密码管理器 Passwordstate 被供应链攻击， Passwordstate 建议用户重置所有密码

自动更新就是一种“合法的后门”，出现这种问题本身就说明这个秘密管理器的安全模型不合格。

我去。。。。这成本有点高

有点意思，我一直认为像密码管理器这种东西，应该是面向所有普通用户，而不是面向少数极客用户的产品，所以不可能要求用户自己 HOST 所有的东西，像自动更新这种功能应该是必备的。
然而以当下的情况来看，软件开发商也不可能自己掌控整个生态链的全部上下游，像 Server 、CDN 这些如果全部自己做的基本上不现实，而且即使是自己做也不代表就完全安全了。
这么说来的话，应该所有的密码管理器应该无一幸免？

@hronro 检查更新可以，自动更新肯定不行。
合格的安全模型应该能对开发商自身进行防范，即使是 cia 敲门 /他们给得实在太多了的情况下，开发商也没有办法窃取到某一特定用户的信息（推送一个含有后门的版本）。

@Jirajine
我觉得没啥区别，举个很简单的例子，现在 iOS 的 App 应该是都没法自动更新的吧，但为什么 Passwordstate 发的申明是要求所有用户去改密码，而不是说 iOS 的用户就不用改了。原因在于 iOS 的用户也一样很可能会中招。

所以我的点在于是面对普通用户还是专业用户。如果是专业用户，对安全性有极高的要求，他们甚至不该选择无法自己 HOST 的密码管理服务。如果是普通用户，即使没有自动更新，而是让用户自己选择是否更新，那这些普通用户也无法判断这次更新是否是可靠的。这种情况下，通常选择不更新一直停留在低版本的用户风险更大。

@hronro #5 并不是，自动更新是指（合法地）在用户设备上执行任意代码，通过 appstore 自动更新也满足条件。
关键点只有一个：如果开发者决定对某一个特定的用户进行攻击，那么用户能否抵御。
要实现这样的安全模型，是有一定困难的，包括但不限于：
1. 端到端加密
2. 代码完全开源，经过安全审计
3. reproducible build 和 签名验证
4. 没有“后门”（包括自动更新 /网页版等远程任意代码执行）

总得来说要保证：软件是开源且经过安全审计的 <-> 用户运行的软件与发布的源代码对应 <->每个用户收到的代码完全一致 <-> （更新）代码和签名可验证

放在这个例子里，如果没有自动更新，普通用户除非立刻就盲目地更新到了有后门的版本以外，后续看到新闻，或者官方发布了修复，都不会中招。

keepass 。个人免费，本地数据库+同步网盘，也有对应浏览器插件，好用的很

应该把需要更新的文件加密后再发送给客户端解密再更新。

所以我不放心中心化的密码管理，选择自己再次额外 encode 密码才交给第三方，虽然麻烦，但安全第一

https://github.com/del-xiong/lastpass_dopass

@hronro 你可以了解一下 keepass 。keepass 是开源密码管理软件，只提供软件，不提供密码托管服务。
用户可以通过类似云盘、坚果云等方式同步数据库文件。对于数据库文件，即使被攻击者拿到，只要不知道密码，就无法解开。所以，用户可以放心地将数据库文件放在云盘上面。唯一需要担心的是 keepass 是否是官方版本。