有人说自建密码库会被泄露,我笑了,那么我推荐这个

神超 2026-07-05 03:04 1

泄露什么呢泄露,用大厂鸡不行吗,密码存谷歌苹果别人要看你觉得就安全吗

自建不安全?怕被泄露,自建vaultwarden也是E2EE啊

行,你说不安全,存硬盘又说不方便携带,nas组raid也有自然灾害全毁的风险

u盘移动硬盘更容易坏,磁带机成本高,那么我就推荐这玩意+txt,大家觉得如何


最新回复 (42)
  • Reservoir 07-05 03:05
    1

    买个yubikey吧

  • lnbiuc 07-05 03:08
    2

    笑我吗,那很好笑了


    https://www.sangfor.com.cn/knowledge/classified-protection

  • hjkl 07-05 03:09
    3

    其实买两本 A7 记事本最实在

  • 神超 楼主 07-05 03:09
    4

    @lnbiuc #2


    我没说谁,我刚在群里聊完

  • 神超 楼主 07-05 03:09
    5

    @Reservoir #1


    这够买一箩筐光盘+刻录机了

  • Reservoir 07-05 03:10
    6

    @神超 #5

    搞个树莓派pico2,刷一个pico-fido也行

  • 神超 楼主 07-05 03:11
    7

    @Reservoir #6


    我反正是vault放在腾讯云无忧上

  • jianggaoyi 07-05 03:12
    8

    老百姓哪有什么贵的秘密值得黑客去盗取的。。现在理论上任何密码都是无效的。只是在于攻击成本和时间问题。。任何加密都有解谜的方式,时间是成本 算力也是成本,当收益高于成本,那么密码=0

  • uerax 07-05 03:15
    9

    光盘更容易坏 自建密码库是体验和安全性最高的选择了 大厂风险可太大了尤其是现在这种环境 哪天账号出问题了密码都没了 nas就别说了麻烦的很

  • astom 07-05 03:18
    10

    那我建议使用智能人工,安全的很

  • 神超 楼主 07-05 03:18
    11

    @uerax #9


    但光盘很便宜,一买就是一桶,当然是刻录多张啊,坏不完

  • sgfox 07-05 03:23
    12

    泄露了就泄露了吧,只要不是支付密码,别的也没啥好东西,黑客来了都不知道拿什么要挟我 ^-^

  • sinstar 07-05 03:27
    13

    我觉得,你们可以相信我,让我来保存你们的密码,你们想不起来的时候,私信我,我把密码告诉你 ^-^

  • gemdzq 07-05 03:28
    14

    vaultwarden基于docker部署,服务器存储包括传输的都是加密内容,全部是通过设备本地输入主密码进行解密,所以我一直用的宝塔Google Drive备份插件,每天自动备份,保留最新三十份,主密码不忘记随时可以重建。谷歌云都倒塌了那还说啥了?也可以一个月刻录一次光盘,都加上更好

  • lnbiuc 07-05 03:39
    15

    @gemdzq #14 发布于2026/7/5 03:28:39

    vaultwarden基于docker部署,服务器存储包括传输的都是加密内容,全部是通过设备本地输入主密码进行解密,所以我一直用的宝塔Google Drive备份插件,每天自动备份,保留最新三十份,主密码不忘记随时可以重建。谷歌云都倒塌了那还说啥了?也可以一个月刻录一次光盘,都加上更好


    如果拿到你服务器root,在默认的web登录页注入js记录master password,抓包拿cookie session直接登录导出密码,劫持篡改服务端API,这种咋办呢,拿到root又不一定要立即实施这些,在服务器上一直潜伏三个月,只要web登录一次他就成功了


    这里的安全指的是泄露,又不是丢失

  • Goro- 07-05 03:46
    16

    这读不放便 加密后纹身上吧

  • ciallo0721 07-05 03:49
    17

    自建不泄露主密码的情况下带2fa没那么容易泄露吧,vaultwarden存vps里面的文件都是加密的,大厂也不会闲的没事去翻用户的文件,更不知道密码,哪来的泄露一说

