集思广益,关于密码存储和同步

Microsoft

在收费领域,貌似1password还是不错的,最近ios版还免费了
但是看了下win版还是贵到飞起,于是寻思着找一下开源免费的解决方案

还是大概说一下我了解的几个密码管理软件的情况
一些优点缺点我们都是假设软件开发商本身并无恶意,并且我们已经充分信赖(否则还怎么用啊!!)

1password(win+mac+ios+android)
这个应该是相当出名的密码管理软件,收费甚高,最近ios平台免费了,应该是相当适合一部分上手试用,当然了,试用之后估计就停不下来乖乖的买其他平板版本了(什么,你其他平台输入密码准备就拿手机人眼复制粘贴吗?)
优点:有官方的各类游览器插件,实现自动输入密码功能(在某些网站不可用,例如大名鼎鼎的支付宝以及腾讯的一些,那些要求强制键盘输入不接受复制粘贴)
缺点:如果你全套移动和桌面都是苹果系,那么使用icloud同步可以做到相当的无缝集成,如果你是其他平台那么抱歉了,你必须要使用其他第三方同步.
其实这个缺点对国外用户也不算什么缺点,dropbox之类的网盘免费可靠不流氓,然则国内你就只能选择百度什么的了,我相信既然你都开始考虑使用密码管理软件了,那么肯定也不会使用百度盘来同步的
还有个缺点,贵的吓死人...ios上虽然免费了,但是如果你一旦入坑,想在win/mac平台使用,请转账付费($49.99)
还有个不算缺点的缺点,那就是没有linux和wp客户端,嘛,反正也没啥占有率...人家是商业软件肯定不会为0.01%的用户专门开发啦...

Lastpass(win+mac+linux+ios+android+wp+blackberry)
这个密码管理软件和1password采用了完全不同的设计思路,用国内厂家喜欢忽悠的名词来说,这就是"云密码"呀...
是的,他所有的密码均加密后存储于lastpass的服务器上,根据其自身的描述,加密解密过程是在本地完成,即便是lastpass也无法在你忘记密码的情况下恢复你的数据,这样子看起来安全性还是有保障的
优点:可以说是全平台制霸了,因为密码库存放于远程服务器上,所以用户几乎并不需要进行什么设置和同步,安装后输入自己的账号密码即可,另外是可以免费使用的,虽然有一些限制,收费版则采用订阅模式,若按照1password的49.99计算,可以订阅4年,并且这是全平台的,所以看起来收费服务也不算贵了(我相信这比90%的人在网络游戏上的花费还少...)
缺点:优点有时候就是缺点,在线模式在很多场合依旧是不适用,另外让密码保存在别人的服务器上这可能对一部分人还是难以接受(例如我).还有一个更重要的是,你不知道什么时候可能触到某些G点,就被墙了...

keepass(win)
这是一个开源的密码管理软件,虽然开源=/=免费,不过这个软件确实是免费的...
和1password是很相似的,基本上可以理解为开原版,只不过官方仅提供了一个win下的版本,其他版本均由第三方支持
优点:免费...真的,我找不出别的优点...因为在其他方面1password做的挺好的了...即便做的不够好,keepass也不会做的更好了
缺点:缺少官方多平台支持,当然了,如果算上官方页面列出来的第三方,那么是可以有win+mac+linux+ios+android+wp+blackberry+J2ME+palm+PocketPC,不过有一部分相当久没更新了,例如官方列出的iKeePass上次更新还是2013年,界面元素甚至还是ios6时代的...

其他国产XX密码箱
抱歉...如果有国人开发基于keepass并且放到git上开源了,那么我会尝试用一下,不然真的不会考虑...
==========================================

说了这么多,其实最后我还是选了keepass,即便他是存在这么多缺点...
但是怎么说呢...不要钱不是...毕竟我还是需要在2个PC和1台手机之间同步,在可以预见的将来设备数量还是会增长的...1password的价格实在有点贵
另外...由于之前用了keepass管理了几个月的密码...已经入坑中了...

