V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skfu
V2EX  ›  信息安全

关于 1password 保险库备份问题有坑莫踩

  •  
  •   skfu · 2021-12-02 22:40:28 +08:00 · 6278 次点击
    这是一个创建于 1120 天前的主题,其中的信息可能已经有所发展或是发生改变。
    开车的人很多,为了应对账号未来可能出现的问题,大家都开始另外备份保险库,这里面有个坑,有人备份保险库的时候,考虑到安全问题,选择了备份 1password 自加密的保险库,这其实等于没备份,因为 1password 开车可能出现的最大问题是可能账号被删掉,如果账号删掉了,那么你备份的保险库就没法用了,不要想你再注册个账号,然后保险库就能导入进去,密钥变了,是不可能让你导入的。
    所以还是建议导出未加密的保险库,然后自己加密,这样才是最保险的。
    45 条回复    2021-12-14 14:08:15 +08:00
    LokiSharp
        1
    LokiSharp  
       2021-12-02 22:41:52 +08:00 via iPhone
    花点钱自己开就没问题了吧
    dingwen07
        2
    dingwen07  
       2021-12-02 22:43:23 +08:00
    怎么备份成 1password 加密的格式,我怎么找不到选项,我这导出都说是未加密的
    dolphintwo
        3
    dolphintwo  
       2021-12-02 22:45:39 +08:00 via iPhone
    我选择个人版
    Huelse
        4
    Huelse  
       2021-12-02 22:45:51 +08:00   ❤️ 3
    bitwarden 摆着不用,非要折腾
    skfu
        5
    skfu  
    OP
       2021-12-02 22:47:57 +08:00
    @dingwen07 导出的都是未加密的,1password 软件备份或者同步的都是 1pss 自加密保险库,我原来的时候为了怕保险库盗取,总是喜欢自己另外备份一遍这个 1pass 自加密保险库,后来想到了,等于没什么用
    leoleoasd
        6
    leoleoasd  
       2021-12-02 22:50:49 +08:00   ❤️ 1
    .1pif 格式的文件,可以导入到别的 1pif 账号啊
    换过一次账号,没出问题🤔
    leoleoasd
        7
    leoleoasd  
       2021-12-02 22:51:30 +08:00
    导入的东西还有一个 tag
    skfu
        8
    skfu  
    OP
       2021-12-02 22:51:38 +08:00
    @leoleoasd 这不是加密的保险库
    leoleoasd
        9
    leoleoasd  
       2021-12-02 22:53:30 +08:00
    哦 没事了 刚看到说的是保险库
    leoleoasd
        10
    leoleoasd  
       2021-12-02 22:54:23 +08:00
    我现在:
    有硬件 gpg 秘钥
    leoleoasd
        11
    leoleoasd  
       2021-12-02 22:54:55 +08:00   ❤️ 2
    我现在:
    有硬件 gpg 秘钥
    重要密码 gpg 加密备份

