V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
glasswm
V2EX  ›  信息安全

密码管理器时代,你的密码如何安全备份?

  •  
  •   glasswm · 2021-03-18 09:56:30 +08:00 · 12245 次点击
    这是一个创建于 1106 天前的主题,其中的信息可能已经有所发展或是发生改变。

    无论是 1password 、bitwarden,总会担心云服务故障后导致的密码丢失,尤其是在 nas 自建 bitwarden_rs,挺害怕硬盘故障导致密码丢失。

    问题来了,大佬们都是怎么安全的做密码备份呢? txt 本地明文存 or 专属加密 U 盘?

    第 1 条附言  ·  2021-03-18 12:48:34 +08:00
    看完各位大佬建议,因为自建 bitwarden_rs,我准备参考 @mschultz 9 楼 @thet 33 楼 方案,从后台定时任务把 data 文件打包加密后备份到云盘 or Github 私有库。

    另外看大家推荐 keepass+触发器+云盘,这个用 keepass 的童鞋可以参考。



    另外没有自建服务的普通用户,怎么安全、自动的备份,目前还没看到好的解决方案。
    120 条回复    2021-04-02 11:16:09 +08:00
    1  2  
    loading
        1
    loading  
       2021-03-18 09:58:24 +08:00 via Android
    定期手动备份,什么手机,U 盘,网盘记得就放一个。
    虽然不是全部都是最新的,起码不是一个篮子,这样还能避免某次 bug 一次同步毁灭所有。
    yylzcom
        2
    yylzcom  
       2021-03-18 10:00:52 +08:00
    用脚本备份到 dropbox/gdrive 或者 aws
    EasonC
        3
    EasonC  
       2021-03-18 10:05:58 +08:00 via iPhone   ❤️ 2
    word 纯本地输入,pgp 加密,传到 google drive 。信不过云端密码存储
    glasswm
        4
    glasswm  
    OP
       2021-03-18 10:06:42 +08:00
    都是直接明文存吗?

    @loading
    @yylzcom
    mhqschen
        5
    mhqschen  
       2021-03-18 10:09:09 +08:00
    自建 bitwarden_rs 么就定时备份数据库呗
    ferock
        6
    ferock  
       2021-03-18 10:09:27 +08:00
    “尤其是在 nas 自建 bitwarden_rs,挺害怕硬盘故障导致密码丢失。”

    nas 还怕丢数据,显然你的 nas 数据存储很脆弱啊
    1. 用 raid 保证高可用
    2. 用快照保证可回溯
    3. 用 hy back 保证异地容灾

    不就完了?
    yylzcom
        7
    yylzcom  
       2021-03-18 10:09:34 +08:00   ❤️ 1
    @glasswm #4 之前用 keepass,现在用 bitwarden_rs, 都是备份数据库, 没有明文

    你要是想, 那就把数据库再打包加密一份(我觉得没什么必要)
    Dvel
        8
    Dvel  
       2021-03-18 10:10:05 +08:00
    现在还在用 1Password 的买断版本,存到 Dropbox 里,如果后续版本不支持本地存储的话再考虑换别的。
    mschultz
        9
    mschultz  
       2021-03-18 10:16:24 +08:00   ❤️ 2
    订阅 1Password 时,我也一直是不定期 copy 全部密码到一个 Primary 本地存储库的,该 Primary 库用 Dropbox 同步。

    现在在体验 bitwarden_rs,官方文档已经告诉你哪些需要备份了: https://github.com/dani-garcia/bitwarden_rs/wiki/Backing-up-your-vault
    无非就是 VPS 上一个 cron 任务定时将数据文件同步到其他云存储上。

    另外,极重要且不可找回的密码(就是真的密码学意义上的密码如比特币钱包密钥等,而不是登录网络账户的口令)我通常会有多处备份,包括但不限于 KeepAss 、pass 、Cryptormator 加密卷等。

