“login.keychain”的异地备份

我正在使用Keychain.app来管理我的所有（网站）密码，我也使用“密码助手”来生成安全的随机密码。

但显然我是偏执，我的笔记本电脑丢失或损坏，我正在使用我的所有密码，所以我正在寻找一个安全，舒适的备份选项。

特别是，备份必须是立即的（因为我正在添加新密钥或编辑现有密钥）。这可以通过注册启动代理来完成。

此外，存储应该在场外。理想情况下，这意味着Dropbox。但我是偏执狂：他们的存储可能是加密的，但理论上他们仍然可以访问我的数据。

现在，钥匙串无论如何都是加密的。但这种加密安全吗？我可以依靠这个并将备份上传到基本上公共存储吗？

1Password是您可能感兴趣的产品。似乎在速度，异地和安全存储方面打勾所有方框。此外，它还允许您在所有设备上使用它（iPhone，iPad等）。

我最终使用了加密卷和Dropbox。以下是分步指南（假设已安装Dropbox）：

1. 在中创建加密的volumne Disk Utility.app，并将图像文件保存在Dropbox文件夹中。

   1. 打开“磁盘工具”应用程序。

   2. 添加新磁盘映像：

      

   3. 将文件保存为Dropcha文件夹中的“Keychain”（扩展名将自动添加），并输入以下信息：

      

   4. 按“创建”后，系统会要求您提供密码：

      

2. 将volumne文件添加到您的登录项目，以便在登录时自动挂载该映像。

   1. 打开系统偏好设置，转到帐户首选项。
   2. 转到“登录项”选项卡。

   3. 将Keychain.sparseimage文件从Dropbox文件夹拖放到“登录项”列表中：

      

3. 创建一个启动代理，监视密钥链中的更改并将其复制到加密卷中。

   1. 打开终端（例如Terminal.app）。
   2. 切换到启动代理路径： cd ~/Library/LaunchAgents/

   3. 在该文件夹中创建一个文本文件（例如使用vim），命名该文件net.madrat.utils.keychain-sync.plist并将以下内容粘贴到文本文件中：

      <?xml version="1.0" encoding="UTF-8"?>
      <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
      <plist version="1.0">
      <dict>
          <key>Label</key>
          <string>net.madrat.utils.keychain-sync</string>
          <key>OnDemand</key>
          <true/>
          <key>ProgramArguments</key>
          <array>
              <string>/bin/cp</string>
              <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
              <string>/Volumes/Keychain/</string>
          </array>
          <key>RunAtLoad</key>
          <false/>
          <key>StartInterval</key>
          <integer>1800</integer>
          <key>UserName</key>
          <string>USERNAME</string>
          <key>WatchPaths</key>
          <array>
              <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
          </array>
      </dict>
      </plist>
      

      （替换所有出现的USERNAME登录用户名。）

      要点：此文件的文件名必须与Label字符串以及.plist扩展名相对应。如果你改变了，你也必须改变另一个。

4. 激活并测试启动代理。

   1. 在终端中，执行launchctl load net.madrat.utils.keychain-sync.plist。启动代理现已激活。

   2. 通过向钥匙串添加新密钥来测试代理，并观察Dropbox是否更新了Keychain.sparseimage文件。

Dropbox目前不支持“监视任何文件夹”，因此您必须组装第二个脚本或使用DropLink（Twitter上的@ dr0plink）等工具将文件复制到它所监视的一个文件夹中。这更复杂，更容易失败。

CrashPlan是一个更好的解决方案，因为它可以让你观看特定的文件夹（或整个驱动器）。这不太可能破坏，并且让密钥链将文件存储在它喜欢的位置。

您可以随身携带空间或设置自己的场外存储空间并免费使用该软件。还有很多其他类似于CrashPlan的产品，但由于功能，价格和支持，它是我使用和选择的产品。

不要忘记，MobileMe将允许您将这些钥匙串项目同步到云端。在您必须支付年费之前，您可以免费评估一段时间。

您将需要进行一些研究 - 正确地进行加密是非常复杂的。PGP 在基础知识方面有一些很好的引子，但你希望有人花时间来解释他们的经验，而不是过度承诺。此外 - 如果您可以自己进行加密，您的密钥就在您的控制之下，因此其他人也不会觉得有意释放它们。这是仅依赖Dropbox加密的地方让一些人在将数据发送到他们的Dropbox文件夹之前没有首先加密的地方感到失望。

没有什么是完全安全的。我试图通过使用某人的工具来缓解这种情况，这些工具可以及时修补漏洞并让我知道一旦修补了漏洞，我是否需要升级。我也试图充分了解幕后发生的事情，所以我不会犯错误，就像信任错误的密钥签名权威一样。

好消息是所有这些产品都有免费试用，所以你可以在花钱之前看看什么效果最好。

建议

我自己真的很关心阻止人们进入。我只是做尽可能多的备份，因为这是我唯一考虑的数据安全性。包括在线和离线的所有内容。但这并不是说我不会非常努力地阻止任何人进入任何地方的问题。

如果我像你一样偏执，我不相信加密，我会用自己的方式将它存储在HTML甚至TEXT中，然后将其与许多其他东西一起复制。这个想法是隐藏密码，但只有你知道要寻找什么。拿一本数字书或其他东西，只做一个你知道的简单规则，然后用它作为你的密码。例如：

快速的棕色狐狸跳过懒狗......然后死了！

这里的密码可能是：Tbjtd.D!2011- 在那里，我甚至添加了年份。最终我习惯了输入它，我甚至不需要再查看引用了。

正如我们所讨论的那样，是的，这是通过默默无闻的安全性，但这只适用于个人。如果你只想在脑海中随意选择一个字符，并且永远不会将其写下来并将其传递给任何人，那么从概念上讲它不是一个更安全的密码，因为它是不可预测的（随机性）。它只需要足够大，以防止计算能力暴力破坏它。就这么简单。

因此，如果你以一种不可预测的方式写下它并添加一个包含所有加密的蜜罐和你已经谈过的东西，但不要在那里添加你的主密码，你只需添加许多最顶层的安全层，同时做一个完美的不可能遵循只对你有意义的道路。在我的建议中写下来的重点只是作为助记设备，所以你可以记住你的密码，你可能会忘记它。

请记住，这是一个非常具体的用例，并不意味着生成数据或加密的安全措施，而是密码。

直接回答

但是如果你想依赖一些加密并且不知道你是否可以信任Keychain.app（我知道我不能），试试开源的KeePassX，这是信任加密的唯一方法，正如我所看到的那样。您可以将它与Dropbox结合使用，并通过相信您的密钥永远不会泄漏来尝试放松您的想法。

我很高兴看到你实际上找到了一个“更好”（至少如果你只使用mac）替代KeePassX（DMG），甚至能够通过LaunchAgents添加一种自动更新方式。其余基本上就是我上面所说的。

没有加密或安全措施几乎可以100％可信任，但如果你不关心对相关数据的关注，并将其集中到一个大保险柜中说“在这里，试试这里，如果你成功打开这个，你得到了一切“考虑到它确实很难打破它。