今天刷推,看到一个帖子,好奇进他们官网看了一下他们的白皮书,看起来好像非常的牛逼。 看文档,好像有个自托管的审计模式,好像能够解决我对 1p 的后门顾虑?哪位大佬能够解释一下这个是否可信么? 看起来好像是没有在国内上架,我只能用我的美区 appleid 下载。但是 app 价格好像没有活动。看他们官网活动好像才 9.9 美刀一年? 有哪位大佬在使用这个产品么?了解助记词么?看起来好像是区块链行业在用的东西? 有了这个,貌似就不需要我自己搭建的 vaultwarden 了?我总担心 vps 跑路。
跟进回复一下,昨天买了一个年付的 9.9 美刀 vip,貌似用起来还可以,目前还没有遇到大的问题,比较简单清爽。 我的 bitwarden 数据也能够完全的导入。 https://imgur.com/a/hmwhGo5
1
rekulas 321 天前 1
看了下,产品不算 nb ,数据加密放到区块链上好多年前炒作过的了,只是专注于密码管理的似乎不多,一个垂直领域(不过看了下支持了共享解密,这是一个创新点)
如果他们产品实现确实是按照白皮书实现而且代码上没有明显 bug 的话,那安全性确实很高,比较 bip 助记词的安全性比大多数人的主密码强多了 协议貌似开源了?这是一个加分项 |
2
joemark OP @rekulas 你了解 bip39 么?我大概了解了一下,好像 bip39 确实是区块链行业在用的东西,这个玩意儿的安全性真的很强么?比 argon2d 还强?
玩了一下,功能好像跟其他 bitwarden 差不多,而且这些小的 feature 也挺不错的。看起来还在内测。 https://imgur.com/H7Xa85W |
3
guodexi 321 天前
下载插件玩了一下,这个产品有意思来着,完全没有邮箱和手机,密码,好奇怎么做数据同步和身份验证的?签名吗?
|
4
coderworld 321 天前 1
研究了一会儿,感觉很有潜力的产品啊,下单了一个年付的版本,玩玩看。
貌似符合我对密码管理器的所有想象?感觉可以扔掉我的 bitwarden 订阅了。😭 |
5
monster1priest 321 天前
风险提示:有特长保密有效期的信息不要存储在这上面
|
6
rekulas 321 天前 1
@joemark 算是比较了解吧,之前就做过一些相关算法, 但这个跟 argon2d 没有可比性,一个是生成协议一个是散列算法,bip39 即使以低挡的 12 词来算强度都相当于 33 位 16 进制的密码例如这样 b02c4bff31a91bbcea0caebef27a72a61 很显然量子计算有能力破解前不用担心强度
|
7
joemark OP @rekulas argon2d 和 PBKDF2 是加大难度的吧。下午了解了一下,这个 bip39 好像是派生密钥的,天生好像就很强大。
比特币很强大啊。居然有这种技术,也算长见识了。 下午翻他们官网,还看的一个有意思的,他们居然放了比特币的私钥在里面,让去破解,不知道可不可以破解出来。 |
8
joemark OP |
9
monster1priest 321 天前
@joemark 假设你有份重要文件有十年、二十年的有效期,量子计算出来后会被破解的,因为你加密后的信息是放在链上公开的
|
10
joemark OP @monster1priest 哦哦,也就是量子计算机出来之前,应该问题不大?
|
12
monster1priest 321 天前 via iPhone
@joemark 大部分密码其实都不影响,但有些特别重要的信息还是要单独保存
|
13
monster1priest 321 天前 via iPhone
@guodexi 通过密钥做签名、加密
|
14
guodexi 320 天前
@monster1priest
了解了一下他们的白皮书,看起来是用的比特币的那套 ECDSA 来保障鉴权?那这个安全性确实可以啊。比我的 enpass 的密码登录安全很多。 |
15
markbook 320 天前 1
@coderworld
一样,哈哈,我也担心我的 vps 数据损坏,看 OP 发了这个,看了白皮书,安全性和隐私性确实都非常不错。 他们都那个 audit 模式挺有意思的,我的 vps 上面可以解密所有数据,看了他们的协议代码,看起来好像他们的服务器没有下发任何的密钥,完全依赖端上的助记词密钥加密的数据。这样看起来,至少安全性和后门不用担心了。 |
16
Autonomous 320 天前
先观望,目前自建 vaultwarden 完全免费,用这个 web3password 能免费吗
|
17
phithon 320 天前
本来以为这个是把数据放到链上,但看了下白皮书,好像只是使用了 BIP39 来生成密钥和助记词,数据并没有上链?
