千万不能贪小便宜购买 1Password 家庭版，后果很严重

做了一个测试测试测试，马某人家的 1Password 家庭版加入很便宜，就几十块，但管理员权限很足很足。一言不合直接把你的账号删掉没商量，将对方惹怒后，人家成功地删掉了我的 1Password 账号。不过本人人品好，马大叔先行退款了。没有任何损失。

jadec0der

2019-02-20 09:02:00 +08:00

到底为什么不用 lastpass 呢？

namesc

2019-02-20 09:06:47 +08:00

@msg7086 脱库被撞出来了那就是“泄露一个密码”啊，我说的是“泄露一个密码”之后对方通过一百几十次的尝试破解不出其他密码”。

像我上面已经告诉你我 E 字母密码是 Ee@16201805 了，你不用脱也不用撞了，那你试一百几十次看能不能试出我 V 站的 V 字母密码，我有自信你会在成功之前就放弃。

namesc

2019-02-20 09:11:02 +08:00

@xenme 六位数数字密码当然是独立的，就算你用记忆软件也是独立啊。其他的文本密码长度都支持十二三位，还没遇到过不支持的，自己注意别太长就行了。确实存在个别网站不支持特殊符号的情况，比如 12306 就不支持，这就是我说有时候密码需要试两次的时候，不过这种情况是特别罕见的。

essethon

2019-02-20 09:18:04 +08:00

@namesc #2 我觉得我用密码管理器的重点倒不仅在于「各网站密码不同 /防止社工 /撞库 /遗忘」这类需求上，而是密码管理器可以记录除了密码本身之外的好多信息，是一个私人互联网帐号信息库。
比如我有好几个手机号，有移动联通，还有海外的，以及 GV，不同的互联网帐号我可能酌情绑定了不同的手机号；绑定邮箱同理。包括但不限于以上信息都可以记在密码管理器里。

这样的好处是随时可以搜索，比如因某些原因我要放弃某个手机号或邮箱不用了，只要搜索一下，就可以清楚看到哪些帐号绑定了这个手机号 /邮箱，及时解绑；还可以实现很多其他的信息管理功能。对于帐号信息经常变动的我来说，密码管理器是很得力的助手。

当然你也可以说用「密码规则 + Excel 」也能做到这些。
至于我为什么选择 1Password 而不是 LastPass、KeePass 甚至直接加密一个 Excel 文件或者弄个数据库，这就是在界面、操作舒适度、同步便利性上的个人喜好了。相当于花钱买舒服而已。

当然，随机密码、防止社工、撞库之类的，算是密码管理的基本功能，自然也给解决了。

另外，我的密码库里有 500+ 条目，也不乏一些网站有好几个帐号的情况，我觉得让我都用密码规则我是根本 Hold 不住的。十几个几十个网站还行，但多到这个程度，哪天打开一个小网站，「我是否在这个网站注册过、当时用的哪个邮箱」这种问题，我根本想不起来。

msg7086

2019-02-20 09:19:23 +08:00

@namesc 我说的的泄露一个密码是真的泄露了一个密码而不是脱裤。
脱裤在密码熵够大的情况下是撞不出来的。
（你说脱裤被撞密码就已经是一个弱点了。）

我说的是当你已经有一个明文密码的情况下，再拿到一个脱裤出来的哈希以后就可以跑穷举了。
只要你有固定的规则，天生就会造成密码低熵，只要熵够低就能穷举出来。

换句话说，你告诉我 Ee 密码，再告诉我你 V 站密码的 SHA256 哈希，我就可以试出来你的密码。
反过来我可以把我 V 站密码的 SHA256 哈希给你，而你永远不知道我原始密码是啥。
说杞人忧天倒是不至于，外面满地都是脱裤撞库，天都塌下来几千万次了，你还觉得是杞人忧天，我也没办法啦。
但是 2 楼这样把这种不安全的想法推荐给别人，给别人的密码安全带来隐患，不太好吧。

ggmood

2019-02-20 09:21:38 +08:00

Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass Enpass

msg7086

2019-02-20 09:21:44 +08:00

嗯，上面说的多账户也是一个因素。比如我 Google 账号前后有十几个，有些 VPS 厂商的账号，有自己用的有给客户注册的还有朋友的，要我不用密码管理器而用脑子记，怕不是几天就忘光了。

namesc

2019-02-20 09:25:29 +08:00

@essethon 账号很多的话是很有必要使用账号管理了，一些小号是没必要去记得，我的小号也是存起来的。

我前面说的只针对密码管理。

gamelyking

2019-02-20 09:29:07 +08:00

@msg7086 想问一下你这个 125bit 的密码是怎么生成的啊

essethon

2019-02-20 09:29:16 +08:00

关于本帖主题，1Password 家庭版订阅的安全问题，我目前的认识（不一定对）：

- 1Password 有本地备份，比如 macOS 版的在 ~/Library/Group Containers/...blahblah 里面，被动删除帐号的话，这个应该不会丢吧？
- 家庭版管理员可以对某个成员帐号发起 Recovery （当然按照楼主所说，还可以直接删帐号），但是发起 Recovery 的话是那个成员自己的邮箱会收到 1Password 的邮件，由他自己来操作获取新 Secret Key 和 Master Password。

所以我的理解是，正常情况下，机制应该不允许家庭版管理员看到成员的私人密码库内容吧？
但删号删订阅之类的风险还是有，所以还是最好熟人合租

Mosugar

2019-02-20 09:37:14 +08:00

Enpass+1

msg7086

2019-02-20 09:38:05 +08:00

@gamelyking 我是用的 KeepAss 的密码生成器生成的。LastPass 也有生成器，都挺方便的。

namesc

2019-02-20 09:41:21 +08:00

@msg7086 大家要求不一样吧。我是所有大厂产品都开了二次验证，不怕万一密码泄露。而对于小厂产品，我是认为我只要防泄露一个之后不让他猜到其他的就够了，我不觉得会有职业安全员来破解我这些账号密码。

可能我比较有安全感，没有你们那么在乎所有账号的安全。

qsnow6

2019-02-20 09:43:56 +08:00

心算密码生成器就算了，实在不行就算了，有价格考虑的话，ENPASS 买断，实在不行就 lastpass

nathanw

2019-02-20 09:49:46 +08:00

1p 其实不需要账户，本地 wifi 同步即可，没必要同步到云端

passerbytiny

2019-02-20 10:09:20 +08:00

正常情况下，家庭版是给家庭用的，楼主这种行为相当于花钱认干爹。既然认了干爹，为什么不老老实实听干爹的话。这种认干爹的行为，是要比盗版更扰乱市场的行为。

zhenhao

2019-02-20 10:10:05 +08:00

谢谢提醒

Greenm

2019-02-20 11:00:41 +08:00

楼主主要是没认识到家庭版中，家长的权力是比较大，能够随意删除其他人的权限和账户，这本来就符合家庭版的定义。当然看密码是不可能的。所以选择加入家庭版时一定要慎重，选择能够信任的人。

zzxop

2019-02-20 11:15:46 +08:00

lastpass 有那么不堪吗？

loveour

2019-02-20 11:21:00 +08:00

其实没必要太敏感，脱库的密码泄露都会一次性很多密码，撞库也都是批量进行的，极大概率不会有人有闲心来单独破解某个人的密码的，我们做到密码本身和规律不要太简单，不要多个网站同密码就好了。什么样的规律密码更安全可以讨论，但是什么样的安全程度足够，其实每个人认知还真不一样。我是 CSDN 那次之后自己写的密码生成器，但是现在很多密码也就直接用 Chrome 生成的了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/536722