有媒体报道,称疑似京东12个G数据遭泄露,涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,对此,京东表示经初步判断,该数据源于2013年Struts 2的安全漏洞问题。——2016.12.11
一、Keepass
二、Lastpass
现在大家上网注册的各种账号密码非常多,有些小伙伴为了方便好记,可能会采用弱口令(123456/aaaabbbb/生日……),或者统一密码,这样很容易导致账户密码泄露。密码被泄露情况严重可能还会涉及到你的财产和隐私安全。
所以目前越来越多人会选择密码管理软件,帮助管理各种网站、软件的账号密码,自动生成的高强度复杂密码,以及算法加密可以很好的提高安全性。
但是选择密码管理软件也是很头疼的事,既然你选择把所有的密码交给软件管理,那么首要考虑的问题就是这个软件的安全性。目前密码管理软件基本分为在线云同步版、本地版。
而在线版估计不少人会担心一个问题,万一服务商出现安全隐患,或者倒闭跑路了,那么你的密码不就全没了?所以问题来了,密码管理软件到底如何选择?本文给大家整理了目前 5 款主流的密码管理软件。
1. KeePass
这款 KeePass 本地密码管理软件可以说是很多人的首选了,因为它免费开源,轻量级、支持高强度的 AES 加密算法,支持插件。目前锋哥也使用了这款密码管理软件。不过也有不少人嫌弃,因为它的界面比较丑,功能用起来也许有点复杂。
虽说 KeePass 是本地密码管理软件,但是它采用数据库的存储方式,加上支持 FTP、HTTP、webDAV 等链接同步功能,所以可以用自己的服务器,或者使用支持 webDAV 的网盘,如坚果云来同步。
另外客户端方面,官方没有提供多平台,但因为 KeePass 是开源的,目前有其它开源的版本,如下:
Windows版:KeeWeb、KeePassXC
安卓版:KeePassDroid、Keepass2Android
iOS版:MiniKeePass、iKeePass、Passwordix
macOS版:keepass touch、Mini KeePass
移动端同样也是支持用 FTP、HTTP、webDAV 方式来同步数据库文件,也支持自动网页自动填充功能。
-优点:免费开源、安全性极高
-缺点:使用起来略麻烦、数据库文件要多备份
官方网站:
https://keepass.info
官方下载:
https://keepass.info/download.html
2. Bitwarden
BitWarden 是一款免费开源的密码管理软件,支持的平台 Windows、macOS、 Linux、Android、iOS,以及各大浏览器的扩展。
采用高强度的 AES256 算法对你的个人数据进行本地加密,然后再传输到云端服务器来实现网络同步,支持二步验证登录。另外它还支持用自己部署的服务器来同步数据库。
其它功能方面,支持自动填写表单、一键登录、支持从其它密码管理软件导入数据,包括:1Password、LastPass、KeyPass、浏览器等。
-优点:开源,支持自建服务端同步
-缺点:默认的同步速度慢,体验不太好
项目地址:
https://github.com/bitwarden
官方网站:
https://bitwarden.com
3. LastPass
LastPass 也是一款老牌的在线同步密码管理软件了,锋哥最开始用的就是这款软件,因为支持自定义表单填充内容,可以通过快捷键来快速填写非常方便。支持浏览器扩展插件、iOS、Android 手机端。
安全性方面,据 LastPass 介绍,密码存储都是在本地进行使用 AES256 加密后上传,不是明文存储在服务器上,虽然之前发生过被入侵的情况,不过由于加密技术的多重防护,一般密码也难被破译。
另外 LastPass 拥有免费版和高级版,不过免费用户有功能限制,只能使用一种类型设备,也就是电脑、手机端应用你只能选择一样。
-优点:表单功能丰富、各平台同步
-缺点:如上面说的,免费用户有设备限制
官方网站:
https://www.lastpass.com
4. 1Password
1Password 是密码管理软件里面口碑蛮不错的一款,支持 Windows、macOS、iOS、Android 多平台,支持账号密码同步。还有各种浏览器的扩展插件支持,实现网站自动填充密码,采用 AES-256 位加密,安全性极高,并且使用简单,内置很多常用类别。
不过 1Password 不是免费软件来的,注册用户只有 14 天的免费试用,付费后才能所有平台上无限制使用。
-优点:各方面功能都很完美
-缺点:有点小贵噢!
