再吐槽一下，1password其实不如lastpass

1p价格很强大啊，不过我觉得1P用的很好很舒服。

重点是1P的数据全部在本地，自我感觉相对更安全一点。

lastpass 是通过什么方式实现这功能的？倒是可以和 1p 反馈一下，1p 的客服非常活跃与有耐心。

lastpass 没用过，1p 完全能处理好我的密码与其他各种私人信息（比如软件授权管理等等）。

ladtpass其实就是判断*.qq.com，但是相对的有的网站如steam，它的商店和客服都是steampowered.com，就是前面不同，lastpass遇到这种就会显示找到两个匹配纪录

不同的二级域名间账号如果不同怎么办?

1p被吹神了

@pright 正解，其实就是url匹配问题，1p为了准确和防止错误，默认写的死一些。

而lastpass更懂互联网

@Leafove 这种情况我还没怎么遇到。

总之，1p对url和网页内容的识别不是特别强。

说到安全性，只要你要跨平台使用，1p一样是需要在云端有备份的。如果说到本地的安全性，那keepass带密钥的双因素和lastpass的双因素其实都比1p强。1p只用一个密码进行加密，我还真有点不是那么放心。

1password 4已经支持单账号添加多域名了

赞成 2楼回答，比如我的 Dropbox 被盗，你拿到我1P的备份也没关系，需要master pass才能解密。

所以1P存了以下信息理论上是安全的：

* 银行卡帐号+安全码
* 身份证号+社保号
* 网站网银帐号密码
* 各类软件授权证书和密钥
* 比特币钱包和Ripple币钱包备份密钥

我敢放进去，因为数据是加密后存在本地的，不存在被盗后的遭遇解密的风险。而有一些服务比如 Lastpass，使用的前提是你信任这家 Lastpass 公司，如果是这样，就没什么好讨论了。

另外推荐阅读 lifehacker 这篇纵向测评：
http://lifehacker.com/5799036/the-best-password-utilities-that-dont-store-your-data-in-the-cloud

注意检索文章中的关键字 `local` 以及考虑文章中下面这句话：
"But, we understand that some of you may be rethinking your decision to store your passwords online"

lastpass/1password/keepass 我都试用过一段时间，最终选择了keepass, 因为可扩展性最好。

PS: 有个keepass插件叫KeeAgent，对用密匙登录管理VPS/服务器的人非常有用。
http://lechnology.com/KeeAgent
“KeeAgent is a plugin for KeePass 2.x(external link) that allows SSH keys stored in a KeePass database to be used for SSH authentication by other programs.”

@Leafove @kinghenry 这个就是我说的steam的例子，steam的商店(store.steampowered.com)和客服(support.steampowered.com)就是这种情况，两个是不同账号，这个时候进任何一个页面lastpass都会提示有两个匹配记录，自动填写的记录有可能不是正确的，需要用户自己选择合适的。
其实和相同页面多账户的情况是类似的，比如记录了多个邮箱账号的情况。

@hzlzh LastPass也是本地加密后云端上传，区别只在云服务的强制性，以及由此产生的心理影响。
1P也是闭源商业软件，同样无法排除预留后门或存在漏洞的可能性，所以同样需要信任。
那么只有开源甚至物理隔离的KeePass才可能绝对可靠。

@Leafove @pright LastPass的“帐户设置”可以添加“主机精确匹配”规则，不过确实比较麻烦。
这只是与1P所选择的策略不同。

@yfdyh000 LastPass 主要是信任度得问题，比如他们得云端不能访问了，虽然本地有缓存，但是也会担心，因为感觉数据“不属于你”
KeePass 在某种程度上面确实比 1p 好，但是用户体验和 1p 得差距还是不小

其实，1p和lp的信任问题是同一水平的，都需要依赖对厂商的信任。1p要完全做到local，你就得用防火墙让它永不联网，这样还不够，因为它加了驱动，它真要做坏事，防火墙也挡不住。1p和lp在信任问题上的差异，仅仅只是用户的感觉上的差异而已。

keepass才是真正完全解决了信任问题，因为它是开源的，同时程序很干净，不需要高级权限，不主动升级，不联网，不加驱，而且它的加密程度很高。很多同学是把密码库和密钥分别放在两个云存储服务里，进一步保证安全性的。

keepass的问题不是易用性，它的易用性并不差，只是UI差点而已。kp最大的问题是跨平台，只在windows平台是开源的，其它平台都是第三方实现，信任度就不行了。

如果不是kp跨平台的问题，我肯定会选择kp而不是lp。

在需要易用性的时候，用lp，在需要高密级的时候，用kp。如果不是要跨平台，lp+kp秒杀1p。

现在唯一的遗憾就是kp没有针对mac os x做开源。

Lastpass本地加密上传云端，而且云端支持两步认证，所以还是蛮安全的。对于url识别，如果识别太智能，其实是不安全的一个因素。譬如http的网页也会提交https页面记录的密码。如果用lastpass切记不要enable自动提交。

具体看看这里提到的PDF，http://isecpartners.github.io/whitepapers/passwords/2013/11/05/Browser-Extension-Password-Managers.html

@jinghli 有道理，这的确是个安全隐患。

不过，1p的对url和页面的识别也太差了，手工填加一级域名后，经常会对着根本不是用户名密码的地方乱填，安全性堪忧。lp在这方面识别得很好，能理解哪些是用户名密码的位置。

总之，1p这款在mac/ios下被盛赞的密码管理应用，实际能力不太对得起名声。

@jinghli 根据你说的这个自动提交问题，我把1p全部设为从不自动提交，因为默认是自动提交。1p对url和填充位置识别太差，如果自动提交，密码被泄露的一塌糊涂。太危险了。

用1p的同学可以注意一下。