V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
luckycat
V2EX  ›  随想

使用 1password 两年后,我开始改用 safeincloud

  •  
  •   luckycat · 2019-03-10 09:33:37 +08:00 · 22319 次点击
    这是一个创建于 2072 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在 1password 之前,我用的是 Keepass,但是各端系统不统一、自动填充需要配置,导致折腾起来很费劲。最终弃用。但是 Keepass 的设计理念非常符合我的使用习惯。

    用过两款软件的会明显感觉到,1password 和 keepass 的区别。1password 说实话我个人感觉,整体缺乏设计。可能是开始做软件的时候,只是针对 OSX 来做的,因此软件在不同系统下缺乏统一结构和思想。导致了在各端上界面有比较大的区别,操作起来也不太相同。如果你也用过 1password 4 的 Windows 客户端的话,就会明白我所讲的。

    1password 的优势在于软件功能和细节优化的好,尤其是浏览器插件方面,使用起来很少遇到问题或者 Bug,可以感觉到开发团队确实投入了大量的工作。

    1password 对我来讲,就是浏览器填充方面用起来非常顺手。目前为止保存了 600 多条密码,使得我对 1password 形成了一定的依赖,但是我并不喜欢这个软件。使用 1password 实属“暂时没有更好的选择”。再加上 1password 的整体策略似乎在往客户端向云端转移,对客户端的支持优先级似乎越来越低,也促使我寻找更好的替换品。

    前几天看到了 enpass 和 safeincloud,尝试在 Windows 下载使用后发现了一些有趣的事情。

    enpass 据说是印度人开发的,印度人做软件给我的感觉就是中规中矩,更倾向于模仿现有的软件,整体缺乏灵魂。比如 zoho 之于 Google docs,有很多的模仿成分在里边。enpass 的官网做的很漂亮,文档也很全很规整,给人的感觉还是很好的。但是安装以后感觉完全是跟 1password 一样的界面,当时就卸载了。

    safeincloud 的官网进去以后我当时就关掉了。因为实在是比较山寨,感觉像是个人小作坊做的。后来 V2 上搜索了发现好多人推荐,而且还是俄罗斯老毛子开发的,就再次打开下载了软件。安装后发现了 Keepass 的感觉,我立即产生了兴趣。

    safeincloud 就是那种你一眼就能看穿的软件,设计简洁到没有多余的功能。但是对于密码管理软件来讲,却比 1password 更加有设计感。比如说 template,作为一个密码条目快速输入的模板非常好用。可以自定义不同的账户模板,比如银行账户、邮箱账号、服务器账户,新增条目时可以直接套用模板。这个功能是 1password 最该增加的,但是他们却放在了云端的企业版里。

    safeincloud 没有分类只有标签的设计,我开始时很不习惯的。后来我仔细考虑,其实对于一款密码管理软件来讲,同时存在分类和标签是过度设计了。在用 1password 时,标签功能基本上用不到。所以完全可以用标签来替代分类。

