作者likeus (James)
看板MAC
标题[软体] 分享1Password特点和密码管理器使用技巧
时间Tue Aug 2 15:45:15 2022
建议在这边看最新、易读版本 https://tinyurl.com/2cgqagza
【前言】
密码管理器的重要性不言可喻,我这边不特别解释为什麽要使用它,相关的分享在网路上可
以找到很多,这篇主要是想藉由 1Password 的使用经验和大家分享我为什麽挑选这款密码器
理器,以及如何保护和管理自己数百个帐号安全。
关於密码管理器的介绍,可以参考以下文章:
容易被遗忘的资安措施:密码管理器 Password Manager
https://is.gd/K9mOmy
习惯用Chrome记住密码其实风险超大!揭少有人知的「超危险设定」,不改小心密码被看光
https://is.gd/InRzRJ
为什麽你需要密码管理工具
https://is.gd/eVyR4X
为何你应该使用密码管理员?
https://is.gd/N9HlxF
【密码管理器使用技巧】
1.将帐号区分成「核心帐号」和「一般帐号」:
我会把金融相关(例如第三方支付、银行、虚拟钱包、电子钱包)以及重点服务(例如1Pas
sword、Apple、Google、Line、facebook、Microsoft 等重要帐号,还有可以当作快速登入
帐号的服务)加上「核心帐号」标签,而这类型帐号会加强保护,例如一定开启两步骤验证
、「密码部分」不直接打在1Password,而是藉由「密码提示」帮助我想起来,每次帐号登入
都是凭提示手动输入密码。
虽然多数知名密码管理器的安全性和隐私性极高,但还是可以利用这方式将风险降到最低,
总之大家可以思考如何在方便和安全之间取得最佳平衡。
https://i.imgur.com/ZlmTfH1.jpg
2.善用标签可以更快速帮助你去了解各个帐号的特点:
像我只要有绑信用卡的服务,我都会加上「绑卡」的标签,这样当我之後要换信用卡,就可
以很清楚知道有哪些服务是需要改的。每个帐号可以加上多个不同标签。
>> 我有在用的标签名称:实名制(有要求我上传过证件照片或认证手机)、绑卡(有我的
信用卡资料,要多留意帐号安全)、持续付费中(目前手中有哪些服务会定期扣款)、第三方
登入、两步骤验证、非活跃帐号会被删(让我知道这服务要定期登入)、核心帐号、金融相
关
帐号、限一台装置登入(尤其是app类型会有这机制,对於换手机要转移时有帮助)、购物?
电商、门市会员相关的帐号)
https://i.imgur.com/xAAcVlX.jpg
3.善用筛选功能和时间纪录,检查有哪些帐号太久没登入:
你有没有注意过各个服务的使用条款?包括Yahoo、Google帐号太久没登入,会有部分资料,
甚至整个帐号会被删除喔。密码管理器大多会纪录最後登入时间(透过密码管理器填入的时间
)
和最後修改时间,并且搭配排序功能可以很清楚有哪些帐号久久没登入,可以安排个每季或
半年去检查帐号是否还安好。
参考文章
超过2年未使用、官方将强制删除Gamil 信箱!相簿照片、信件、云端资料
https://kikino
te.net/159713
https://i.imgur.com/iuqy86F.jpg
4.使用内建验证码产生器,帮助你建立两步骤验证的好习惯
有些第三方两步骤验证码产生器,像Google Authenticator不支援同步功能,如果app删掉?
手机不在身边,会比较麻烦,而多数密码管理软体已经整合验证器,还可以快速填入会方便
很多。虽然站在资安角度来说,密码储存处和验证器放在一起的风险会相对较高,但如果密
码管理软体够安全、也不把「核心帐号」的完整密码打进去的话,其实两个放在一起也还好
,这同样是安全和方便去做取舍的问题。
我觉得这就跟新手踏入健身房一样,不用想説一开始要练得很费力,先建立习惯、愿意长久
踏进去健身房才重要;现在使用两步骤验证有更轻松方便的方式,只要承担极低风险,却能
促使你每个帐号都开启两步骤验证的话,其实对整体帐号安全还是非常有帮助的。
【1Password 特色】
1.密钥只有自己知道 & 从来不会传输出去:
由於「端到端加密」重要到不能算是特色,所以我先不谈(没E2EE机制的密码管理器拜托直
接放弃)。1Password最大特点在於密钥是从本机装置产生,而且即使资料在多个平台同步?
他们的伺服器也从来不会接收任何密钥(使用SRP技术),1Password 自豪从来没发生过密?