    ---
    如今,在你 [没有] 被国家级别的力量针对的情况下,现代密码管理器只要正常使用就已经足够保证你的隐私安全了,所以确实更应该担心的是数据丢失而不是泄露
    Suigintou
        10
    Suigintou  
       2021-03-18 10:17:57 +08:00
    脑子+纸质
    wakzz
        11
    wakzz  
       2021-03-18 10:32:43 +08:00
    全靠脑子
    darksword21
        12
    darksword21  
       2021-03-18 10:37:16 +08:00 via iPhone   ❤️ 1
    bitwarden rs 。bash 加 cron 备份到 github private
    nigulasida
        13
    nigulasida  
       2021-03-18 10:38:11 +08:00
    谷歌密码同步。
    psirnull
        14
    psirnull  
       2021-03-18 10:43:38 +08:00 via iPhone
    最安全的存储介质就是您的大脑
    bfme
        15
    bfme  
       2021-03-18 10:48:44 +08:00
    重要的设一套,非重要的 全部用一样的密码
    Tarkky
        16
    Tarkky  
       2021-03-18 10:49:40 +08:00
    @EasonC
    兄弟,借楼问下 PGP 现在最新版多少了?有福利版么?给个下载链接?谢谢先
    glasswm
        17
    glasswm  
    OP
       2021-03-18 10:49:46 +08:00   ❤️ 2
    用大脑记的各位大佬是认真的吗?
    真能记住几十个”14 位以上的字母、数字、特殊符号随机组合”的高强度密码?
    lozzow
        18
    lozzow  
       2021-03-18 10:51:36 +08:00
    keepass + 坚果云 本地云端各一份。本地多个终端,所以基本不怕坚果云倒闭:)
    glasswm
        19
    glasswm  
    OP
       2021-03-18 10:52:38 +08:00
    已经上了 raid1,但异地容灾成本对个人有点高。
    主要还是密码相比其他数据丢失,后果更严重。
    @ferock
    ryansvn
        20
    ryansvn  
       2021-03-18 10:53:15 +08:00   ❤️ 1
    开源的 keepass,你值得拥有。
    记得触发器里面设置下多个网盘和自己本地备份另存,每次你点击保存,都是多个位置同步
    mitong3269
        21
    mitong3269  
       2021-03-18 10:53:37 +08:00 via iPhone
    @lozzow 我也是 基本这样
    titanium98118
        22
    titanium98118  
       2021-03-18 11:00:18 +08:00
    同 20 楼
    itianjing
        23
    itianjing  
       2021-03-18 11:11:49 +08:00
    safeincloud 有没有多个网盘备份的功能呀,只用了 webdav
    psllll
        24
    psllll  
       2021-03-18 11:16:04 +08:00
    keepass+OneDrive
    shenjinpeng
        25
    shenjinpeng  
       2021-03-18 11:18:20 +08:00
    ios/mac 自带的密码管理
    chrome/edge 自带的密码填充
    微软 authenticate / Google 身份验证器
    本地+私有服务器(ftp)同步的 : keeppass2
    tabris17
        26
    tabris17  
       2021-03-18 11:19:50 +08:00
    像迈克史高飞一样,纹身上
    loading
        27
    loading  
       2021-03-18 11:22:24 +08:00 via Android
    @glasswm 密码管理器都有自己的格式啊,你究竟用过没。
    lovehigh
        28
    lovehigh  
       2021-03-18 11:25:03 +08:00
    用 keepass,数据库除了本地,分别在坚果云和 google drive 上同步备份。
    GOOD21
        29
    GOOD21  
       2021-03-18 11:28:08 +08:00   ❤️ 1
    1password + dropbox + nas

    1password 同步到 dropbox,在 nas 定时从 dropbox 备份到本地
    loli
        30
    loli  
       2021-03-18 11:45:14 +08:00
    虽然有想切换的心思,但是还是在用 ENPASS
    同步我用的是坚果云
    除了同步 WIN 客户端支持自动备份到本地
    我选择备份到本地的 onedrive 文件夹
    刚看了下去年 8 月到现在备份了 59 个文件
    也不知道是修改一次就自动备份一次还是什么。
    手机客户端也是拉取到本地,我试过删除云端的数据,能用能导出。