    有一点需要提出,就是 safeincloud 的 template 不是分类。template 只是一个快速创建条目的工具。

    safeincloud 的手机端和电脑端的界面是统一的,这样的设计是比较让人舒服的。

    使用几天下来发现 safeincloud 如果能增加对密码按照名称、创建时间、修改时间进行排序就好了。还有就是如果能像 1password 自动备份会更安全,目前是一个手动的备份功能。
    71 条回复    2021-02-07 15:00:52 +08:00
    ShuoHui
        1
    ShuoHui  
       2019-03-10 09:42:22 +08:00 via iPhone
    安全性怎样
    luckycat
        2
    luckycat  
    OP
       2019-03-10 09:53:11 +08:00
    @ShuoHui 安全方面,就算法而言足够 safe。只是这个俄罗斯毛子开发团队是不是足够 trusted,这个不太好说。在权威性方面,可能 1password 更好一点,毕竟名声在外。
    zhaolion
        3
    zhaolion  
       2019-03-10 10:02:25 +08:00 via iPhone
    Apple 全家桶下面 1Password 体验的统一性目前还没有敌手吧
    chinesestudio
        4
    chinesestudio  
       2019-03-10 10:03:35 +08:00 via Android
    nextcloud 插件 passman 有啥不好的 免费 自己控制数据
    luckycat
        5
    luckycat  
    OP
       2019-03-10 10:15:52 +08:00
    @zhaolion Apple 下确实做的不错。日常 Windows 也要交替使用。官方目前主推网络版,离线版貌似即将成为遗留系统,这个也是决定换掉的原因之一。
    iyaozhen
        6
    iyaozhen  
       2019-03-10 11:07:35 +08:00 via Android
    safeincloud,用了几年了,该有的功能都有,关键是比较便宜
    GDC
        7
    GDC  
       2019-03-10 11:26:25 +08:00 via iPhone   ❤️ 1
    @luckycat 以前我也一直坚持离线版,Windows + iOS 之间很蛋疼,后来试了一次网络版之后果断付费了,虽然 iOS 和 Windows 的离线版都花钱买的但也不重要了,换到网络版之后体验提升了很多
    ichaobuster
        8
    ichaobuster  
       2019-03-10 11:34:13 +08:00 via iPad
    我主要用 macOS 和 iOS,1Password 的体验还是很好的。
    luckycat
        9
    luckycat  
    OP
       2019-03-10 11:43:41 +08:00
    @GDC 只要能云端同步,多设备之间应该问题不大,你所说的蛋疼是哪里的问题?密码管理软件我总认为构建于网络之上并不是好事,对于自己的加密文件要保证百分百可见可复制可备份等才放心。像 Lasspass 这种完全的网络版,万一哪天 lasspass 倒闭了,自己的数据可能一夜消失。
    Semidio
        10
    Semidio  
       2019-03-10 11:54:09 +08:00
    缺乏统一是因为你 A 端用的都是 7.X,W 端用的却是 4.X,你把 W 端换成 7.X 就没有这个问题了,顺带一提 7.X 的 W 端已经支持本地库了
    luckycat
        11
    luckycat  
    OP
       2019-03-10 12:03:00 +08:00
    @Semidio 7.x 我用好久了,包括有一段时间 7.2 版本在 Windows 上卡出翔来。默认分类没办法调整,分类里边的默认字段也无法增删,一直用的很难受。

    Semidio
        12
    Semidio  
       2019-03-10 12:07:39 +08:00
    @luckycat #11 个人觉得默认的分类已经够用了,而且没有内容的分类在左侧也不会显示,性能问题 7.3 已经解决了。
    luckycat
        13
    luckycat  
    OP
       2019-03-10 12:10:33 +08:00
    有些分类又很不合理,至少不符合中国国情。比如 Passport、Driver License 这些项分类,敢情每个人都会又很多的 护照和驾照 来管理吗?还有 SSN,这完全就是给老美设计的。
    huclengyue
        14
    huclengyue  
       2019-03-10 13:03:54 +08:00 via Android
    浏览器支持怎么样?另外 1p 里的密码你是手动导入进去的吗?
    ian511
        15
    ian511  
       2019-03-10 13:36:44 +08:00 via iPhone
    Bitwarden 其实挺好用的,但好像没什么人用
    shutongxinq
        16
    shutongxinq  
       2019-03-10 13:50:26 +08:00   ❤️ 2
    safeincloud 不支持浏览器插件独立运行的模式(1Password X), Linux 不能用,致命缺点。这种密码管理软件,重点不是说价格或者是设计各平台一致,主要在于全平台支持和后期的支持力度。一口买断的,可持续性不能保证,后期没有了怎么办?
    rolexman
        17
    rolexman  
       2019-03-10 14:17:22 +08:00
    今年 1pass 到期我什么都不用.用苹果自带的钥匙串挺好..省钱干什么不好
    mirrorside
        18
    mirrorside  
       2019-03-10 14:30:51 +08:00 via Android
    一直在用 lasspass win 端还好 安卓端太难受了
    mongoose
        19
    mongoose  
       2019-03-10 14:40:50 +08:00
    为什么不试试 keepassxc 呢?
    CoCoMcRee
        20
    CoCoMcRee  
       2019-03-10 15:43:49 +08:00
    iOS 自带钥匙串 + icloud 真香
    xuromky
        21
    xuromky  
       2019-03-10 15:43:52 +08:00 via iPhone
    目前在用 lastpass 感觉良好
    xiaoz
        22
    xiaoz  
       2019-03-10 15:45:11 +08:00 via Android
    @mongoose keepassxc+1,稍微折腾下就很好用了。
    kingcos
        23
    kingcos  
       2019-03-10 15:49:40 +08:00 via iPhone
    我还在用 1p6 …不用续费一次性买断,真香……
    lovedebug
        24
    lovedebug  
       2019-03-10 15:59:55 +08:00
    我是和坚果云 webdav 结合使用的,用了半年感觉还不错。
    leo108
        25
    leo108  
       2019-03-10 17:17:18 +08:00
    从始至终 Lastpass,日常 Mac + iOS,没有其他端需求。

