这里的第三方,指的是非 Chrome/FF 等内置于浏览器,只能通过 Extension ,或者手动复制粘贴之类的方式,来实现密码填充的工具,包括但不限于 Keepass ,1Password ,Bitwarden 等等
我的情况是这样的:两年前吧,我的设备曾经被盗过一次号,tg 被拿去发垃圾广告,油管关注了几个不认识的三无小号。当然事后分析的话,这种就不是密码盗号,而是不小心下了木马什么的,直接读 cookies/token
那时候是高中,一周回家一次,因此也就是做了一些亡羊补牢的工作。当时也有想过用 Keepass (因为当时我的日用密码真的是弱,而且也听说了 Chrome 密码管理基本上就是纸糊的),但是试了几个之后,总感觉很别扭,不如 Chrome 内置那个爽快,而且当时想的是『我的密码应该还不至于需要通过每次开机输入 20 位的主密钥来保护』(不论是我之前的笔记本,还是我现在的台式机,都没有用于 Windows Hello 的摄像头或者指纹),然后这件事就搁置了
最近的话,因为家里面 NAS 有了稳定的存储,学校也放了小 NAS ,『密码库丢失』之类的问题基本上可以放心,所以再次开始玩密码管理器。这次尝试了别的(免费的那些,付费版本以后再支持),但是总觉得还是有隐隐约约的别扭,最后还是选择留在 Keepass
问一下各位 V 友,我应该怎么做,或者说各位是怎么适应下来的呢?
另:推荐买一个用 USB 线插电脑的 WinHello 指纹模块吗?
1
Zhousiru 9 天前 via Android 1
减少关机次数就可以减少输入主密码的次数了(逃
|
2
Vnaner 9 天前 1
我买了个 windows hello 的摄像头,连着主屏幕解锁一起安排了
|
3
XSNARUTO 9 天前
如果是纯个人设备的话,信任设备的密码/生物认证就好了,密码管理器放宽重新验证的限制,对几个重要条目再加个「验证主密码」。毕竟个人设备很少让其他人碰。公共设备我最多网页端临时用一下,随用随关了。
|
4
Heymans 9 天前
一直在用 1password, 唯一的缺点就是 bug 现在有点多....
|
5
Meld 9 天前
全平台使用 Bitwarden 的官方版,慢慢就习惯了
|
6
Frytea 9 天前
就用 bitwarden + 自建 vaultwarden ,感觉挺好用。能自己记住就自己记,太复杂的就丢进去,需要的时候去查。
|
7
TrackBack 9 天前
不知道你用的哪个版本,keepassxc 即使开了指纹,每次开机第一次打开数据库也还是要输入主密码,我觉得没有方便多少
(而且浏览器识别也不是很准…) 不过能同时管理 totp 和 ssh 密钥是个优点 |
8
dcsuibian 9 天前
忍了
|
9
dcsuibian 9 天前 1
便利性和安全性你总要做个平衡,对我来说是安全性更重要一点,所以我不介意把密码设的长点。
你要是想更方便,那把密码设短点不就行了 |
10
Tiande 9 天前 via Android
bitwarden 可以设置 pin 码或生物识别,很方便啊。
|
11
zuotun 9 天前
打字够快就可以忽略,数了一下我的密码是十七位的,只有两个分别重复的字母。我的策略是每次关闭浏览器重新上锁,无他唯手熟耳(
|
13
Alixys 9 天前
没什么适不适应的,密码你手机上也要用吧,那你所指的非“第三方”,到手机上就成第三方了。
|
14
Irilsy 9 天前
每次重启都要输主密码挺好的,定期检查我还记不记得主密码,主密码是我唯一一个我没有重复使用、我能记得下来的、长于 20 位的密码了😭
|
15
ltkun 9 天前 via Android
用了就爱上了不仅仅浏览器 app 密码 2fa 都可以记
|
16
cmdOptionKana 9 天前
平时要输什么密码?本来就是低频操作,麻烦一点没什么吧。
|
17
cmdOptionKana 9 天前
举个例子,你发这个贴约 500 个中文字,算你 1000 次击键,按你的密码 20 位算,这个帖子的击键量相当于 50 次输入密码了,而密码也不需要每天输入,就这已经相当于你 2 个月输入密码的击键量。这个“成本”不高吧?