  • myfriend 07-05 03:52
    18

    @lnbiuc #15 发布于2026/7/5 03:39:46


    @gemdzq #14 发布于2026/7/5 03:28:39

    vaultwarden基于docker部署,服务器存储包括传输的都是加密内容,全部是通过设备本地输入主密码进行解密,所以我一直用的宝塔Google Drive备份插件,每天自动备份,保留最新三十份,主密码不忘记随时可以重建。谷歌云都倒塌了那还说啥了?也可以一个月刻录一次光盘,都加上更好


    如果拿到你服务器root,在默认的web登录页注入js记录master password,抓包拿cookie session直接登录导出密码,劫持篡改服务端API,这种咋办呢,拿到root又不一定要立即实施这些,在服务器上一直潜伏三个月,只要web登录一次他就成功了


    这里的安全指的是泄露,又不是丢失


    是有这个问题,我以前在论坛里讨论过这个问题,但是大部分不相信有这个“漏洞”。

    我关闭了web,只用app或者浏览器插件访问,稍微安全一点点点。

  • lnbiuc 07-05 03:54
    19

    @myfriend #18 发布于2026/7/5 03:52:41


    @lnbiuc #15 发布于2026/7/5 03:39:46


    @gemdzq #14 发布于2026/7/5 03:28:39

    vaultwarden基于docker部署,服务器存储包括传输的都是加密内容,全部是通过设备本地输入主密码进行解密,所以我一直用的宝塔Google Drive备份插件,每天自动备份,保留最新三十份,主密码不忘记随时可以重建。谷歌云都倒塌了那还说啥了?也可以一个月刻录一次光盘,都加上更好


    如果拿到你服务器root,在默认的web登录页注入js记录master password,抓包拿cookie session直接登录导出密码,劫持篡改服务端API,这种咋办呢,拿到root又不一定要立即实施这些,在服务器上一直潜伏三个月,只要web登录一次他就成功了


    这里的安全指的是泄露,又不是丢失


    是有这个问题,我以前在论坛里讨论过这个问题,但是大部分不相信有这个“漏洞”。

    我关闭了web,只用app或者浏览器插件访问,稍微安全一点点点。


    都是乐观主义,赶紧毁灭吧

  • gemdzq 07-05 04:00
    20

    @lnbiuc #15 那就用iOS,用官方客户端,不要用浏览器版

  • gemdzq 07-05 04:02
    21

    @lnbiuc #15 就算不自建用什么,bitwarden账号?apple账号?他们两个的密码你怎么记录呢?你自己的一个密码难道不比服务器root容易泄露吗?服务器天天都泄露那vps全部倒闭好了。。

  • lnbiuc 07-05 04:05
    22

    @gemdzq #21 发布于2026/7/5 04:02:25

    @lnbiuc #15 就算不自建用什么,bitwarden账号?apple账号?他们两个的密码你怎么记录呢?你自己的一个密码难道不比服务器root容易泄露吗?服务器天天都泄露那vps全部倒闭好了。。


    不是说全部泄露,是有泄露风险

    既然有风险就要评估风险大小,评估泄露后果,评估泄露后处理方式


    假设等会有爆出来xx漏洞,三个月前就存在了今天才发现,你检查服务器之后发现三个月前已经中招,并且这台服务器保存了你所有密码


    这时候别人有可能已经拿到你的密码,也可能没拿到,那要不要赌呢,要不要赌自己密码没泄漏呢。

    如果泄露了 全部账号换一遍密码要多少精力

  • gemdzq 07-05 04:09
    23

    @lnbiuc #22 没有觉得有任何风险,因为开源,就和Linux是开源的一样,难道处理你身份证的系统用的不是Linux?密码在你本地出去之前就已经加密了。如果这都有bug,那别的地方bug难道不会更多,毕竟他就是专门做密码管理的啊

  • gemdzq 07-05 04:10
    24

    @lnbiuc #22 一个代码开源是否有风险不是看多少人相信他,是看技术栈、代码结构的

  • lnbiuc 07-05 04:10
    25

    @gemdzq #23 发布于2026/7/5 04:09:19

    @lnbiuc #22 没有觉得有任何风险,因为开源,就和Linux是开源的一样,难道处理你身份证的系统用的不是Linux?密码在你本地出去之前就已经加密了。如果这都有bug,那别的地方bug难道不会更多,毕竟他就是专门做密码管理的啊