    使用过一段时间 1Password 没有发现什么替换动力,求打醒。
    orangeade
        26
    orangeade  
       2019-03-10 17:43:03 +08:00 via Android
    Keepass+Google,为什么要折腾
    ShuoHui
        27
    ShuoHui  
       2019-03-10 18:00:37 +08:00 via iPhone
    @CoCoMcRee 用 Windows 的时候就很蛋疼了…
    duvalier
        28
    duvalier  
       2019-03-10 18:09:23 +08:00 via iPhone
    买了 enpass,但是 ios 一直用自带的钥匙串,Windows 一直用 chrome,感觉白买了
    Mohanson
        29
    Mohanson  
       2019-03-10 18:59:38 +08:00 via Android
    我无法理解你们将密码交给别人开发的软件的行为…
    n1dragon
        30
    n1dragon  
       2019-03-10 19:18:30 +08:00
    之前也用 1password, 但在最近爆出严重安全问题后立刻转用 lastpass。传送门: https://www.securityevaluators.com/casestudies/password-manager-hacking/

    简而言之,1password 在解锁后立刻将所有密码和主密码解密到内存中,且在锁定后仍然可以读取。任何本地程序均可随意访问其内容。在被测试的所有软件中,1password 漏洞最大,而官方反应最为顽固,一直否认这个漏洞的严重性,不准备采取任何方法修补。