    四端全是自动的不需要我操作什么。

    电脑 手机 坚果云 onedrive 同时全灭那我也没啥好办法
    ferock
        31
    ferock  
       2021-03-18 11:58:29 +08:00
    @glasswm #19

    异地很容易,比如群晖的 hy back 支持 webDAV 或者各种云盘。
    这就是异地了。
    Lemeng
        32
    Lemeng  
       2021-03-18 12:09:12 +08:00
    lastpass 掉链子后,还在找,继续适应
    thet
        33
    thet  
       2021-03-18 12:13:31 +08:00 via iPhone   ❤️ 1
    用 restic 备份到 AWS S3 和 b2,保留最近 7 天的快照。
    thet
        34
    thet  
       2021-03-18 12:14:23 +08:00 via iPhone
    @thet #33 密码管理用的是自建的 bitwarden_rs
    Leon1234567
        35
    Leon1234567  
       2021-03-18 12:25:03 +08:00
    1password 之类的太麻烦,把密码竟然弄成生活中的一件大事不是很扯淡吗。。。甚至还花钱。。。

    一般就是 OneNote (各类难记和不常用密码)+本子(经常强迫你修改的常用密码)+脑子(不同经常修改的常用密码)。让人恼火的是各大网站动不动就数据库被别人一锅端,个人这块就不瞎折腾了,密码起名弄得再牛逼也不好使。
    SingeeKing
        36
    SingeeKing  
       2021-03-18 12:41:58 +08:00
    使用 1Password Stanalone 版本,数据存储在 Dropbox,利用 Synology Cloud Sync 自动同步到 NAS 做备份
    glasswm
        37
    glasswm  
    OP
       2021-03-18 12:43:30 +08:00
    @loading 你说的这个应该是从后台直接拷文件和数据库?
    我说的是用 client 导出的密码库,这个我用 bitwarden 是明文。
    godall
        38
    godall  
       2021-03-18 12:44:29 +08:00
    浏览器:edge 自带的密码保存,ms 服务器总可以了吧。
    其他重要密码,keepass 本地 rar 加密 保存,NAS 备份。——nas 怎么保障安全? 2 台 NAS 异地灾备同步,再加 usb 自动备份,够安全了吗?
    mmdsun
        39
    mmdsun  
       2021-03-18 12:47:39 +08:00 via Android
    安卓手机用的微软的 Authenticator,自动备份 onedrive
    Salicylicacid
        40
    Salicylicacid  
       2021-03-18 13:02:46 +08:00 via iPhone
    万年 chrome
    glasswm
        41
    glasswm  
    OP
       2021-03-18 13:03:14 +08:00 via Android
    @ferock
    没用群晖,我是 pve+seafile 、smb,我自建 nas 主要诉求之一是数据隐私,所以容灾没考虑过公有云。
    ronman
        42
    ronman  
       2021-03-18 13:16:05 +08:00 via Android
    @Leon1234567 首先,密码本来就是一个大事,这个等哪天忘记某个密码的话就能体会。所以,能用钱把这事弄得省心又省力简直太好不过了。
    其次,你这个办法真的麻烦,明明不管常用不常用,管理器都能自动帮你填,还不用你操心记在哪里,用的时候再去翻来一个个输入。还有就是一锅端的问题,用管理器随机生成所有账户的密码的话,即便某个账户被端了,也无所谓
    Leonard
        43
    Leonard  
       2021-03-18 13:22:19 +08:00
    我就用的 iCloud Keychain,方便,免费
    EasonC
        44
    EasonC  
       2021-03-18 13:28:00 +08:00 via iPhone
    @Tarkky 9.0,版本变动不大,没什么新功能,修复了些 bug,下普通版就行
    Cavolo
        45
    Cavolo  
       2021-03-18 13:30:27 +08:00 via iPhone
    1Password 买断版本,用 iCloud 同步
    Blessing1
        46
    Blessing1  
       2021-03-18 13:32:33 +08:00
    直接同步在服务器里
    Zakun
        47
    Zakun  
       2021-03-18 13:43:16 +08:00
    1password + 找回密码
    Jirajine
        48
    Jirajine  
       2021-03-18 13:53:05 +08:00 via Android
    @mschultz 你这就太想当然了。密码管理器的信息不仅仅是密码,还包括网站、账号等信息。
    你绝对不会希望一家遵守中国法律的密码管理器提供商知道你在墙外哪些网站上有多少账号。
    TabGre
        49
    TabGre  
       2021-03-18 14:00:34 +08:00 via iPhone
    @Cavolo 现在官网没有找到买断的版本了吧,订阅是不是不能 dropbox 同步😬
    ferock
        50
    ferock  
       2021-03-18 14:05:07 +08:00 via iPhone
    @glasswm #41