官方网站:
https://1password.com/zh-cn
5. Enpass
Enpass 可以说是 1Password 和 LastPass 的综合代替品,支持的平台更多,包括 Windows、UWP、macOS、Linux、iOS、Android、 浏览器扩展程序,同样支持网站一键登录帐号、AES-256 加密。
还支持把密码数据库作为本地使用,可以不用担心 Enpass 服务器哪天就挂了,另外也可以支持各大网盘进行同步密码数据库。
付费方面,Enpass 的电脑客户端免费,注册账号登陆可以解锁所有功能,你可以作为本地用或者自己搭配网盘同步也行,但是需要移动端也同步的话,就需要付费模式了,可以购买高级版,相比 1Password 的订阅模式,Enpass 采用买断模式,购买后就可以永久用了。
-优点:支持多种同步方式,可离线使用
-缺点:手机端有20条密码限制
官方网站:
https://www.enpass.io
6. Swifty
Swifty 这款并不是目前主流的密码管理软件,但是它是免费开源项目,由于刚发布,目前功能还有些不足,但感觉会有潜力,可以保持关注下。
目前拥有 Windows、macOS、Linux 平台,暂无手机端支持。功能支持存储登录/密码凭证、信用卡信息、安全笔记、二次验证等。
同步方面,支持使用 Google Drive 同步数据,没有自建服务器功能。另外这个软件还在开发阶段,接下来应该会有更多功能支持,感兴趣的关注下。
-优点:免费开源、使用简单
-缺点:没有中文、没有浏览器扩展
项目地址:
https://github.com/swiftyapp
官方网站:
https://getswifty.pro
总结
除了以上推荐介绍的,还有非常多同类软件,五花八门,作为密码管理软件,安全性是放在首位,所以推荐用免费开源 + 可以本地离线存储的密码管理软件,例如 KeePass 就是很好的选择了。如果要贪图方便选择在线云存储的,也建议尽量选择老牌知名度比较高的产品,如 LastPass 和 1Password 。
密码管理方案Keepass、Lastpass、1password对比
并不是现在才用密码管理器。之前使用的是Keepass,当时也是考虑对比了很久,选择了Keepass,也用了几年了,一开始只是保存一些网站账号密码,用Dropbox来进行同步,除了Keepass界面略丑之外没有什么不足。不过随着密码越来越多,各种类型的密码都存储在里面之后,有时候手头没带电脑,就没有办法看密码了,那随机生成的密码肯定是记不住的,有一些困扰,而且近期愈发频繁。于是开始寻找多端同步使用的方案,移动端app倒是有不少,不过都是个人开发的,而且使用起来比较麻烦,一是要授权Dropbox访问权限,跨端修改带来的冲突也是一个问题(这个可以只读权限分享给新Dropbox账号解决),另一个就是个人数据的安全性。虽然是开源的,但是个人开发者,总有有一些程序漏洞没有办法及时发现和修复等等的担心。
Keepass、Lastpass、1password对比
常用的密码管理器基本就是这三种,当然还有其他类似enpass等等好多可选项。
先放一张对比图,从其他文章里找到的:
在平台支持上,可以看到这三个密码管理器基本上都可以做到跨终端使用,其中lastpass甚至还有命令行版本,可以在服务器上使用。
在价格上,keepass完全开源免费,只要自己会折腾就行;lastpass分为免费版和高级版本,不过自动移动端也免费之后个人使用基本就用不上收费版本的那些需求了,可以近似看作是免费的;1password只有收费版本,分为订阅和买断两种付费方式,价格对于一般人来说还是不菲的。