    现在我绝对不会向任何人推荐 1password
    loading
        31
    loading  
       2019-03-10 19:35:56 +08:00 via Android
    嗯,enpass 这么优秀,被你说和 1pwd 很像就否决了,这样看来,我用 enpass 很正确。
    luckycat
        32
    luckycat  
    OP
       2019-03-10 19:48:13 +08:00
    @huclengyue 1Password 6 或者 7 导出的 pif 或 csv 文件,可以直接无痛导入 safeincloud。
    luckycat
        33
    luckycat  
    OP
       2019-03-10 19:50:20 +08:00
    @Mohanson 如果有将近 700 个账户密码,而且还在持续的增加中,你如何来管理?
    DeepCold
        34
    DeepCold  
       2019-03-10 21:05:26 +08:00
    1Password 的家庭共享比较实用,不知道 safeincloud 是否也有类似功能?
    silvernoo
        35
    silvernoo  
       2019-03-10 21:16:13 +08:00
    还是 keepass 放心
    Nick
        36
    Nick  
       2019-03-10 21:18:49 +08:00
    Avast Passwords 我觉得也挺好用的
    Mohanson
        37
    Mohanson  
       2019-03-10 21:39:27 +08:00
    @luckycat 作为程序员, 这种需求我觉得半个小时吧... 只要别自己手撸加密算法, 就好.
    luckycat
        38
    luckycat  
    OP
       2019-03-10 22:07:46 +08:00
    @Mohanson Windows, Mac, iOS, Android 通用,主流浏览器自动填充支持,怕是没个大半年都弄不出个成品。
    luckycat
        39
    luckycat  
    OP
       2019-03-10 22:25:50 +08:00
    @n1dragon 1Password 官方的态度一直是比较傲慢的。当时 Windows 7.2 版本卡出翔的时候,几乎是没办法用的。但是官方依然用了以月为单位的时间解决的问题。整体感觉他们就是在堆工作量,但这个软件设计和架构很初级。各种写死的东西,缺乏自定义的概念,用起来一点都不灵活,他们的定位应该是小白用户用的傻瓜软件。
    zhaidoudou123
        40
    zhaidoudou123  
       2019-03-10 22:43:32 +08:00
    已经习惯 1Password 了。
    本来买了 Win+Mac 双端版,但是很少用。
    在推出订阅版之后第一时间购买,为什么买呢,因为本来 Windows 和 Apple 设备之间的同步是最大的痛点,用了 iCloud 就没有 Windows 同步,用了 Onedrive 就没有 Apple 设备同步,Dropbox 又需要时时刻刻挂着梯子,属实麻烦,订阅版就解决了这一系列问题。
    kersbal
        41
    kersbal  
       2019-03-10 23:42:34 +08:00
    @n1dragon "During a workflow to derive the decryption key, the master password is leaked into a string buffer in memory and never scrubbed, even when LastPass is placed into a locked state." 主密码同样扔在内存中

    至于官方态度就更呵呵了,没有任何通稿回应,在 lastpass 论坛搜索这篇文章只有一个结果:
    https://forums.lastpass.com/search.php?keywords=Password+Managers%3A+Under+the+Hood+of+Secrets+Management

    ![]( )

    底下讨论的人也不知道是不是都是用户,有一个名字是绿的,可能代表官方或管理员:
    ![]( )
    kersbal
        42
    kersbal  
       2019-03-10 23:49:20 +08:00
    @n1dragon 从底下的回复看这个 jpenny84 也不是官方人员

    ![]( )

    从头到尾没有官方回应
    shequ
        43
    shequ  
       2019-03-11 00:13:05 +08:00
    请问 safeincloud
    这种软件为什么不支持双因子加密
    比如密码+密钥文件
    不然官方不开源的话
    密码被窃取后,等于是被一锅端了
    duskpark
        44
    duskpark  
       2019-03-11 00:20:23 +08:00
    以前纯靠脑,后来用了 1password 觉得真的好多了,现在是个网站就要注册,只要有相对安全的网站帮忙整合就很好。考虑到最高级的安全性的话,跟金钱有关的密码还是分开吧,凡事都得有个预案不是?
    n1dragon
        45
    n1dragon  
       2019-03-11 07:11:24 +08:00
    @kersbal Lastpass 不是在官方论坛回复的,而是直接回复了新闻媒体

    LastPass CTO Sandor Palfy said:

    "This particular vulnerability, in LastPass for Applications, our legacy, local Windows Application (which accounts for less than .2 percent of all LastPass usage) was brought to our attention by researchers through our Bug Bounty Program.

    In order to read the memory of an application, an attacker would need to have local access and admin privileges to the compromised computer. We have already implemented changes to LastPass for Applications designed to mitigate and minimize the risk of the potential attack detailed in this report.

    To mitigate the risk of compromise while LastPass for Applications is in a locked state, LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind."