2楼我会说一下我的同步方式

Microsoft

既然选定了keepass,那么虽然官方没有发布移动版本和同步工具
不过开源的好处,大不了你自己给自己写一个就好了...
所幸暂时还不需要

windows上官方提供了2个官方版Classic Edition和Professional Edition
其实也并没什么区别Classic Edition采用了GDI+,而Professional Edition用了.net framework 2,功能上也是向下兼容
所以果断选择Professional Edition

移动版本上
猴机我完全不会去考虑的(别开玩笑了,用猴机管理密码那且不是太奇怪了...),关于这点训猴高手可以自行考虑,目前还在保持更新且开源且免费的有KeePassDroid,Keepass2Android Password Safe...值得注意的是,官方列表中KeepShareplay售价高达303软妹币,并且虽然开源但是核心代码几乎2年没更新了...

ios版本上的情况和猴机差不多,保持更新且开源且免费选择并不多
最后我选择了miniKeePass,虽然移动版本上大部分的需求仅仅是只读就可以了,不过如果能修改也依然是个好事
miniKeePass提供了1.x和2.x版本的读写功能,也提供了导入key文件,同时显示密码的时候贴心的使用了易于分辨的字体(再也不会把0和O,I和l弄混啦...win版都没这个待遇好吗...),兼容ios8,所以你可以方便的使用第三方同步工具,把密码库文件同步到minikeepass中,也可以很方便的同步回去,虽然比不上用icloud那么方便,看在免费的份上多装个软件多点两下忍了

wp以及其他平台没有关注

在同步选择上
如何选一个不流氓的同步软件几乎是很困难的事情,国内各种网盘基本不考虑
国外网盘大众点的基本都是要梯子,微软的web端已经废,客户端尚可工作,何日完蛋应该是进入倒计时了
icloud上,minikeepass并没提供支持,因此也无法使用

这个时候seafile步入视野
全平台,服务器端有开源免费版本,也提供了小容量的在线云服务(2G,放点密码文件简直太奢侈了好吗,给我200M都足够了十几年了吧)
本身开发公司是主打团队协作,同步还附带历史功能,这自然是很好的
但是需要注意一点,默认同步是不加密的,这倒并不算是什么问题,因为我只同步密码库,就算任何人得到了密码库,而没有得到密码和key文件,想要破解是极为困难的
所以这个缺点暂时就可以忽略了,提供了国内版和国外版2个在线服务
国外版已经商用,免费就能满足需求,国内版仅免费,官方建议不在正式场合使用,不过鉴于我们的文件很小,并且国内速度快,可以避免因为延迟丢包导致数据库损坏,还是选择了国内版本

所以同步问题基本得到了解决,干净,专注于同步,还有开源服务器版,即便被墙被和谐,自己建一个低调的用也是没问题
唯一的担心是,也许开发团队解散,不在继续维护后,例如ios系统更新若干次后,不可用了,这个只能说,到那时候再说吧


接下来就是安全保密方面
keepass提供了密码和密钥文件2中方式,你可以用其中一种也可以混合使用
自然的,我是强烈建议混合使用
我个人使用了这里点点点提供的随机文件生成,并不用生成很大的文件,这会影响加载速度,一般4K-1M大小的即可,
一次生成100个-10000个,看你自己心情啦...
linux用户可以直接从/dev/random生成自己需要的大小和数量即可...
然后买个单独的U盘,能量产最好,不量产也无所谓,目的是让key文件,与密码库文件隔离
将key文件复制到U盘里,然后需要的时候插入U盘,读取key文件解密,不用的时候拔掉U盘,实现隔离
当然了,能量产就更完美,这样就可以弄成只读形式,方式意外修改或者删除了
至于这个U盘是否还需要启用bitlocker等加密方式,这就仁者见仁了...我个人而言不太需要,因为本身U盘是固定保存的,而且即便遗失,那也只是一串毫无意义的乱码文件
关键的是...既然我已经用密码管理软件管理密码,而解密U盘还要再输入一个密码...这感觉有点奇怪哎...
关于这点希望有更好的解决方式

手机上,minikeepass是可以用itunes导入key文件的,当然了,也是可以通过seafile导入,但是鉴于key文件不网传的原则,我选择了使用itunes导入几组常用的key文件
这样手机上的key文件也保存好了
因为ios的隔离限制,这些key文件是安全的(所以我不喜欢猴机..)