颜值、易用性上,Keepass拥有着开源软件特有的丑陋,不过用起来没有任何问题,而且用了这么久没有出现bug,这点还是很不错的;lastpass界面比起Keepass那简直就是天上地下了;至于1password,因为收费,没有试用,而且我也不太愿意花费那么多钱,据说是Mac生态上最好看的,他的信徒们将此奉为圭臬。对于密码管理器,自动填充功能也是一个很大的需求,不过我不需要这个功能,还是喜欢复制出来手动粘贴,这三个都支持自动填充,不过支持的程度各有好坏,Keepass作为开源软件,应该略差一些。
安全性上,他们基本都是采用了主秘钥加复杂加密算法的方式,所以理论上都是可靠的。Keepass本地存储,依赖于个人设备的安全性,安全程度最高;1password采用了本地+云端同步的两种方式,为了易用性,有时候我们必须牺牲一点安全性,这也是一种趋势;lastpass则是纯云端同步,需要注意的是lastpass曾经发生过数据泄漏,不过都是加密后的数据,被收购后它的母公司黑历史也不少。关于云端与本地的安全性,个人感觉因人而异吧,云端同步带来的是便利,牺牲了一些安全性,这就要看服务提供商的信誉是否值得信赖,以及它们是否真的可以做到服务商本身无法还原用户数据,不过我个人还是选择相信,毕竟作为一个专业的密码管理器服务,如果连这点诚信都没有,那业务基本也就没法做了。这里还有一点就是,在看资料的时候看到lastpass似乎只对密码进行了加密,所以尽量不要敏感信息放在备注等字段里,感觉这设计挺奇怪
关于在这三者里如何选择,网上有大量的争论,Keepass党认为只有本地的才是最安全的,云端不可靠;lastpass党觉得免费易用,云端没有那么危险;1password用户大多都是一用上就不想换了。如果对数据安全性有非常高的要求,而且基本只在PC上使用的话,我极度推荐Keepass,毕竟我逃离的原因只是它的跨平台;有跨终端需求而且不太喜欢折腾的、不想花费太多钱的、想尝试一下密码管理器的,我推荐lastpass;至于1password,我想说,“贵的东西除了贵,其他都是优点;充沛的盈利,能够使得服务商有足够的动力来修复补丁、升级功能”。
bilok 2017-03-08 09:29:41 +08:00 via iPhone
lp 将收费功能免费后果断转了 1p
毕竟没有钱长期来看就是开不起员工工资 修不了软件漏洞 维护不了服务器
麻烦说云上不安全的去看看各家发布的白皮书 不要人云亦云
迁移到Lastpass
Lastpass支持从外部直接导入。
首先要从 Keepass 导出数据,依次选择 database->export->csv,然后打开lastpass网页端,登陆之后,左下角More Options->Advanced->Import,复制进去上面文件的内容选择上传即可完成导入工作。
不足
LastPass 的PC端由于服务器在海外,首次登陆、修改响应略慢,有屏蔽的危险,不能设置代理,不过这点还可以接受,实在不行就全局代理或者使用网页端。
Lastpass的分组没有keepass那么方便,图标太大,不能把分组内的项都列出来,需要依靠搜索功能。
总结
花了一天的时间迁移到了lastpass,总体还算满意,先保留keepass的数据库,然后用一段时间lastpass再说。希望我的文章可以给摇摆不定的你一点帮助。
最后,重要的事情要说三遍:
一定要保存好主秘钥文件Database.keyx (最好隐藏这个Database.keyx文件)
一定要保存好主秘钥
一定要保存好主秘钥。
https://keepass.com/
https://keepass.info/download.html
(https://sourceforge.net/projects/keepass/files/KeePass%202.x/2.57.1/KeePass-2.57.1.zip/download)
https://keepass.info/help/base/keys.html#keyfiles
No comments:
Post a Comment