    数据隐私和公有云不矛盾,备份数据本地加密后再上传不就完了?
    glasswm
        51
    glasswm  
    OP
       2021-03-18 14:09:25 +08:00
    @ferock

    恩,就跟现在密码加密后再云备份的思路一致了。

    不过密码文件还是小,nas 10 几个 T 加密后再云备份成本还是有点高。
    zzzcp
        52
    zzzcp  
       2021-03-18 14:13:37 +08:00
    服务器每天自动备份( private )+定期导出手动备份(加密)
    ferock
        53
    ferock  
       2021-03-18 14:26:20 +08:00 via iPhone
    @glasswm #51

    不是在讨论 bitwarden ?
    这货你现在有 10 几个 T ?
    Cavolo
        54
    Cavolo  
       2021-03-18 14:26:51 +08:00 via iPhone
    @TabGre 好像可以
    ferock
        55
    ferock  
       2021-03-18 14:27:06 +08:00 via iPhone
    nas 二进制文件我不考虑异地备份,比如电影,备份毫无意义
    jsjgjbzhang
        56
    jsjgjbzhang  
       2021-03-18 14:28:48 +08:00
    不备份,除非 Google 所有的数据中心全炸了,如果 Google 的数据中心全炸了,我也就没有备份的必要了
    jqtmviyu
        57
    jqtmviyu  
       2021-03-18 14:32:25 +08:00
    keepass+触发器+坚果云, 用了 3 年了吧, 3 端都能用
    shenyuzhi
        58
    shenyuzhi  
       2021-03-18 14:33:24 +08:00 via iPhone
    打印到纸上,放家里
    goodryb
        59
    goodryb  
       2021-03-18 14:39:18 +08:00
    nas 上自建 bitwarden_rs,nas 本身 raid1 + 定时任务备份到外接移动硬盘
    dallaslu
        60
    dallaslu  
       2021-03-18 14:58:57 +08:00
    定时用 GPG 加密后扔到各个云上
    SenLief
        61
    SenLief  
       2021-03-18 15:00:57 +08:00
    bitwarden_rs,每个月导出一次。懒着 cron
    anonydmer
        62
    anonydmer  
       2021-03-18 15:01:41 +08:00
    1Password + TimeMachine
    PEAL
        63
    PEAL  
       2021-03-18 15:01:48 +08:00
    千万别用 iphone 知道的备忘录!!!上次我就看看密码,看完之后关闭备忘录,下次打开发现被清空了,然后又没有备份,差点崩溃
    stark123
        64
    stark123  
       2021-03-18 15:02:08 +08:00
    基本靠脑子。