    第二天就发布了 patch。而且,lastpass 的漏洞没有 1password 严重,lastpass 只会解密用户正在使用的密码,而 1password 一上来就解密整个 database。

    https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/

    到今天,lastpass 在 lock 状态下已不会泄露任何密码,而在 unlock 状态下也只会泄露用户正在使用的密码(所有 password manager 都会这样)。而 1password 没有发布任何修补,只是一味的将责任推给用户。
    n1dragon
        46
    n1dragon  
       2019-03-11 07:13:57 +08:00
    @luckycat 没错。整体设计就有问题。现在 windows 版在解锁后依然会卡 3 秒钟,而且在更新密码的时候也会卡几秒钟。
    zztt168
        47
    zztt168  
       2019-03-11 07:26:42 +08:00
    @mongoose keepassxc 是个啥?
    kersbal
        48
    kersbal  
       2019-03-11 07:45:43 +08:00
    @n1dragon
    我认为这两句话不是一个意思,前者更像是拿来糊弄媒体的说法。log out 的意思是登出,并不只是说 lock 状态

    "LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind"

    “到今天,lastpass 在 lock 状态下已不会泄露任何密码”
    n1dragon
        49
    n1dragon  
       2019-03-11 08:00:02 +08:00
    @kersbal lastpass for application 不是他们主要的产品,主要是用来填写一些 app 里面的密码的,只有 logout 功能,相当于 1password 里面的 Lock,都是要再输入主密码才能解锁 /登录的,不需要输入二步验证。在漏洞发布之前,lastpass for application 在 Logout 的时候只是 Lock 了界面(和 1password 一样),但是解密的密码并没有清除。这次的修补是在 logout 的时候重启软件,达到清除密码的目的。1password 本可以做同样的事情,但是没有。他们也不会去做。
    wzw
        50
    wzw  
       2019-03-11 08:09:12 +08:00 via iPhone
    之前看到有人推荐 keeweb,想试试
    tianshilei1992
        51
    tianshilei1992  
       2019-03-11 08:26:25 +08:00
    Windows 版 1Password 代理的支持有点蛋疼…
    kersbal
        52
    kersbal  
       2019-03-11 08:48:21 +08:00
    @n1dragon
    1. 那么请问他们的“主要产品”是怎么解决这个问题的呢?
    这是最近的 release,只有这一个和此事相关
    ![]( )
    2.“到今天,lastpass 在 lock 状态下已不会泄露任何密码” 这句话是如何得出的呢?
    shutongxinq
        53
    shutongxinq  
       2019-03-11 08:54:30 +08:00
    @n1dragon #30 "任何本地程序均可随意访问其内容" 为什么啊?一个进程怎么会有权限访问其他进程的内存空间?
    n1dragon
        54
    n1dragon  
       2019-03-11 09:01:54 +08:00 via iPhone
    @kersbal 主要产品是 chrome 插件,和这次漏洞无关。lastpass application v4.24.1 补了漏洞。

    程序退出后释放了内存地址,给系统 GC,虽说不能保证 100%立刻清除内存内容,但减少了 attack surface, 相比于 1password 什么都不做还是好得多
    n1dragon
        55
    n1dragon  
       2019-03-11 09:05:05 +08:00 via iPhone
    @shutongxinq 1password 是非管理员权限运行的,其他任何程序都能读取其内存,你可以用 process hack 自己实验一下。

