我们家多年来一直使用1Password ,最近用的是 1Password 7,现在已经至少过时三年了。我们不想升级到最新版本,于是开始寻找替代方案,并研究了Bitwarden 。最佳选择并不显而易见;以下是目前的情况。
重要提示:我估计大多数读者都在使用密码管理器。如果你还没有,请务必立即开始使用。你的浏览器可能内置了一个还不错的密码管理器,总比没有强。这里有一篇关于密码管理器基础知识的优秀文章。
我们的需求
它们并不豪华。家里有Mac、安卓、Windows电脑和一台iPad。我们有数百个账户(有些需要身份验证器),还有满满一篮子安全便条:政府颁发的身份证号码、恢复代码等等。
1Password7 和 8
1Password 有个很棒的功能,可以让你在不连接任何 1Password 服务器的情况下,通过多种方式在不同设备间同步数据。我们用过其中一种方式,感觉不错。1Password8 坚持要存储你的数据(加密存储,稍后会详细介绍)。这一点一直让我很担心,因为很明显,这个数据存储库是所有坏人(从中国政府雇员到技术高超的毒枭)的首要目标。
因此,我们一直忽略 1Password 越来越恳切的提醒,即我们使用的软件已经过时多年,仍然在勉强使用 7 版本。但是,今年年初,他们破坏了 Android 应用上的同步模式,并且非常直白地告诉我们,恢复同步的唯一方法是升级到 1P8。
替代方案
市面上有很多密码管理器(我们简称“密码管理器”),但作为一名经常关注密码管理器市场的观察者,我认为 1Password(以下简称“1P”)和 Bitwarden(以下简称“Bw”)脱颖而出,成为行业翘楚。本文余下部分将重点介绍这两款产品。如果您认为我的观点有误,请在下方留言并说明理由。
请注意,Bw 有两种版本:一种是由同名公司提供的订阅服务,另一种是您可以自行构建和运行的开源软件套件。
这并不是说浏览器和操作系统中开始内置的PM(个人项目管理)毫无价值或不重要,只是说我们中的一些人需要更多一些功能。
威胁模型
两点显而易见。第一点是能力不足,比如LastPass ,他们显然给那些我前面提到的坏人敞开了大门。简直是一场噩梦。
第二种方式是法律强制,即政府向产品管理服务提供商施压,迫使其交出我们的机密信息。任何认为政府不会尝试这种做法的人都是在自欺欺人,因为他们已经多次表示想要这样做,并且急于通过像《云法案》这样考虑不周的立法。因此,我们非常关注这一方面。
1P vs Bw:安全性
我认为它们都具有可接受的良好安全态势;请查看Bitwarden 安全白皮书和关于 1Password 安全模型的相关内容。
他们都提供将您的数据托管在美国境外的服务,具体来说是在加拿大或欧盟。
但是,坏人或不良政府获取你的密码库其实并不那么重要;重要的是他们能否解密。我不是信息安全专家,但我认识一些,也经常听取他们的意见,这两种安全措施都让我感到安心。它们如此相似绝非偶然。
真正的威胁并非在于对手破解了加密技术;这种情况发生的可能性极低。而在于他们找到办法迫使密码管理供应商在其软件中植入后门,从而获取密钥和密码。因此,如果Bw和1P中的任何一家或两家能够发布授权通知,我会感到非常欣慰。
但我认为Bw略胜一筹。首先,因为你可以自己搭建和运行它,前提是你愿意承担运行一台安全要求很高的服务器的责任。(我不愿意。)
源代码开放可能带来第二个,而且我认为更重要的优势:如果他们能够实现可复现的构建,你就能确保下载的代码就是他们服务正在运行的代码。这可以缩小攻击面。(当然, 并非完全消除。)可复现的构建很难,但如果他们做到了,对我来说意义重大。
另一方面,Bw 的软件开发流程普遍采用了 GenAI ,尤其是 Claude。在这些技术发展到目前阶段,这让我感到不寒而栗。平心而论,1P 的网站宣称它正是智能体安全解决方案,但我们并不清楚这究竟意味着什么。而且,我们对 1P 的内部软件开发流程一无所知。
1P 对阵 Bw:完美收官
1P 胜出。问题是,它们是否总能在需要时弹出,而不会在不需要时消失?它们能否自动填写所有需要填写的登录字段?弹出窗口是否只显示你需要的信息,而不会显示任何无关内容?我两种都用过,1P 的确更好。
商业问题
这两家公司也差不多是被砍掉了。它们都获得了大量风投,因此将面临巨大的压力,不得不进行“洗白”。我对此不太担心,因为据我了解,并没有太多的锁定条款。
我也有过类似的经历:我最近把 1P 里的所有内容导出到 Bw 里,一切都很顺利,尽管我把所有东西都放到了一个名为“无文件夹”的文件夹里,但我不知道该如何重命名它。
Bw 和 1P 都是订阅制产品,价格在我看来还算合理。
死亡与康复,以及笔和纸
我在查阅相关资料时,多次提到丢失私人邮箱后如何恢复访问权限的问题。举个例子,这个问题可能非常重要:我去世了。我的妻子需要访问我的银行账户、工作邮箱等等。
有人(我找不到链接了)对一位产品经理建议把密码写在纸上作为最后的办法感到震惊,但我可以告诉你,他们错了。我妻子有一个信封,里面装着一张纸,上面写着我的PM和Mac密码、手机密码,以及一些其他她可能在我突然离开时真正需要的秘密信息。我不知道她把纸放在哪儿了,但她很聪明,所以我并不担心。
你也应该做类似的事情。
我们该怎么办?
我们已经支付了一年的Bw和1P会员费。目前,我们更倾向于1P,因为它更完善一些。这一点很重要,因为我每天都要多次使用我的PM(产品经理)。另外,他们也算是加拿大公司。
如果您认为我们遗漏了什么,请务必告知我们。
原文: https://www.tbray.org/ongoing/When/202x/2026/04/09/Password-Manager-Angst