    如果硬件秘钥丢了,家里和单位还有一份二维码,扫完拼起来是加密后的 gpg 秘钥
    ugvfpdcuwfnh
        12
    ugvfpdcuwfnh  
       2021-12-02 22:59:28 +08:00
    自建 bitwarden 比较简单,免费安全,现在 docker 版的改成 vaultwarden 了,还是建议自建,需要 ssl 的话,在国内要备案,但是不用 ssl 也能用。
    skfu
        13
    skfu  
    OP
       2021-12-02 23:39:11 +08:00
    @ugvfpdcuwfnh 试用了你的自建,发现很多网站图标都不显示,比如 google 不显示网站图标。
    ugvfpdcuwfnh
        14
    ugvfpdcuwfnh  
       2021-12-02 23:50:34 +08:00
    @skfu 哥,我这是腾讯云上的服务器,本身没有给 bitwarden 的服务翻墙,你多试试国内的网站,确实是有网站图标的。
    skfu
        15
    skfu  
    OP
       2021-12-02 23:52:01 +08:00
    @ugvfpdcuwfnh 明白了
    yanyumihuang
        16
    yanyumihuang  
       2021-12-03 00:13:09 +08:00
    opvalut 没有问题,你账号被删除后,这个格式可以在不登陆的情况下直接导入的,我的密码就是这样救回来的。导入时需要输入你原本的主密码,输入后就导入到 1p 的保险库了。
    skfu
        17
    skfu  
    OP
       2021-12-03 00:40:14 +08:00
    @yanyumihuang 不登陆怎么导入的呢?
    dingwen07
        18
    dingwen07  
       2021-12-03 02:34:33 +08:00 via iPhone
    @yanyumihuang #16 怎么导出成 open vault ?
    ZE3kr
        19
    ZE3kr  
       2021-12-03 02:39:38 +08:00 via iPhone
    刚刚在手机上试了下,可以启动独立保险库,然后拷贝到独立保险库里。独立保险库可以 iCloud/Dropbox 同步
    parametrix
        20
    parametrix  
       2021-12-03 04:55:53 +08:00
    @ZE3kr 这也是我知道的 1P 数据库最完整的备份方法,不过 1P8 应该不能这样干了。
    dangyuluo
        21
    dangyuluo  
       2021-12-03 06:02:00 +08:00
    还好我是一个靠谱的车主😄
    qping
        22
    qping  
       2021-12-03 08:49:25 +08:00
    老哥,你旁边的 OP 是什么意思
    qping
        23
    qping  
       2021-12-03 08:52:01 +08:00
    @qping #22 知道了,当我没问, (捂脸
    tankren
        24
    tankren  
       2021-12-03 09:39:26 +08:00
    bitwarden 自建啊
    baijuyi
        25
    baijuyi  
       2021-12-03 09:39:56 +08:00
    密码这个重要的东西还敢拼车?心真大
    nekochyan
        26
    nekochyan  
       2021-12-03 09:50:23 +08:00
    op 不是原批的意思吗(逃
    einq7
        27
    einq7  
       2021-12-03 10:01:14 +08:00   ❤️ 1
    @qping #22 origin poster ,国外论坛用的,相当于楼主的意思
    yanyumihuang
        28
    yanyumihuang  
       2021-12-03 10:29:38 +08:00 via Android
    @skfu 双击 opvalut 文件就行了
    yanyumihuang
        29
    yanyumihuang  
       2021-12-03 10:30:14 +08:00 via Android
    @dingwen07 就是导出保险库用网盘同步的那个文件,你搜一下
    zhaidoudou123
        30
    zhaidoudou123  
       2021-12-03 10:34:26 +08:00 via iPhone
    本来以为只是 Windows 版不能导出加密格式,今天看了看 Mac 和 iOS 版,严格按照官网的教程,都找不到 backup 相关命令
    skfu
        31
    skfu  
    OP
       2021-12-03 12:35:04 +08:00
    经过验证,备份的自加密 opvalut 确实可以还原到任何账号,仅仅需要输入主密码就可以了,但是 bitwarden 是不可以的,bitwarden 导出的加密备份只能还原到原账号。
    新问题又来了,1password 备份的自加密 opvalut 可以还原到任意账户,只要输入主密码就可以了,进一步测试,在断网的情况下也可以,那么设想在本地配合脚本+暴力破解,这个主密码应该很容易吧,也就说在理论上,只要被 1password 官网被脱裤就完了呢?大家怎么看?
    codeisjobs
        32
    codeisjobs  
       2021-12-03 13:14:56 +08:00
    @skfu #31 这不是得怪自己密码太弱? 16 位字符加单词组合排布加特殊符号和数字混合。能暴力破解的话,不应该躺平吗?
    neptuno
        33
    neptuno  
       2021-12-03 13:15:08 +08:00 via iPhone
    @skfu #31 主密码设置复杂点就好了,暴力也得多少年吧。而求断网你咋恢复到任意账户,除非你本地有机制可以检测到密码是正确的
    skfu
        34
    skfu  
    OP
       2021-12-03 13:22:57 +08:00
    @codeisjobs 1 ,主密码太复杂了,用起来不方便,所以很多人的主密码甚至不如其他网站的密码复杂。
    2 ,两步登陆验证,还有 secret key ,在这个步骤上都已经失去保护作用了,大家从来没想过主密码要面对被离线暴力破解。
    skfu
        35
    skfu  
    OP
       2021-12-03 13:24:28 +08:00
    @neptuno 没有密码错误需要输入验证码模式,暴力破解的速度是很快的,1 天足够
    Tink
        36
    Tink  
       2021-12-03 13:25:05 +08:00 via Android
    @skfu 主密码加密啊
    Tink
        37
    Tink  
       2021-12-03 13:25:39 +08:00 via Android
    @skfu 密码从来都没有绝对的安全
    codeisjobs
        38
    codeisjobs  
       2021-12-03 13:36:24 +08:00
    @skfu #34 这个不简单,现在的 1password 手机上支持指纹解锁,电脑上支持指纹和 Windows hello ,完全用不到输入密码。主密码复杂不是更好?
    neptuno
        39
    neptuno  
       2021-12-03 14:06:32 +08:00
    @skfu 有没有可能解锁过程是需要联网的
    neptuno
        40
    neptuno  
       2021-12-03 14:08:15 +08:00
    @skfu 我觉得你可以本地写个脚本先破解试试,如果可行,可以反馈给 1pass
    hjxx
        41
    hjxx  
       2021-12-03 15:32:57 +08:00
    按这么说。。我用的早期的版本 如果主密码不够复杂的话
    valut 文件是通过 dropbox 同步的那种 岂不是很危险。。
    datoo
        42
    datoo  
       2021-12-03 17:57:41 +08:00
    1password 一年才多少钱。。。真的差那点钱么?
    ncepuzs
        43
    ncepuzs  
       2021-12-03 18:58:02 +08:00
    @ugvfpdcuwfnh #12 你这说法有问题,vaultwarden 是其他人用 Rust 写的服务端,官方也提供 docker 安装,只不过对服务器的要求高点。SSL 跟备案没关系,你解析到大陆地区的服务器才需要备案。
    parametrix
        44
    parametrix  
       2021-12-03 19:25:17 +08:00
    @skfu 1P 官网被脱裤,暴力破解还需要 secret key ,这也是 secret key 的主要作用。本地备份与他们官网服务器存档还是不一样的,具体可以看他们的安全白皮书。

    另外,实际加密的密钥也应该不会直接使用主密码(或主密码+secret key ),而是密钥导出算法给出的。除非预先知道一些主密码的信息(社工),否则暴力破解也没那么容易。
    mangoDB
        45
    mangoDB  
       2021-12-14 14:08:15 +08:00
    楼主请问你说的「备份」是如何操作的呢?我只在官网找到了「导出」的介绍,没有明确找到有关「备份」的文章。

    导出数据: https://support.1password.com/export/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4003 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:14 · PVG 18:14 · LAX 02:14 · JFK 05:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.