首页 技术杂谈正文

Bitwarden:一个自由开源的密码管理器

By无邪 技术杂谈 2020-05-22 07:05:05 45 0

Bitwarden

AES-256

加密

随着我们登录注册过的网站越来越多,密码管理愈发成为一个老大难问题:要么是忘了我用的是哪个手机号或者邮箱注册的账号;要么想起了账号却忘记了密码,找回密码发现“必须含有大小写字母和数字”的时候才忽然想起;要么为了方便和省事就几乎所有网站都用一个密码,结果其实自己的账号早就被挂在 Have I Been Pwned 上好久了;再或者把密码写在本本上然后不小心丢在了哪里,身家性命付诸东流...也就是因为我们记不住密码,密码管理软件也就应运而生。


密码管理器的必要性第一条就是前面回答所说的跨平台/跨浏览器了。举例来说,我同时使用windows和一部安卓手机,我在不同的设备上使用了不同的浏览器,PC使用谷歌和火狐和安卓使用谷歌。要想他们之间互通用户名/密码,只能选用密码管理器来同步。之前使用遨游的密码管理,缺点就是无法夸浏览器,安卓版的贼难用........现在有了bitwarden我已经把遨游卸了。


之前我的密码全部都是弱密码,因为好记,现在我逐步改变:以后将会是这样:


微博密码:s9eV@EmMBKALCEiY
知乎密码:ko5kSt$yGN8#P35F
A站密码:S29MB!Xmjw95v#HvmTCaSMV*HckuYJYB
B站密码:G@^%mBRQw3v24K*@nhcu5n3gB4HUjTYu


这么复杂的密码,记不住又难输入?好的密码管理软件还能自动填充账号密码,连输入都不用,老司机就是又快又稳。


7037101e854c1b54c344121e8733548d.png


Bitwarden 密码管理器的特性

以下是它的特性:

  • 提供免费和付费选择

  • 适用于团队(企业)和个人

  • 开源

  • 支持自托管

  • 能够作为身份验证器应用(如 Google 身份验证器)

  • 跨平台支持(安卓、iOS、Linux、Windows 和 macOS)

  • 提供浏览器扩展(Firefox,、Chrome、Opera、Edge、Safari)

  • 提供命令行工具

  • 提供网页保管库

  • 能够导入/导出密码

  • 密码生成器

  • 自动填充密码

  • 两步身份验证

开源可部署

这一点是我最想说的。因为在用的服务甚至全部完成了部署的私有化,可能占有欲比较强,别人私有部署的最大原因是因为被别人托管有泄露风险,这到不是我第一想法。


对于Bitwarden,这里就不得不提在现代密码学中的柯克霍夫原则(Kerckhoffs's principle:即使密码系统的任何细节已为人悉知,只要密钥 Key 未泄漏,它也应是安全的。


于是在这一密码学原则上诞生了透明式安全(security through transparency),即:即使我的全部加密算法是原理上公开的,只要你不知道密钥,你也无法破解我的密码;而公开的算法则更容易让所有人都参与进行漏洞的寻找以及算法的完善。

而 BitWarden 就将这点做到了极致。这款软件是真正意义上的“前后端开源”,不光前端的插件,应用程序,网站全部开源,连后端的同步服务器和相关的加密算法也全部开源,一方面使得每一行代码都暴露在所有人的眼睛下,接受所有人的监督,一旦可能出现问题也会第一时间被修复;另一方面也使得我们有可以自己搭建一个 BitWarden 服务器,实现数据的本地化存放和本地化服务的可能。

而其实 BitWarden 也正是鼓励我们这么做的。BitWarden 完全可以自行部署,而其后端服务的部署也相当简单。官方建议是通过 Docker 进行部署。这也意味着任何一台可以部署 Docker 的服务器都可以很轻松地部署 BitWarden 的后端同步库,对说的就是你,在那里吃灰的黑群晖3617 >v<(真是苦了你了,让你承担了这么多私有服务~~~)

7037101e854c1b54c344121e8733548d.png


开源也就给了我们更多的可定制性,既可以使用官方的服务,也可以使用自建的服务。甚至如果你是从 LassPass 叛逃过来的,还可以直接以导入的方式将密码库同步,方便的不得了。

全平台

BitWarden 支持 Windows macOS 和 Linux 三大 PC 端平台和 Android,iOS 两大手机端平台,用户也可直接访问网站进行登录,甚至其还有 Chrome,Firefox,Opera,Edge等近十款浏览器的扩展程序,还有命令行管理模式,可以说是覆盖平台及其全面的软件了。

另外关于同步,所有平台也都支持使用 BitWarden 托管在 Azure 上的服务,或者是我们自建的服务,不用担心哪个客户端不支持自建服务的问题,自建的服务和官方的服务是同等待遇。

便捷

3d84ad8eb374726dc119c155999adff0.gif


常见问题:
Q:要是Bitwarden突然被墙/倒闭/跑路/收费怎么办?
A:开源大法好,Bitwarden支持Self-hosting,也就是可以自己在VPS/NAS甚至路由器上搭一个服务端,把密码库到导入进去,完全不影响。
Q:密码库的密码忘了怎么办?
A:千万别忘,密码库为AES-256非对称加密,要是想不起来只能等以后量子计算机来拯救。
Q:Bitwarden安全吗?
A:AES加密后的数据库基本不存在被破解的可能,除非主密码泄漏,如果你不相信Bitwarden的官方托管,可以自建服务端,并审查Bitwarden的代码。

目前最流行的对称加密算法是 AES(Advanced Encryption Standard),根据密钥 key 的长度分为3个级别:128/192/256 bit。其中 AES-256 作为最高级别的算法,被广泛应用于金融、军事等领域,也被很多密码管理器采用。

有些密码管理器声称使用了军事级别等加密技术,一般就是指使用了 AES-256 算法加密。


本文标题:Bitwarden:一个自由开源的密码管理器
本文链接:https://dingqidong.com/?id=142
作者授权:除特别说明外,本文由 By无邪 原创编译并授权 无邪-blog 刊载发布。
版权声明:本文使用「署名-非商业性使用-相同方式共享 4.0 国际」创作共享协议,转载或使用请遵守署名协议。

评论

关于我们
个人博客
关注本站微信号,享受更多服务!
联系方式
电话:
地址:
Email:
邮编:
Copyright ©2019-2020.Powered by©本站隶属于黎明工作室 鲁ICP备19054880号-1

鲁公网安备 37098302000619号

本站已安全运行:
召唤伊斯特瓦尔