关于数据仓库同步的建议

本贴最后更新于 862 天前,其中的信息可能已经时过境迁

思源的特点

思源的产品,同其他笔记最大的不同就是:本地笔记,端到端加密。最大的创新就是端到端加密和工作空间

这应该是根本。

1、端到端加密:本身逻辑就是不能无感同步

但导入密码真的是叠加了难度,还不如自己输入密码,让一般人好理解。

因此要思源无感同步就不是需要考虑的事情,既然会思源账户,你完全可以设置同思源账户一样的密码,只不过是要输入两次。

可以投票

感觉可以投票,分三种

  • 导入密码
  • 自己设置密码
  • 无感使用,利用账户密码加密

1、若无感使用者多,则可以设置就用账户密码加密。警告他们数据存在安全问题。但这样就存在数据监管的法律风险。此时可以不统计,让他们自己选用,软件开发者不要搜集这些信息。

2、若不多,感觉那就不是思源的客户,真的可以劝退了。

中国的确是有要方便不要安全的人,没有对错,只是人的选择不一样。

因此设置密码,可以让个人随便设置,简单密码就提醒,若数据出现问题,责任自负。

强烈建议:自己设置密码

赞成的希望点赞,不是为了赞,而是看多少人支持。

  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    22403 引用 • 89699 回帖
1 操作
yjmsiyuan 在 2022-07-17 09:45:42 更新了该帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • yjmsiyuan 1 评论
    作者

    引用这位发言,关于数据快照功能的一些小疑问 - pipa 的回帖 - 链滴 (ld246.com)

    pipa 4 周前 捐赠者订阅者作者

    我自己的密码,我忘了,这是我自己沙雕,数据找不回来,更多是怪自己

    但这要是平台生成的,还这么麻烦的密码,还是第二个,要是出了问题,找不回数据,作为一个普通用户,八成是埋怨平台的情绪更多一些

    实际情况中很多的人忘记密码是埋怨思源的同步设置过于复杂,需要自己设置密码等
    Ultrasonicer
  • 做到无感,不是说要方便不要安全,主要是看你是什么软件。

    这个是一个笔记软件,不是一个密码管理软件之类的。做得步骤特别多,要看大众用户接不接受,喜不喜欢。

    就算做得有感,大多数人也不敢把个人隐私,银行密码等安全信息记在思源中,毕竟打开原文件,你记啥都可以直接看到。

    1 回复
  • yjmsiyuan
    作者

    笔记软件。什么软件也设计不出来:安全还无感

    端对端加密,就说明作者、云端都没有密码,都无法看到内容。

    那么:除非是只用一个设备,否则另外一个设备咋解密???

    只要另外一个设备能解密,那么云端就必然是能够解密的。

    其他软件解决就是账号密码想办法。

    看到反馈寥寥,第三还是改为:

    利用账号密码解密!

    鱼与熊掌不可兼得!

  • Hurricane 1 1 赞同

    提一个技术上可行的方案:

    还是由用户自己设置密码(这样用户至少是能记住的,随机生成的密码如果因为一些误操作丢失了就确实无了),然后云端可以根据用户 id 保存一个随机特征向量,或者直接根据用户 id 提取一段特征向量也可以,然后根据用户自己设置的密码和云端存储的特征向量派生出加密密钥(相当于现在随机生成的长复杂密码)

    从安全性来说与现在无差别,攻击者依然需要同时拿到云端数据和一个可信的用户身份才能进行解密,攻击难度和复杂度和当前一致,只是将用户的记忆成本部分转移

    (前提是尝试解密云端数据时先进行用户账户鉴权,而不是任意非授权用户可爆破私有仓库密码)

    1 回复
  • 88250 1 赞同

    本地快照是加密的,不依赖云端账号,所以无法基于账号信息派生密钥。

    目前较为可行的方案是通过用户输入的密码短语 + 这个短语的哈希值作为盐来派生密钥,后续应该会考虑使用这个方案。

    1 回复
  • 哦哦,如果本地快照也是加密的而且是可以离线使用的那就没办法在云端存储特征向量了,其实原本云端存储是可以通过云端限制来防爆破和账号异常监控的,不过要支持纯本地加密这种的话,相当于是用户的计算机被攻破了攻击者进行本地爆破,那这个确实没办法,只能用户自己在设置的时候提高密码复杂度,那就是给充足的关于密码复杂度和脆弱性的提示就好

请输入回帖内容 ...