    本次漏洞的关键是 1password 的 lock 功能完全是骗人的,只是把用户界面遮了一下,程序内部运行和解锁时没有任何不同。
    n1dragon
        56
    n1dragon  
       2019-03-11 09:09:10 +08:00 via iPhone
    有漏洞并不可怕,修好了就行。但 1password 官方对这次漏洞的态度让人心寒。他们不但几年前就知道这个问题,而且在漏洞发表后还坚持己见,不做任何 mitigation。一个安全软件公司这样做,是不会有信誉的。
    shutongxinq
        57
    shutongxinq  
       2019-03-11 09:13:58 +08:00
    @n1dragon #54 但是程序向 OS 申请新 memory 的时候,memory 肯定会被 zeroed 啊。这是现代 OS 设计的常识啊。只有程序自己利用自己之前 free 掉的内存的时候(在 heap 里面),才会出现以前写的内容没有被清除的情况。你说的 attack surface 并不存在啊。
    shutongxinq
        58
    shutongxinq  
       2019-03-11 09:15:14 +08:00
    @n1dragon #55 怎么可能“一个程序非管理员权限运行,其他任何程序就可以读取其内存”?现在 OS 又不是单片机,都有 virtual memory 啊。
    mnsw
        59
    mnsw  
       2019-03-11 09:27:44 +08:00
    1Password 无论是用户反馈,还是 BUG 报告,都是按星期回复的。以前两三天,不知道现在这个鸟样是个什么鬼。
    kersbal
        60
    kersbal  
       2019-03-11 09:54:40 +08:00
    @n1dragon @shutongxinq 访问 vm 需要 PROCESS_VM_READ 访问权限
    kersbal
        61
    kersbal  
       2019-03-11 10:03:06 +08:00
    @mnsw 那怕是我用的是个假的 1password,新版出来的时候发现我的小众浏览器升级后的签名没被 1p 录入导致无法用浏览器插件,反馈完 1 个小时论坛回复已解决,版本更新,下载安装发现已修复。
    mnsw
        62
    mnsw  
       2019-03-11 10:10:10 +08:00
    @kersbal 可能你是论坛反馈?我都是发 e-mail 给他们的。
    n1dragon
        63
    n1dragon  
       2019-03-11 10:10:26 +08:00 via iPhone
    @shutongxinq 你可以看一下原始的 ISE paper,30 楼有链接。1password 7 用的是 c# .NET ,不能人为清除自己之前用过的内存,而 Watchtower 的设计,需要把所有密码都解密到内存里。

    至于读取内存,我不是 windows 程序员,不知道具体原理,但不论是该 Paper 作者开发的工具,还是第三方软件 Process Hack,均可在非管理员状态下直接读取 1password 里所有密码和主密码。
    n1dragon
        64
    n1dragon  
       2019-03-11 10:16:33 +08:00 via iPhone
    shutongxinq
        65
    shutongxinq  
       2019-03-11 10:47:27 +08:00 via iPhone
    @n1dragon 我研究了一下你给的链接,主要问题是 windows 系统的默认安全特性太差,跨进程可以访问内存。建议任何 mission critical 的东西不要用 windows 运行,或者学习如何设置使得 Windows 拥有基本安全特性之后再说。
    djyde
        66
    djyde  
       2019-03-11 10:54:29 +08:00
    本来想从 1password 转到 enpass,结果我没试过成功 autofill 过。。有高人指点一下我吗
    JJIAN
        67
    JJIAN  
       2019-03-19 17:14:24 +08:00
    只可惜 safeincloud 不支持添加谷歌两步认证令牌。。。要不我也换了
    sanryone
        68
    sanryone  
       2019-04-07 18:05:08 +08:00
    目前在用 1password 但是 1password 的 android 和 windows 版本不算好用 windows 版本的 chrome 密码唤醒特别的慢。
    Librawey
        69
    Librawey  
       2019-04-11 10:05:54 +08:00
    您好,我想问下 1password 里的账户密码怎么导出呢?
    JohnnyWoong
        70
    JohnnyWoong  
       2020-06-03 16:56:24 +08:00
    @JJIAN 现在支持了,但是不能分组啊,我还是喜欢 1pass 的那种分组,总体体验感觉还是 enpass 符合我的需求
    sensonsama
        71
    sensonsama  
       2021-02-07 15:00:52 +08:00
    safeincloud 的浏览器做的不够好,论坛回复会被误认为是密码。
    我在 chiphell 刚回复了一个消息,就弹出提示是否记录了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2736 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 07:46 · PVG 15:46 · LAX 23:46 · JFK 02:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.