1Password、Enpass、Bitwarden 使用体验之比较

通过官方版 Docker 镜像搭建的 demo:https://bitwarden.iamzs.ga/

Rust 版:https://pwd.iamzs.ga/

欢迎讨论分享。

还是 1P 方便啊…自己搭,其实我是不信任自己的服务器比 1P 的安全性好的…

2赞

关于密码软件我也用过了很多。我认为最本质的问题在于:方便和安全。对于这些软件的选择,我考虑的事情是:如何去相信服务供应商。对于在线存储而言,如何相信厂商不会获取到你的明文密码,如1password、lastpass和bitwarden(它是开源的,有代码,但是不能保证它的服务构建就是用的开源代码,也不能保证代码没有问题,至少我没看过)(如果是自己在vps上构建也是同样的道理)。对于本地存储内容:enpass、keepass。enpass存在的问题也是:如何信任软件提供商,他们的软件会在何时联网,会发送什么样的数据。 我现在的选择是keepass,数据库放在OneDrive中。移动端用strongbox,禁止它联网,使用OneDrive同步,虽然有些不便,但是一个可行的方法。

感谢分享,但我觉得你说的有很多矛盾和硬杠之处。

要这样说的话,还真不好反驳。你是认为他们是以明文存储的,还是说他们有能力对 256 位 AES 加密后的数据进行反推?

那你为何不先去瞧一瞧,或者查查资料?

Enpass 也可以完全离线使用,那为何相信 KeePass 而不相信前者呢?难道因为它是开源软件,那与前述不冲突吗?

类推,如何相信微软不会获取你的数据?

是,我属于强行说服自己给 1P 付费的。

因为从事安全行业,所以对此类问题非常敏感。对于keepass,我可以禁止软件所有联网行为,然后单独使用网盘同步。而enpass我无法这么做,如果让enpass完全不能联网,那它无法读取数据库文件。

它们会不会通过某种方式对我们的密码进行窃取

我没有它们服务器的权限,也没有这个技术去判断它们项目构建的情况

离线使用则代表无法同步,因为它们的同步是使用的接口,而不是把文件放在了网盘中

因为这个数据库与软件是分离的,我没有让keepass使用接口,而是单独把文件放在的网盘中

它 可以盗取我的密码数据库,但是它需要解密。

这些问题的本质是:你是否信任服务商,以及软件与数据库是否分离。