    @gemdzq #24 发布于2026/7/5 04:10:04

    @lnbiuc #22 一个代码开源是否有风险不是看多少人相信他,是看技术栈、代码结构的


    那你继续保持就好

  • gemdzq 07-05 04:12
    26

    @lnbiuc #25 那不然呢,难道可以更相信其他不开源的东西吗,只因为它出名?小厂商你也不敢用吧?也就只能用谷歌苹果1password什么的

  • 神超 楼主 07-05 04:16
    27

    @gemdzq #21


    其实他们说vps泄露更扯淡,vps可以把ssh改成密钥登录,非必要情况下正常人也不会把ssh一直开着吧,各大厂都有防火墙规则,通常情况下都不会一直开着ssh端口

  • gemdzq 07-05 04:17
    28

    @lnbiuc #15


    是吗,感觉攻破我的小VPS比攻破1Password的难多了吧


    你自己在帖子里说的,基于此原理你的话哪里成立了

  • gemdzq 07-05 04:19
    29

    @lnbiuc #25



    看你之前就有言论过激被封禁的前科,下次说话不要太冲也不要太着急,理性讨论谁都不会跟你急

  • lnbiuc 07-05 04:21
    30

    @gemdzq #29 发布于2026/7/5 04:19:51

    @lnbiuc #25



    看你之前就有言论过激被封禁的前科,下次说话不要太冲也不要太着急,理性讨论谁都不会跟你急


    你好像比我急,我都认同你了 怎么还追着不放呢

  • flip27701 07-05 04:30
    31

    如果拿到你服务器root,在默认的web登录页注入js记录master password


    笑死我了,居然拿服务器root前提说安全泄露漏洞

    我还以为又有什么每日重置密码小帮手呢

    都假设拿了我root权限了,我还能说什么,要不直接把密码全给他算了吧

  • seamee 07-05 05:02
    32

    @lnbiuc #15 安全都是相对的,想做到绝对安全是不可能的,对于普通用户来说,提高被入侵的门槛,再做321备份,就没什么好怕的

  • gemdzq 07-05 05:14
    33

    @lnbiuc #30 认同的话我就不用追着不放了呀

  • waterflow 07-05 05:39
    34

    知道用专门的密码管理器管理密码已经胜过90%的普通人 ^-^

    大把的弱密码还所有账户都用一个,随便一个撞库就完蛋,就这样人家也用了好些年没出过问题,建议换密码管理器只会觉得你多事……自建密码库/使用商业密码库已经是普通人的顶级防范意识了,有密码泄露问题基本是出在自己身上,跟加密货币钱包一样,防范做得再好,奈何人家直接线下搞你,人才是最脆弱的环节……

  • 别开枪我怕死-001 07-05 05:48
    35

    这群人下班后,每天抱着豆包萌妹子讲心里骚话就不怕泄露秘密啦

  • zhoubiao 07-05 05:51
    36

    大部分都是书呆子想法。。唉

  • Saltysmoke 07-05 05:55
    37

    熊追你的时候不需要你跑的比熊快,只需要你跑的比身边人快就可以了,只不过如果熊就是来追你的那自求多福吧

  • sudoerx 07-05 06:03
    38

    @waterflow #34 记得有几个商用产品 因为漏洞也出了大事😄 不抬杠的说 很多人甚至没把基础防护做好

  • 云上拾荒者 07-05 06:06
    39

    安全首先是拓展自己的认知边界,然后才是管理剩余风险。否则就会出现,出门会被车撞,所以这辈子都在家里呆着的情况

  • daniel2026 07-05 06:44
    40

    vps的管理员肯定能看你磁盘上的内容,尤其是oneman的,完全看人品了。


    自建库的话,内容放家里,然后vps上映射端口比较好。家里担心盘损坏,可以定时用tar然后openssl加密后上传到vps备份。

  • ida 07-05 06:51
    41

    何异味,你讲的是软件密钥,安全性天生不如硬件密钥比如Apple自己的密钥app

  • pursuer 07-05 12:32
    42

    说白了不要被盯上,一般不会有什么事

* 帖子来源NodeSeek
返回