自建密码管理，真的有安全优势吗

abc.xyz

Hobostar 发表于 2021-12-29 18:39
说的有道理，但自建的设备通常都是多服务非隔离的，弱点比较多，可能人家就想找个肉鸡，正好进去了，看到 ...

为什么要托管在VPS上？
现在大多少人都是有x86软路由或者NAS，我个人家里是有个小主机PVE虚拟跑Op，再虚拟个Debian跑服务，里面有装Bitwarden服务端。
或者NAS都有docker环境，直接docker Bitwarden也不错啊。

hitachi

Salta 发表于 2021-12-29 18:16
可以二次加密，比如通过RSA对称加密，然后输入密码才显示，这样服务商就不知道你储存的密码是多少了，其次 ...

RSA 是非对称

konvefon

加密到图片就是了，谁知道你怎么加密的，放GitHub都没事儿

Hobostar

Pineapple 发表于 2021-12-29 19:33
可以尝试了解一下Bitwarden的PBKDF2加密算法。
给你进了服务器把库拉下来你也破解不了。 ...

lasspass也是PBKDF2，不影响它名声臭

这是最好的年代

Hobostar 发表于 2021-12-29 19:33
现代点的密码管理包括bitwarden，基本都有密码泄露检查，你觉得这功能是怎么实现的？ ...

这是用Hash实现的，你以为检查密码是否泄露就一定得把密码明文发给别人？

https://zh.wikipedia.org/wiki/%E6%95%A3%E5%88%97%E5%87%BD%E6%95%B8

TulvL

Hobostar 发表于 2021-12-29 19:37
lasspass也是PBKDF2，不影响它名声臭

LastPass名声臭是因为用户数据库被盗走了，但猜不出主密码攻击者还是无法获得密码

现在有用户怀疑LastPass的主密码有泄露，目前真实性还没有足够依据

密码泄露提示可以比较密码的哈希，不需要传输明文

XLove

Hobostar 发表于 2021-12-29 19:33
现代点的密码管理包括bitwarden，基本都有密码泄露检查，你觉得这功能是怎么实现的？ ...

each password being represented as either a SHA-1 or an NTLM hash

https://haveibeenpwned.com/Passwords

hitachi

Hobostar 发表于 2021-12-29 19:07
你这开玩笑呢，商用的跳板机分权限操作和WAF这些基础，自建几百个能找出一个安排上的就不错了
最简单的例 ...

你的论点是建立在信任第三方的基础上。如果这个前提不牢固，那么完蛋。
跳板机和应用防火墙带来的可能只是「虚假的安全感」。

自建的优势是避免信任任何实体。发挥这个优势需要足够的专业知识。

如果水平不够又不肯虚心学习，当然建议买现成的。

Salta

hitachi 发表于 2021-12-29 19:36
RSA 是非对称

AES 搞错了，哈哈

mika.

自建的不都是随机密码么，怕什么