=================
现在,我的密码库是keepass,我的同步使用seafile
我电脑上新建密码,修改密码,都会很方便的同步到我需要的设备上
并且因为仅仅是同步密码库,这些数据我那怕公开在网络上都无所谓(其实也有点夸大其词...万一真弄出名了,全球发起暴力破解估计也撑不住多久就会破了吧...)
而需要解密的时候,需要插上专门的U盘,使用完毕后,软件关掉,U盘拔掉,那就没问题了

有一些需要注意的,keepass一次读取key文件后,之后的更新,保存,都不需要key文件,看起来应该是保存在内存区域,也就是如果你不关闭掉软件,在运行过程中拔掉U盘是没有关系的,这可能是一个潜在的安全问题
另外,密码管理软件并不能在你中木马的情况下保护你,也不能在网络不安全的情况下加强防御

所以,我建议最最核心的一些密码,还是记在脑子里,不要记录在任何纸,软件里
密码管理软件最大的贡献是抵御社工库

佳丽三千到

电脑上用lastpass，定期把文件导入keepass ，用邮件和新浪微盘同步
手机恰好是安卓，用keepass2Android。

scf22

1password mac上太贵了，一直想试试，最后还是用了lastpass

aiyoyo

one note

caibing

自己定义一种简单易懂的文本格式，写成txt，然后7z加密存在网盘里面这种原始的方式我会乱说？ 真忘记了就ctrl+f…

noneoneone

我懒，还是用lastpass了，隔一段时间往U盘存一次本地备份，避免没网的情况。
之前免费体验收费版，用下来确实蛮爽，不过手机上需要登录的机会毕竟有限，没的用也还能忍。

−−− post by asus Nexus 7 from S1 Next

四点

Lastpass很多活动拿会员的吧.上次拿了2年现在还没过期.

无限预知

我在4平台上使用keepass，win,ios,android,wp。基本上编辑只在win上，移动端只用来读取。每次编辑完习惯性复制一份到移动硬盘，上传一份到gdrive，一份到微云，这玩意儿要是没了所有密码就忘了那就不得了了。

Realplayer

拿小本本记上

xxyyzz7711

别的 不说, 就是没有好用的批量改密码(也不可能出现)功能, keepass和用手写笔记本抄一次也差不多

moonjourney

lastpass 这点钱真的省了不少麻烦，目前密码管理类软件最好的，在不在线都可以用。
我还奇怪你们为什么说不需要在手机上管理密码？

n98848tj

scf22 发表于 2015-3-8 23:10
1password mac上太贵了，一直想试试，最后还是用了lastpass

苹果上的钥匙串不是挺好的

四点

1password for mac我也没买，不知道怎么就一直能用，更新了也没问题，看授权也是授权过的
手机的倒是买了

Cyborg

kesspass和LP混着用。。

南小鸭

其实现在就在等生物识别技术的普及了，水果的TOUCHID用着就很爽，还要记个劳什子密码，我的各种平台各种工具各种网站的密码都记晕了，密码保存工具又担心安全性，后来不得不用evernote记了一堆密码。

xmiangui

我自己的密码都是规律的，比如xmianguiS1，然后再Hash，手机上有Hash软件

密码好记又安全，不怕软件被黑、爆漏洞，只要明文的规律别太脑残就行。

heyeshuang

keepass用了一个月，当时用的是btsync/syncthing（开源实现）同步，android客户端是keepass2android离线版，firefox用keefox；

不过后来实在是受不了每次都要输密码的设定，改用SuperGenPass生成的密码了

robbielj

1password那个macpoweruser的打折码可以试试看还能不能用
前段时间好多次促销的

我个人觉得如果考虑1p能用好几年，摊销一下费用也不会比lp多多少
何况界面什么lp完全没法比数据也是自己的，不会不续费就用不了

LP如果被墙了就是干瞪眼，1p再怎么样还有局域网同步

牙鸟

全部是同一个密码………

luciffer

keepass + btsync
敏感密码存第三方你放心？

Microsoft

luciffer 发表于 2015-3-10 08:07
keepass + btsync
敏感密码存第三方你放心？

keepass是AES 256并且可选加密次数

在AES破解理论没有重大突破的情况下
在你的数据库密码足够强大的情况下
目前来看破解时间可能要比一般人活的还长...

所以只要保存好key和密码,密码库文件是可以随意处理,只要同步起来方便就行了

luciffer

嗯，这倒也是。
不过国外同步软件三天两头被墙。国内软件要么随时有可能挂掉，要么软件做的太恶心。我觉着还是自己搭反而方便些