    密码类似于 Abc123@xyz,其中 xyz 是每个网站 /APP 的前 3 位字母 /拼音。
    x2ve
        65
    x2ve  
       2021-03-18 15:02:46 +08:00
    自己写了个 AES cbc 加密解密,将密文放在网络笔记里面,应该没事吧
    stark123
        66
    stark123  
       2021-03-18 15:02:53 +08:00
    @PEAL 很多人,尤其是女生,都习惯把密码存 iPhone 备忘录,然后悲剧了。
    dangyuluo
        67
    dangyuluo  
       2021-03-18 15:07:51 +08:00
    @psirnull 说梦话咋办
    followyourheart
        68
    followyourheart  
       2021-03-18 15:10:05 +08:00
    微信收藏
    tms
        69
    tms  
       2021-03-18 15:10:56 +08:00
    bitwarden_rs 自动备份到 dropbox
    xingguang
        70
    xingguang  
       2021-03-18 15:34:28 +08:00
    靠脑子,实在想不起来的时候修改密码,然后提示——新密码与旧密码不能相同
    glasswm
        71
    glasswm  
    OP
       2021-03-18 15:43:16 +08:00
    本来是讨论密码管理器的密码如何安全备份,但发现很多用脑、用纸或用 word 本地存密码的大佬,还是强推一把密码管理器,尤其是配套各种浏览器插件后的自动输入。
    tuwulin365
        72
    tuwulin365  
       2021-03-18 15:50:17 +08:00
    @glasswm 银行卡密码都只有 6 位数字,你这个有必要这么复杂吗
    to2false
        73
    to2false  
       2021-03-18 15:51:01 +08:00
    定期 rclone+onedrive
    huguadao
        74
    huguadao  
       2021-03-18 15:56:14 +08:00 via iPhone
    难道不是最重要的那个(电子邮箱)密码靠脑子+两步验证,从不上云。用这个邮箱注册的账号几乎全部都可以通过邮箱重置密码,这些我是高强度随机密码存在 enpass+icloud 同步的
    allanpk716
        75
    allanpk716  
       2021-03-18 16:02:29 +08:00 via iPhone
    说 pgp 加密丢云盘,然后你得秘钥呢? doge
    HankAviator
        76
    HankAviator  
       2021-03-18 16:06:17 +08:00
    都自建了还把关键信息传云上去…
    zayia
        77
    zayia  
       2021-03-18 16:07:55 +08:00
    目前用 enpass
    即使 nas 挂掉,在每一个设备还有本地备份,丝毫不慌
    HankAviator
        78
    HankAviator  
       2021-03-18 16:13:25 +08:00
    自己折腾自嗨=肯定很安全
    precure
        79
    precure  
       2021-03-18 16:16:30 +08:00
    bitwarden_rs 用 rclone 定时备份到 onedrive,足够用了
    mschultz
        80
    mschultz  
       2021-03-18 16:28:21 +08:00
    @Jirajine #48 是指我 #9 最后一句太想当然吗?
    当时对表述确实没多想,也许把「现代密码管理器」用词换成「 KeePass 、1Password 、Bitwarden 等主流密码管理器」会更准确地表达我的意思;

    或者说,我想说的「现代密码管理器」是指「 employ zero-knowledge policy 」、「 by design the provider cannot decrypt your data 」的密码管理器。

    话说,纯好奇,会有「保护你的密码,但是会收集你注册过的网站、账号和其他信息」的密码管理器吗?如果它居然明文收集你注册过的账号,那何必还装作好人认真保护你的密码呢?
    hbkdsm
        81
    hbkdsm  
       2021-03-18 16:32:44 +08:00
    keepassxc + 坚果云
    mschultz
        82
    mschultz  
       2021-03-18 16:39:47 +08:00
    @HankAviator #78 想了想,咱现在自嗨是为了免费享受高级版功能🤣 有的密码管理器限制设备数量,有的限制条目数量,有的同步体验不算太好,算下来自建 Bitwarden_rs 确实还是个综合性能比较好的选择。

    至于安全,完全是靠密码管理器本身的密码学设计来保证。但是密码管理器本身的设计可能保护数据不「泄露」,但是数据「丢失」问题可保证不了,所以本帖才重点讨论数据「备份」的方案呀。

    咱绝对不会自恋到说同样的后端软件,在咱手里就比在专业厂商手里更安全。
    wupher
        83
    wupher  
       2021-03-18 16:40:10 +08:00
    1password 订阅

