TARESKY

1Password 家庭拼车的巨大风险,和正确使用方式

希望是我火星了 —— 1Password 的家庭拼车权限管理,可能和你以为的不一样。

Table of Contents

巨大风险: 家庭组织者(默认是拼车发起人)有权管理 家庭成员 私人保险库 之外的所有保险库。这一点,作为 家庭成员,从 App 或者后台页面都是无从知晓的。很可能你新建了一个保险库,没有共享给任何人,以为只有你自己能访问,实际上发车人也能访问。

正确使用方式: 所有成员只使用“私人保险库”,不再创建新的保险库,因为它默认会被共享出去。

补充访客权限: 发现 1P 家庭版中多了一种新的账户类型:访客。和家庭成员的区别是:访客只允许拥有一个“共享保险库”。一个家庭套餐最多可以邀请 5 名访客,访客也拥有“私人保险库”。所以实际上,家庭成员和访客没有区别,一个家庭车可以容纳 10 名乘客。—— 如果你仍然坚持这样用的话。


不说了,我去提醒朋友删库了 😮‍💨


补充讨论

1)简单粗暴的说拼车是因为穷,没有安全意识,是很轻松的。但同时容易产生滑坡谬误,也容易带偏真正的问题所在。

  1. 合买套餐,和共享账号不同。人在使用独立账号时,不会有信息泄漏的预期。
  2. 基于 1,我不认为和现实里认识的朋友拼软件有什么问题,至少不是安全意识的问题。
  3. 即使是夫妻使用,1Password 这样的默认设置项也不对。
  4. 如果是团队套餐,团队成员能意识到这点吗。没有作为管理员使用过团队版,不确定是否有更详细的权限管理。毕竟同事之间共享不同业务的密码库更常见。

2)这不是常识吗?还有什么好讨论的?

  1. 对我来说不是常识,在此前只看到过管理员可以删掉成员密码库的讨论,没有看到过管理员可以查看成员密码库的说法。
  2. 从讨论结果来看,很多人和我一样。所以讨论的意义很明显了。

3)其他密碼庫的共享功能是 Feature,是你不会用。

  1. 创建密码库的过程中,没有提到过会被默认共享。甚至在管理界面上明确展示 —— 只有自己一个人才有权限。
  2. 习惯根据使用场景创建多个密码库的人很多,不一定要使用共享功能。
  3. 即使使用共享功能,也不应该默认必须和管理员共享。假设一家四口我只想和部分人共享密码库是很正常的需求。
  4. 即使会被共享,也应该有足够的提醒,目前是完全没有的。

Thx to Interstellar ,附 1Password 官方人员相关讨论:https://1password.community/discussion/123643/families-multiple-private-vaults