|
18
BloodBlade 8 天前 via iPhone
keepass (非 xc )有个 windows hello 插件,这个插件可以通过将主密码保存在 Windows 凭据的方式来实现重启之后也不用输入主密码。
|
19
frankilla 8 天前
没觉得有什么大的差距。
|
20
MFWT OP |
21
yidev 8 天前
bitwarden+指纹
|
23
spediacn 8 天前 via iPhone
Passkey 挺好用的,逐步替换中
|
24
x2ve 8 天前
我的密码一般按网站来,自己记一套规则就行了,另外我还写了一个专门对称加解密的密码纪录 web 应用,当规则不记得的时候就自查,一般要输密码了不在乎多出个 1 分半钟来
|
25
gletec 8 天前 via Android
就我个人来说,并不指望密码不泄露,但是用密码管理软件,可以确保每一个账户都有不同的密码,不至于泄露一个就泄露全家。
其次就是便利性,需要全平台(主要是安卓,win 和 iPhone 等)多设备同步,需要支持自建或者接入自己的 webdav/s3 同步。 不选择只能官方同步的,或者离线差的(比如 lastpass ),尽量不选择出过重大泄露事故的(还是你,lastpass )。 综合下来,比较好的有几个,1password (除了贵没太大问题),bitwarden (免费就能用,自建也方便),keepass (开源全免费,但是界面复古功能复杂,iOS 不太便利)。 我现在用的是以前买断的 enpass ,用自己的坚果云 webdav 同步, 现在价格不美丽,不太推荐。 |
26
Legman 8 天前 via Android
刚加入到 bitwarden ,还在习惯中。
|
27
WilliamKong 8 天前
只要开始用,而且操作并不太反人类的话很快就适应的。bitwarden+自建 vaultwarden 已经很久了,除了配合最近客户端的更新升级了一次容器版本外基本不用怎么管。浏览器端 extension 近期更新之后可以在输入框直接选择账号填入了,解锁可以用 pin ,如果有桌面客户端可以和 windows hello 配合使用,iOS 用 Face ID/Touch ID 很自然,android 配合辅助服务的话是用也很流畅,至于主密码,每次接入新设备/重置旧设备/登入网页版就填一次,已经快成肌肉记忆了
|
28
hyh0u0 8 天前
@BloodBlade KeePassXC 首次登录后不退出就不需要再输入主密码,输系统 PIN 码就行了😀还可以设置最小化到任务栏 https://www.reddit.com/r/KeePass/comments/igy3t1/keepassxc_why_is_there_no_minimize_to_tray_in_the/
|
29
cdlnls 8 天前
桌面电脑上用密码管理软件属于是高风险操作了(除非隔离环境),只要中毒了,基本上就是一锅端,chrome 直接可以导出来密码,键盘监听,屏幕截图什么的也是轻轻松松就能做的,啥模块来了都不好使。
用密码管理器的话还是老老实实用手机客户端,登录的时候掏手机手动输入。 |
31
Christolan 8 天前
我也适应不了,就一直用的 chrome 自带的密码管理
|
32
fun201108 8 天前
使用方便了,被偷密的也方便
|
33
TheWalkingDead 8 天前
一直用的 bitwarden 官服,但是想问下啊,如果哪一天官服出问题了,或着不服务了,客户端还能离线用吗?我记得客户端经常要输入主密码,如果服务端都没了,这个主密码怎么验证啊。
|
34
yzc27 8 天前
@WilliamKong 想问下,Windows 11 下,只安装 Bitwarden 的 Chrome 扩展,能配合 Windows hello(指纹)解锁吗?我尝试了一下,提示 Browser integration is not set up in the Bitwarden desktop application. Please set it up in the settings within the desktop application. 似乎想用指纹解锁还要安装桌面程序,不能单纯依赖 Chrome 插件就能指纹解锁吗?
|
35
veni2023 8 天前
chrome 自带的密码管理 再开启设备上加密 安全性怎么样
|
36
smlcgx 8 天前 via iPhone
虽然现在设备不多,只是 mac 和 ios ,但是不保证将来不用 win 或者安卓登录一些账号啥的,所以还是需要一个跨平台的管理工具
|
37
BeautifulSoap 8 天前
看了下我 bitwarden 密码库里账号数量——1081
差不多从大学账号数量超过 100 得时候就不得不用密码管理软件了 |
38
WilliamKong 8 天前
@yzc27 浏览器扩展的生物解锁是依靠桌面程序完成的。看官方指南 https://bitwarden.com/help/biometrics/#tab-browser-extension ,Unlock with biometrics is supported for extensions through an integration with the Bitwarden desktop app.