|
18
joemark OP |
19
joemark OP |
20
lengyuqu 320 天前
自己搭建的 vaultwarden 都是放自家的 nas 上,放什么服务器上。 这种上链的就是坑。
|
21
dnsdk 320 天前
不支持保存 passkey ?
|
22
joemark OP |
23
SSang 320 天前
区块链基于共识,万一共识崩溃你的数据就全完蛋了,你正常找国内阿里腾讯跑路概率我觉得比区块链厂商跑路概率低的多,虽然区块链厂商跑路不一定代表共识崩溃,但是,也不远了。
|
24
joemark OP |
25
syyyyy 320 天前
要看上的是什么链,感觉前两年有过很多上 eth 链的,后面都没声音了。
|
26
mrpzx001 319 天前
密码上链? 怎么想怎么不靠谱
|
27
joemark OP @mrpzx001
能够具体说一说为什么不靠谱么?是安全问题还是什么问题呢? 刚才刚好看到这个帖子 https://www.v2ex.com/t/1013730 apple id 被锁,导致所有数据被锁。如果只用 keychain ,是不是就 over 了? 那么同样的,如果是用 1password 这种,也是同样的问题?拼车的同学,如果账号被风控?有点儿可怕。 当然了,我觉得这种可能还是要给个人选择 的权力更好? |
28
network127001 316 天前
@joemark 为啥不在家里弄 nas ,ipv6 套 cf 就能访问了
|
29
felixmmy 315 天前
对于我来说,密码安全性压根就不考虑,大公司的服务器肯定比个人自建的安全
我最看重的是实用性和易用性,目前自建了 vaultwarden ,购买了 1password ,dashlane ,elpass vaultwarden 基本是吃灰,1password 什么都好,就是价格太贵,dash 还行吧,一年 16 是真香 但是最好用的还是 elpass ,iOS 上各家差别不大,因为都不能自动填充,需要点一下小钥匙,1password 和 elpass 都能识别类似账户,但是 dash 不行,比如说我有 2 个 appleid ,输入的时候 dashlane 需要去搜索,而 1password 和 elpass 就直接把 2 个 appleid 列在那只需要你选择就行 但是,在 mac 上,1password 和 dashlane 都无法做到真正的填充,都是在输入框那需要点一下图标,然后自己选 只有 elpasss 是真正的无感自动填充,也就是说你打开网站什么都不用管了,自动输入密码自动登录 elpass 最大的问题是对 win 支持不好,只有一个浏览器插件,经常识别不出来,而且在 win 上无法保存密码 综上所述,1password 一年 100 多,dashlane 一年 16 ,elpass 一年 30 多,我最终常用的还是 elpass ,一个是我不怎么用 win ,第二个即使用 win ,由于我密码库已经存的差不多了,难得需要注册新密码,所以可以用其他 password 创建然后备份到 elpass |
30
felixmmy 315 天前
这个我刚也去试用了,好像没什么亮点,输入框那点图标,居然没有搜索键,比如我一堆 nass 反代的网站,这点连 1password 和 dashlane 都不如,至少当你要填的密码不在它默认给你选的里边时,你可以直接搜索
然后我点浏览器插件搜索,比如我要登录 qBittorrent ,我输入 qb ,居然没有。。。我试着输入 qB ,有结果了,好家伙,搜索还必须完全匹配大小写啊,又试着在 ios 同样搜索 qb ,又搜出来了。。。感觉,你用这个还不如用 16 一年的 dashlane 。。。 |