    定时同步至 enpass 买断

    enpass 通过 WebDav 使用云盘存储
    glasswm
        84
    glasswm  
    OP
       2021-03-18 16:58:24 +08:00 via Android
    @tuwulin365 从网络攻击角度看暴露面有区别,6 位银行卡密码可不是随便一台电脑打开网页就有登陆入口。
    TimPeake
        85
    TimPeake  
       2021-03-18 17:09:32 +08:00
    chome 备份。。。其实最好用的密码备份我觉得是 ios 系统自带的那个
    Jirajine
        86
    Jirajine  
       2021-03-18 17:10:08 +08:00 via Android
    @mschultz 首先,符合你所说条件的,肯定无法在国内合法运营,所以所有国产密码管理器一概不能用。
    然后,以 bitwarden_rs 为例,其网页端获取 favicon 是通过后端服务的,也就是说服务端能够得知你存的密码的网站的域名。
    这还是开源的、经过安全审核产品,如果是闭源的,和各种小众的秘密管理器,有什么漏洞都是很难说的。
    像你说的那样随便选一个“现代密码管理器”是不足以保障安全的,你需要对自己使用的产品进行更仔细的评估。
    renvip
        87
    renvip  
       2021-03-18 17:19:45 +08:00
    safeincloud,不仅支持绑定同步盘,还可以绑定动态密码(谷歌二验类似的)
    willis
        88
    willis  
       2021-03-18 17:34:29 +08:00
    bitwaden_rs + mysql ,用脚本备用 mysql,在 rclone 备份到 dropbox
    neteroster
        89
    neteroster  
       2021-03-18 17:40:50 +08:00 via Android
    bitwarden 密码库在任意客户端都支持导出。
    glasswm
        90
    glasswm  
    OP
       2021-03-18 17:54:14 +08:00
    @neteroster #89

    主要是导出操作得手工干,而且导出后全是明文密码,一不小心被媳妇看见你的 P 站账号该如何是好。
    afirefish
        91
    afirefish  
       2021-03-18 18:01:59 +08:00
    自建服务器跑 bitwaden_rs,硬盘是 intel 的 s3610 组的 raid1,然后服务器上面定时做虚拟机全量冷备。在非不可抗拒之外,应该是不会凉了吧。
    yyj4399
        92
    yyj4399  
       2021-03-18 18:24:29 +08:00
    重要的的用脑子记,不重要的用 Chrome 密码管理器(网站类)或在线文档(其他类)。
    zxCoder
        93
    zxCoder  
       2021-03-18 18:29:10 +08:00
    设置简单的密码
    drawstar
        94
    drawstar  
       2021-03-18 18:45:51 +08:00
    不明码保存,比如王维 6 数字,自己清楚就好了
    neteroster
        95
    neteroster  
       2021-03-18 19:38:04 +08:00 via Android
    @glasswm 我是指假如服务器出问题了也可从客户端导出(通常你的手机电脑服务器不至于一起坏,已经相当于备份了),所以其实服务器没必要频繁备份。
    yytbob
        96
    yytbob  
       2021-03-18 20:07:11 +08:00
    目前的方案是使用一次买断的 1Password 授权但是不开在线云同步,使用本地 Wi-Fi Sync 即可。

    @Tarkky 如果只是加密解密文本免费开源的 GPG 足够用了,而且完全兼容原 PGP Desktop 生成的公钥和私钥。PGP 自从被 Symantec 收购以后已经好多年没有大动静了。
    yhxx
        97
    yhxx  
       2021-03-18 20:07:23 +08:00
    直接硬记
    比如 V2EX 的密码就是 v2ex+1s 再在心里加个加密方式,像在键盘上偏移一位什么的
    jyf007
        98
    jyf007  
       2021-03-18 20:35:10 +08:00
    keepass + syncthing + frp
    Fixedsys
        99
    Fixedsys  
       2021-03-18 20:46:56 +08:00
    KeePass 好顶赞!
    Nielsen
        100
    Nielsen  
       2021-03-18 21:03:34 +08:00
    「云服务故障后导致的密码丢失」,应该说根本不存在这种可能性。即便是订阅的 1Password,在每个设备上登录都有个同步的过程,只要同步过了,就相当于你在这个设备上留了份存档。

    不可能有一种故障,让客户端软件还认为是“合理地删除了”全部数据。

    除非,除非,你只采用浏览器插件这一种使用形式,电脑上不装它的主程序,手机上也不用它的 App 。那买它还有啥价值。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3228 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 11:32 · PVG 19:32 · LAX 04:32 · JFK 07:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.