|
39
imba97 8 天前
目前用的 bitwarden 自建服务,感觉还挺方便的,只是调生物验证很麻烦,要下客户端。所以我一般常用设备设置永久不锁定,公司设备设置关浏览器锁定
|
40
zhaogaz 8 天前 1
先回复标题:在使用电子的工具之前,有一个本子记录密码,但是越来越多,而且很模糊,自己记录的都看不懂。使我不得不想办法换一个。所以就是不管有多难用,但是无论如何比之前好用。所以开始了 keepass2
keepass2 有插件的,每次保存都可以同步到 onedrive 、dropbox 或其他 webdav 地方。。。所以你考虑得丢失基本是伪命题。。。 再接着回答楼里的问题: 1. 没啥适应的。无非是看看软件功能够不够用,能不能把数据都录入,有没有什么方便的功能,读一遍 doc 就行了; 2. 当年选择并不多。个人的密码要是存到云平台,鬼知道会怎么样。还是自己加密扔上去靠谱。。 ; 3. 这里有一个建议是,如果你觉得需要适应,那可能说明这个不合适,不如选你觉得好用的。否则你大概率会放弃。 指纹啥的,无所谓,想买就买。passkey 之类的,建议至少买 2 个,相当于物理钥匙嘛,门锁的钥匙也不会只给你一把。 --- 额外感慨下 1. 建议用 keepassxc ,后期使用的系统平台多了,我换到了 keepassxc 上,也够用了。 2. 年纪轻轻,玩什么 nas 。。。 3. 我觉得你的问题可以翻译成 [密码管理工具有什么正确的使用方式,我现在觉得有点难用] 4. 其实你觉得难用正常,早七八年前,大厂都不做密码管理(或者我不知道),小厂云平台的密码管理明星公司也不多,一两个。离线客户端就 keepass 行,其他都看不上;互联网还在上行,很多人可能也没觉得需要这个工具。 反观现在,大厂也开始深度集成,还可以自建,提供服务的小厂也多了;你现在用过 chrome 的,回头说第三方的不好用,可不不好用嘛。。。 |
41
iwdmb 8 天前
Proton Pass
免费美观好用 |
42
bigtear 8 天前 via Android
bitwarden 也支持硬件密钥,太爽了
|
43
wenzhuo 8 天前
@cmdOptionKana 不能这么算,发帖的内容又不需要记忆,密码为了安全性通常很复杂而且不同,
|
44
cmdOptionKana 8 天前
@wenzhuo 但是主密码是无论如何必须记得的啊,而且多输入几次就肌肉记忆了,随着输入次数增加,越来越熟练。
|
45
fugu37 8 天前
@TheWalkingDead #33
任何一个登录了账号的客户端都有本地数据备份,官服失联你可以导出数据切换到私服再重新导入,没有区别。(附件可能会丢失) |
46
Tink 7 天前
keepass bitwarden vaultwarden 都用过,短的一周,长的一年多
最后还是 1p 征服了我,养老了 |
47
Tink 7 天前
哦对 lastpass 也用过一年多
|
48
alading11 7 天前
lastpass 免费时主力使用,后来改订阅制免费版只能一个端后迁移到 bitwarden 。主要考虑几个点:
1. 多端同步 2. 免费 3. 界面美观、操作性强 |
49
TheWalkingDead 7 天前
@fugu37 可是经常要输入主密码啊,如果服务器没了,APP 要输入主密码进不去咋办。
|
50
fugu37 7 天前
@TheWalkingDead #49 先杀掉 Bitwarden 客户端,然后断网,再打开试试?
|
51
hanyuwei70 7 天前
1. 有 passkey 的用 passkey ,这个不谈;
2. 如果服务支持 Google/Github/QQ 等大平台的三方登录,优先使用; 3. 支持 2FA 的,可以用一个短密码+2FA ; 4. 随机密码+密码管理器; 5. 如果支持手机密码重置的,把密码重置当作登录方式( |
52
hanyuwei70 7 天前
顺便主密码我是这么解决的:手动记住一个非常长的复杂密码,形成肌肉记忆。
|
53
MFWT OP @hanyuwei70 记忆主密码对我来说问题不大,目前可以记住
|