正在使用的密码,而 1password 一上来就解密整个 database。

    https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/

    到今天,lastpass 在 lock 状态下已不会泄露任何密码,而在 unlock 状态下也只会泄露用户正在使用的密码(所有 password manager 都会这样)。而 1password 没有发布任何修补,只是一味的将责任推给用户。
        46
    n1dragon   43 天前
    @luckycat 没错。整体设计就有问题。现在 windows 版在解锁后依然会卡 3 秒钟,而且在更新密码的时候也会卡几秒钟。
        47
    zztt168   43 天前
    @mongoose keepassxc 是个啥?
        48
    kersbal   43 天前
    @n1dragon
    我认为这两句话不是一个意思,前者更像是拿来糊弄媒体的说法。log out 的意思是登出,并不只是说 lock 状态

    "LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind"

    “到今天,lastpass 在 lock 状态下已不会泄露任何密码”
        49
    n1dragon   43 天前
    @kersbal lastpass for application 不是他们主要的产品,主要是用来填写一些 app 里面的密码的,只有 logout 功能,相当于 1password 里面的 Lock,都是要再输入主密码才能解锁 /登录的,不需要输入二步验证。在漏洞发布之前,lastpass for application 在 Logout 的时候只是 Lock 了界面(和 1password 一样),但是解密的密码并没有清除。这次的修补是在 logout 的时候重启软件,达到清除密码的目的。1password 本可以做同样的事情,但是没有。他们也不会去做。
        50
    wzw   43 天前 via iPhone
    之前看到有人推荐 keeweb,想试试
        51
    tianshilei1992   43 天前
    Windows 版 1Password 代理的支持有点蛋疼…
        52
    kersbal   43 天前
    @n1dragon
    1. 那么请问他们的“主要产品”是怎么解决这个问题的呢?
    这是最近的 release,只有这一个和此事相关
    ![]( )
    2.“到今天,lastpass 在 lock 状态下已不会泄露任何密码” 这句话是如何得出的呢?
        53
    shutongxinq   43 天前
    @n1dragon #30 "任何本地程序均可随意访问其内容" 为什么啊?一个进程怎么会有权限访问其他进程的内存空间?
        54
    n1dragon   43 天前 via iPhone
    @kersbal 主要产品是 chrome 插件,和这次漏洞无关。lastpass application v4.24.1 补了漏洞。

    程序退出后释放了内存地址,给系统 GC,虽说不能保证 100%立刻清除内存内容,但减少了 attack surface, 相比于 1password 什么都不做还是好得多
        55
    n1dragon   43 天前 via iPhone
    @shutongxinq 1password 是非管理员权限运行的,其他任何程序都能读取其内存,你可以用 process hack 自己实验一下。

    本次漏洞的关键是 1password 的 lock 功能完全是骗人的,只是把用户界面遮了一下,程序内部运行和解锁时没有任何不同。
        56
    n1dragon   43 天前 via iPhone
    有漏洞并不可怕,修好了就行。但 1password 官方对这次漏洞的态度让人心寒。他们不但几年前就知道这个问题,而且在漏洞发表后还坚持己见,不做任何 mitigation。一个安全软件公司这样做,是不会有信誉的。
        57
    shutongxinq   43 天前
    @n1dragon #54 但是程序向 OS 申请新 memory 的时候,memory 肯定会被 zeroed 啊。这是现代 OS 设计的常识啊。只有程序自己利用自己之前 free 掉的内存的时候(在 heap 里面),才会出现以前写的内容没有被清除的情况。你说的 attack surface 并不存在啊。
        58
    shutongxinq   43 天前
    @n1dragon #55 怎么可能“一个程序非管理员权限运行,其他任何程序就可以读取其内存”?现在 OS 又不是单片机,都有 virtual memory 啊。
        59
    mnsw   43 天前
    1Password 无论是用户反馈,还是 BUG 报告,都是按星期回复的。以前两三天,不知道现在这个鸟样是个什么鬼。
        60
    kersbal   43 天前
    @n1dragon @shutongxinq 访问 vm 需要 PROCESS_VM_READ 访问权限
        61
    kersbal   43 天前
    @mnsw 那怕是我用的是个假的 1password,新版出来的时候发现我的小众浏览器升级后的签名没被 1p 录入导致无法用浏览器插件,反馈完 1 个小时论坛回复已解决,版本更新,下载安装发现已修复。
        62
    mnsw   43 天前
    @kersbal 可能你是论坛反馈?我都是发 e-mail 给他们的。
        63
    n1dragon   43 天前 via iPhone
    @shutongxinq 你可以看一下原始的 ISE paper,30 楼有链接。1password 7 用的是 c# .NET ,不能人为清除自己之前用过的内存,而 Watchtower 的设计,需要把所有密码都解密到内存里。

    至于读取内存,我不是 windows 程序员,不知道具体原理,但不论是该 Paper 作者开发的工具,还是第三方软件 Process Hack,均可在非管理员状态下直接读取 1password 里所有密码和主密码。
        64
    n1dragon   43 天前 via iPhone
        65
    shutongxinq   43 天前 via iPhone
    @n1dragon 我研究了一下你给的链接,主要问题是 windows 系统的默认安全特性太差,跨进程可以访问内存。建议任何 mission critical 的东西不要用 windows 运行,或者学习如何设置使得 Windows 拥有基本安全特性之后再说。
        66
    djyde   43 天前
    本来想从 1password 转到 enpass,结果我没试过成功 autofill 过。。有高人指点一下我吗
        67
    JJIAN   34 天前
    只可惜 safeincloud 不支持添加谷歌两步认证令牌。。。要不我也换了
        68
    sanryone   15 天前
    目前在用 1password 但是 1password 的 android 和 windows 版本不算好用 windows 版本的 chrome 密码唤醒特别的慢。
        69
    Librawey   12 天前
    您好,我想问下 1password 里的账户密码怎么导出呢?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4289 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 06:18 · PVG 14:18 · LAX 23:18 · JFK 02:18
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1