/密钥外泄,就因为他们「根本没东西好泄漏」(反观LastPass倒是有不少资安新闻),藉?
双重保障把保密做到最彻底,是我选择1Password的主因。
参考资讯:
密钥介绍
https://is.gd/LhNACZ
密码管理服务LastPass遭骇
https://is.gd/pbUazM
SRP技术中文介绍
https://is.gd/znycCr
2.会定期接受资安专家检验:
上面讲得这麽厉害,但有没有说到做到才是重点,1Password有找独立安全公司做程式码审?
,确保安全性没有问题。而且他们不只找一家去审,甚至定期去审,我总觉得1Password为?
取得客户信任,做得比竞争者还更多。
参考资讯:
https://support.1password.com/security-assessments/
3.可以选择主机储存地区:
1Password在安全技术上我觉得难以挑剃,如果真要鸡蛋挑骨头的话是他们出身在加拿大,?
为加拿大属於五眼联盟,他们政府会从事比较积极的情报监控(但是和中国政府的做法完全
不同),但这件事对於1Password产品可以说是零影响,就如上面所说,1Password从不保留
任何密钥和机敏资料。但也许为了弥补这个先天小小小缺陷,他们仍提供美国、欧盟和加拿
大三个地区的储存主机供消费者选择,各区功能完全相同,就只是付款币种、资料储存位置
、营运人员所处的位置有不同。
参考资讯:
五眼联盟介绍
https://is.gd/6QHZgR
1Password有列出他们知道以及不知道的东西
https://is.gd/7y40W3
1Password可以选择服务地区
https://is.gd/KwJfhr
4.1Password是一间相当透明的公司(大加分):
1Password可能基於智慧产权或商业模式,没有将自家产品开源(open source),但他们在
讯揭露做得很彻底,除了上方说的有找独立安全公司做程式码审核,他们还以「近乎没有保
留」的公开许多产品细节,包括:制作白皮书公开说明安全技术、解释浏览器扩充元件的权
限运用、解释诊断报告会收到/不会收哪些资讯以及储存位置、解释软体会连线到哪些网域?
其目的 等,主动揭露实在让人很放心。他们的支援页面做得超完善,可以清楚知道产品的?
节和操作说明,如果还有疑问写信联络他们也可以很快得到回覆,软实力方面颇优秀。
参考资讯:
安全技术白皮书
https://is.gd/3d1Ssh
解释浏览说扩充元件的权限
https://is.gd/XspViJ
诊断报告
https://is.gd/hlCj8m
关於1Password中的Watchtower隐私
https://is.gd/Xzx2Qn
5.家庭成员没上限:
越来越多密码管理器有提供家庭版本,但1Password很不一样的是成员上限数量可以扩充,?
设5个帐号是每月4.99美元,若超过5位的话,每增加1位成员是每月多1美元。目前我这边已
达到5人,但因为想要长期订阅下去,希望至少有稳定6-7人可以大家共享优惠价格,每次收
一年费用370元。徵人没有截止期限、没有人数限制,只要有兴趣随时可以站内信与我联络?
1Password家庭版就如同Spotify家庭版一样,每个帐号都是独立的,我(家庭组织者)无法看
到成员储存的内容,也得不到成员的金钥。如果成员忘记密码无法登入,家庭组织者可以协
恢复,但资料也是直接发到成员的信箱,我这边不会收到成员的任何个人资讯,大家可以放
心加入。
参考资讯:
关於 1Password 家庭
https://is.gd/0eqNtk
恢复家庭成员的帐户
https://is.gd/G1oiBM
从其他密码管理器迁移到1Password的教学
https://is.gd/yQ2xah
【总结】
1Password 不接触任何使用者的私密资料,又公开自家产品的安全架构,该透明就透明、不
该知道的就不去知道,在产品安全上我认为非常能信任。如果想要快速全面了解1Password?
产品安全,可以看这个页面的说明
https://is.gd/mHWx5f
不知道看完这篇大家会选择哪一款密码管理软体呢?可以参考以下挑选准则
1.「安全」放第一,没有「端到端加密 E2EE」绝不使用,这是铁则!
2.知名、开源的软体可以先考虑,如Bitwarden
3.商业产品选择知名、信誉良好的,例如1Password、Dashlane、LastPass
4.我很不建议透过浏览器和作业系统(包括Apple的钥匙圈)去管理个人帐号。这些不是专?
