关于数据仓库同步的建议

本贴最后更新于 889 天前,其中的信息可能已经时过境迁

思源的特点

思源的产品,同其他笔记最大的不同就是:本地笔记,端到端加密。最大的创新就是端到端加密和工作空间

这应该是根本。

1、端到端加密:本身逻辑就是不能无感同步

但导入密码真的是叠加了难度,还不如自己输入密码,让一般人好理解。

因此要思源无感同步就不是需要考虑的事情,既然会思源账户,你完全可以设置同思源账户一样的密码,只不过是要输入两次。

可以投票

感觉可以投票,分三种

  • 导入密码
  • 自己设置密码
  • 无感使用,利用账户密码加密

1、若无感使用者多,则可以设置就用账户密码加密。警告他们数据存在安全问题。但这样就存在数据监管的法律风险。此时可以不统计,让他们自己选用,软件开发者不要搜集这些信息。

2、若不多,感觉那就不是思源的客户,真的可以劝退了。

中国的确是有要方便不要安全的人,没有对错,只是人的选择不一样。

因此设置密码,可以让个人随便设置,简单密码就提醒,若数据出现问题,责任自负。

强烈建议:自己设置密码

赞成的希望点赞,不是为了赞,而是看多少人支持。

  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    23015 引用 • 92579 回帖
1 操作
yjmsiyuan 在 2022-07-17 09:45:42 更新了该帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • 哦哦,如果本地快照也是加密的而且是可以离线使用的那就没办法在云端存储特征向量了,其实原本云端存储是可以通过云端限制来防爆破和账号异常监控的,不过要支持纯本地加密这种的话,相当于是用户的计算机被攻破了攻击者进行本地爆破,那这个确实没办法,只能用户自己在设置的时候提高密码复杂度,那就是给充足的关于密码复杂度和脆弱性的提示就好

  • 其他回帖
  • 88250 1 赞同

    本地快照是加密的,不依赖云端账号,所以无法基于账号信息派生密钥。

    目前较为可行的方案是通过用户输入的密码短语 + 这个短语的哈希值作为盐来派生密钥,后续应该会考虑使用这个方案。

    1 回复
  • Hurricane 1 1 赞同

    提一个技术上可行的方案:

    还是由用户自己设置密码(这样用户至少是能记住的,随机生成的密码如果因为一些误操作丢失了就确实无了),然后云端可以根据用户 id 保存一个随机特征向量,或者直接根据用户 id 提取一段特征向量也可以,然后根据用户自己设置的密码和云端存储的特征向量派生出加密密钥(相当于现在随机生成的长复杂密码)

    从安全性来说与现在无差别,攻击者依然需要同时拿到云端数据和一个可信的用户身份才能进行解密,攻击难度和复杂度和当前一致,只是将用户的记忆成本部分转移

    (前提是尝试解密云端数据时先进行用户账户鉴权,而不是任意非授权用户可爆破私有仓库密码)

    1 回复
  • 查看全部回帖