自建密码管理，真的有安全优势吗

Hobostar · 发表于 2021-12-29 18:12:44

很多mjj说自建安全放心，实际上就防护水平来说个人能做到的不是比专业公司差多了吗？大部分部署都是一键脚本或者容器，用户并不知道具体操作了什么，相信大家也不会设全套防火墙再弄个堡垒机之类的。
而且从数据存放的角度看，在小鸡上自建的，数据其实都裸奔给托管商了，香水哥就是个好例子，所有母鸡都是几年不换的弱密码，建在本地设备倒是可以避免这点。
最后还有单点故障，一般人就搭在单设备上，完全没有灾备，定期备份有效但折腾，并不满足密码管理稳定易用的需求。

Hobostar · 发表于 2021-12-29 19:16:33

konololi 发表于 2021-12-29 19:12
商用才需要那么麻烦啊。
自建又不是给别人用，很多都不需要的。
况且拿到也破解不了啊，本身设计就是得按 ...

不需要吗，进了服务器，装个根证书，直接就把https解密了，你的主密码从客户端传过来对我来说就是明文

Hobostar · 发表于 2021-12-29 19:33:27

konololi 发表于 2021-12-29 19:30
不是，服务器就是看不到密码内容。

如果服务器看得到密码内容，那自建是确定的有安全优势 ...

现代点的密码管理包括bitwarden，基本都有密码泄露检查，你觉得这功能是怎么实现的？

XLove · 发表于 2021-12-29 19:02:04

本帖最后由 XLove 于 2021-12-29 19:06 编辑

数据库丢失也没事，有生之年不会被破解
https://keepass.info/help/base/security.html#secencrypt

爾乃美家累 · 发表于 2021-12-29 19:03:59

关键还是灾备之类的。数据安全不只是防备泄漏。小鸡或树莓派自己从物理上就不够安全。网盘也有可能各种理由给你账号直接封了。

yy10112001 · 发表于 2021-12-29 18:13:33

自建自家的树莓派上不就完了。你只要放在云上的都是裸奔。

XLove · 发表于 2021-12-29 20:06:55

Hobostar 发表于 2021-12-29 20:01
你得有原文才能做哈希不是吗;)

不传输原文
https://github.com/keepassxreboot/keepassxc/search?q=haveibeenpwned&type=code

这是最好的年代 · 发表于 2021-12-29 19:55:41

Hobostar 发表于 2021-12-29 19:51
The entire set of passwords is downloadable for free below with each password being represented as ...

牛头不对马嘴，你知道这网站是干什么的吗？

https://haveibeenpwned.com/About

XLove · 发表于 2021-12-29 19:45:31

Hobostar 发表于 2021-12-29 19:33
现代点的密码管理包括bitwarden，基本都有密码泄露检查，你觉得这功能是怎么实现的？ ...

each password being represented as either a SHA-1 or an NTLM hash

https://haveibeenpwned.com/Passwords

LTC · 发表于 2021-12-29 19:34:10

Hobostar 发表于 2021-12-29 19:16
不需要吗，进了服务器，装个根证书，直接就把https解密了，你的主密码从客户端传过来对我来说就是明文 ...

主密码不会被传出客户端

Hobostar · 发表于 2021-12-29 19:07:21

konololi 发表于 2021-12-29 18:59
你要弄那种123456,那怎么弄都不安全。

但是自建的能自己掌控，用厂家的就做不到，这就是安全优势。

你这开玩笑呢，商用的跳板机分权限操作和WAF这些基础，自建几百个能找出一个安排上的就不错了
最简单的例子，商业的被黑一般是从别处撞库撞上了，想直接暴力破解都没办法，因为拿不到库文件，自建的库可好拿多了

rin · 发表于 2021-12-29 18:16:01

看人吧。我觉得自己是没有。

Hobostar · 发表于 2021-12-29 18:16:23

yy10112001 发表于 2021-12-29 18:13
自建自家的树莓派上不就完了。你只要放在云上的都是裸奔。

我看很多人都是放云上

Salta · 发表于 2021-12-29 18:16:26

可以二次加密，比如通过RSA对称加密，然后输入密码才显示，这样服务商就不知道你储存的密码是多少了，其次备份问题就简单多了，做个定时备份脚本就行了，可以同步到OSS啊或各类网盘

脱氧核糖核酸 · 发表于 2021-12-29 18:18:27

不想科普了你觉得用服务安全就去用
我还是Keepass自己同步

雪丫鬟 · 发表于 2021-12-29 18:19:58

我完全靠自己的脑子。

Hobostar · 发表于 2021-12-29 18:20:41

Salta 发表于 2021-12-29 18:16
可以二次加密，比如通过RSA对称加密，然后输入密码才显示，这样服务商就不知道你储存的密码是多少了，其次 ...

放云为什么危险，可以把硬盘文件拉回去慢慢跑，记录一抹你都不知道进来过，直接把库同步各类网盘安全性就更加低了

Hobostar · 发表于 2021-12-29 18:22:06

脱氧核糖核酸发表于 2021-12-29 18:18
不想科普了你觉得用服务安全就去用
我还是Keepass自己同步

那你指教一下我列出的几点哪里错了呢？

konololi · 发表于 2021-12-29 18:22:11

鸡子上存的也是有加密的，托管商只能看到加密后的数据

不然你托管到专业公司，那些公司不也是知道你密码？

		自动登录	找回密码
密码			注册

[疑问] 自建密码管理，真的有安全优势吗

点评

点评