的密码管理工具,无论安全技术、资料转移、便利性,各方面表现都极差
5.千万不要下载Google Play和App Store上来路不明的密码管理软体,那些大多数都是中国
开发,没有端到端加密,而且中国政府能够干预民营企业,资料安全堪忧
6.也欢迎大家加入我这边的1Password家庭版喔XD,每年370TWD 不用再辛苦找人凑,我会长
期订阅,有兴趣者随时可以站内信或发信
[email protected] 跟我联络,邀约没有期限~
[最後提醒] 密码管理软体和防毒软体一样是也是业配很重的领域,大家在收集资料时要放?
眼睛、仔细判断喔;我建议优先从新闻媒体去找评价、事件,再去看部落格的分享。
利益声明:我是个人使用者、与1Passowrd完全无任何利益关系,且非从事密码管理或资安?
关产业,单纯做产品推荐,并根据已知资讯做分享,不为以上介绍内容做背书,建议各位多
比较、研究後再做决定。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.136.212.196 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MAC/M.1659426322.A.1F9.html
1F:推 INTHEWIND: 只相信os内建的08/02 15:55
※ 编辑: likeus (223.136.212.196 台湾), 08/02/2022 16:03:46
2F:推 lianpig5566: 我还是相信Chrome08/02 16:09
3F:→ lianpig5566: 苹果内建也不错 但要跟Chrome同步比较麻烦08/02 16:09
4F:推 boris20050: 阿那 safari 的密码管理员安全吗?用touchID 解超方便08/02 16:09
钥匙圈是端到端加密,安全性没问题,但易用性我觉得不理想
※ 编辑: likeus (223.136.212.196 台湾), 08/02/2022 16:22:32
5F:→ oayhsu: 内建keychain Access好用, 如果深陷阿婆生态圈的话08/02 16:23
※ 编辑: likeus (220.136.81.139 台湾), 08/02/2022 16:55:21
6F:推 hungdino: 不用自动填入就阉割掉密码管理器的方便性了吧08/02 17:38
7F:→ concord: 1P 以前是真的很注重安全细节的团队,自从引入新的金主,08/02 20:12
8F:→ concord: 现在的策略变成扩张,对细节的坚持只能说...很微妙,最近08/02 20:12
9F:→ concord: 新版最麻烦的问题就是 Cmd+\ 自动填入就自动送出,啊你们08/02 20:13
10F:→ concord: 是忘了以前自己说过这麽干会发生什麽问题吗.....08/02 20:13
11F:推 cqwt: 虽是1Password 老用户,但还是说一下,Chrome要查看保存的08/02 20:14
12F:→ cqwt: 密码,需要本机密码,那篇应该是旧文了,Google 很快就修正08/02 20:14
13F:→ cqwt: 了这个漏洞08/02 20:14
14F:→ concord: 更麻烦的是这问题社群炸锅超过两个月了,仍然没修08/02 20:14
15F:→ concord: 後面可以好好观察他们是一时改太大,还是已经忘了本08/02 20:16
16F:→ Aaso: 1pw 8太肥大 已跳槽买断制的08/02 20:37
17F:→ concord: 您可能已经成为 Electron 的受害者08/02 20:39
18F:推 yyhsiu: 你用提示的方式 有表示你很多网站共用密码吗?08/03 00:48
19F:推 liumang: Keepass也不错啊08/03 08:53
20F:推 panjiongkai: KeePass+1 同步交给另外的软体 分开处理08/03 12:10
21F:推 imR: keepass+108/03 12:38
22F:推 qoo2002s: 我是用Bitwarden08/03 20:15
23F:推 duck0026: 16楼买断制是哪一款?08/04 01:45
24F:推 funnyboy1104: LastPass 转 bitwarden08/04 10:29
25F:→ babylon297: 1p 最方便的功能之一:自动产生乱序+特殊字元密码,08/04 11:43
26F:→ babylon297: 不使用?还在用什麽提示一个个记,那这种软体白用了08/04 11:44
27F:→ babylon297: 除了安全键盘强迫手动输入的情况,其他我全部自动产生08/04 11:46
28F:推 huabandd: 只相信内建的,也不用safari以外的软体登入帐号08/04 14:57
30F:→ ShaoRouRou: 喜欢用浏览器存帐号密码的可以看一下08/04 20:01
※ 编辑: likeus (223.136.0.126 台湾), 09/02/2022 14:38:31
ptt 排版不易,建议大家到顶端连结观看全文 2024.12.08
※ 编辑: likeus (223.137.78.186 台湾), 12/08/2024 15:38:26