Bitwarden 密码管理软件相关介绍

Bitwarden Password Manager

当你的网络账户密码达到成百上千的数量时,密码的维护工作就显得迫在眉睫。很多的web账户,App账户、各种账户,密码太多,不方便记,这时就需要一个工具进行统一同步管理。比较理想的工具就是跨平台,支持各种操作系统,可以随时随地的存取。这里聊聊开源的Bitwarden软件。

使用密码管理工具的安全警告

  • 没有绝对的安全,也没有绝对的便捷。在安全和便捷之间做一个平衡。
  • 尽量不要将银行卡、身份证等重要密码托管在 bitwardens 或者其他密码托管平台上,防止出现安全事故。
  • 可以托管web网络账户、内网应用账户等。
  • 必须加强服务器的安全防护措施
  • 密码必须本地和服务器端各存一份,以降低风险

 

Bitwarden简介

Bitwarden 是一个安全的开源密码管理器,具有大量额外功能。我测试了 Bitwarden 的所有功能的安全性和可用性,它表现非常好。它实际上是市场上高级用户的最佳选择之一,和知名度非常高的1Password等竞争对不相伯仲。

Bitwarden 拥有我期望从高级密码管理器获得的所有安全工具,包括强加密、双因素身份验证 (2FA)、密码安全审计、密码泄露监控以及云或本地托管选项。可以让您安全地将敏感信息和文件发送给非 Bitwarden 用户。

Bitwarden的缺点:

  • 用户体验上稍微差了一点点,从浏览器或其他密码管理器导入密码有点棘手,与其他用户共享和同步密码库非常复杂,自动保存和自动填充可能很笨拙。
  • UI界面不是特别直观。
  • 服务器WEB端裸露在公网上,无法隐藏服务器Home地址

对于精通技术的用户和预算有限的用户来说,Bitwarden 是一个不错的低成本选择 ——它高度安全,可以很好地处理基本的密码管理,有几个非常有用的附加功能,而且部署成本低廉。建议有一定技术实力的可以自己在服务器上搭建。

 

Bitwarden安全性探讨

Bitwarden的官网写得很清楚,无论是官方还是自建,数据库保存的数据都会使用该帐号的“主密码”字段来加密,就是说只要你的主密码不被泄露,无论是服务器主人还是得到数据库的第三方,都无法得到你保存在数据库里的信息明文

第二个问题是,如果被中间人攻击,劫持了流量破解了ssl证书加密过的信息,是不是我在上传密码到bitwarden服务端过程中的流量会被破解成明文?

也不会,用过bitwarden网页端或者客户端的可能注意过设置里的“指纹短语”,这是一串用于客户端和服务端交换信息使用的加密字符串,原理上就是端对端加密,本地客户端如果要上传一段新的密码到服务端,会在本地将信息使用“指纹短语”加密,服务端接收后使用相同的指纹短语解密,因此即便在流量传输的过程中被劫持被破解,拿到的也是被指纹短语加密的信息,不会造成明文密码泄露。

 

Bitwarden 使用 256 位 AES 加密(世界各地的银行和政府使用的加密相同)确保用户数据安全,因此您可以放心地将信息存储在 Bitwarden 的云服务器上。但是,如果您担心您的数据在云中受到损害,Bitwarden 还提供本地数据存储(自托管)选项。对于精通技术和注重安全的用户来说,这是一个不错的选择,但 Bitwarden 的服务器实际上比大多数用户的本地网络更安全,因此本地存储不是大多数用户需要担心的事情。

Bitwarden 还是一个零知识密码管理器,这意味着公司的任何人都无法访问或查看您的 Bitwarden 保险库中的数据——您是唯一知道您的主密码的人,因此也是唯一可以解密您的 Bitwarden 保险库的人。就安全性而言,这是一件好事,但这确实意味着,如果您忘记了主密码,您将无法访问所有密码——因为与某些竞争对手(例如LastPass )不同,Bitwarden 不提供任何帐户恢复服务选项。也就是说,如果您在另一台设备上设置了生物识别登录或启用了紧急访问,您仍然可以访问您的保险库,此外还有一个选项可以为这种情况设置主密码提示。

Bitwarden 还拥有其他高级密码管理器具备的所有安全工具和功能,例如:

  • 多个双因素身份验证 (2FA) 选项。
  • 密码生成器。
  • 密码共享。
  • 密码审计和违规监控。
  • 紧急访问。

 

Bitwarden特性功能分析

密码库

Bitwarden 有一个实用的保险库,可让您存储密码和大量其他信息。但是,它不像许多其他密码管理器那样直观,而且它的一些组织功能非常笨拙。Bitwarden 的保险库允许您存储 4 种主要类型的数据:

  • 登录。
  • 身份。
  • 信用卡。
  • 安全笔记。

这些条目中的每一个的表单都有相当数量的字段——所有你想要的标准字段,加上一些自定义选项。还有创建文件夹的选项,这样您就可以让您的保管库井井有条,这是一个很好的功能。但是,我没有发现 Bitwarden 的保险库特别直观或易于使用。我更喜欢其他密码管理器的保管库,例如RoboForm,它拥有市场上最详细的保管库之一,其模板几乎适用于您能想象到的每一条数据,或者1Password,它具有我最喜欢的可用性和安全保管库之一容易组织。

Bitwarden 在其所有计划中都包含一个名为 Organizations 的共享保险库选项——但我发现这个功能在我的测试中特别不直观。创建一个组织并与您选择的人共享它很简单,但管理其中的数据有点麻烦。例如,管理您的主保管库和组织之间的登录只能通过网络应用程序,而不是桌面或移动应用程序,并且从组织中移动条目似乎是不可能的——您必须克隆一个副本以保存在您的主保险库然后删除原始文件,这看起来很疯狂。

总的来说,Bitwarden 的密码保管库可以满足您的基本需求——它有空间存放您的所有密码和其他敏感信息。但它是密码管理器市场中最没有吸引力和最不直观的设计之一,因此对于想要一款流畅、简单、点击即用型密码管理器的人来说,Bitwarden 可能不是最佳选择。

双因素身份验证 (2FA)

Bitwarden 提供出色的双因素身份验证 (2FA) 选项。启用后,2FA 意味着您需要在登录该帐户时提供密码和第二种验证方式。这为保护在线帐户提供了一个重要的额外保护层,因为它可以防止其他人访问您的帐户,即使他们以某种方式获得了您的密码。Bitwarden 支持一系列不同的 2FA 选项来提高您的 Bitwarden 保险库的安全性,包括:

  • 使用 Authy 或 Google Authenticator 等身份验证器应用程序。
  • 通过电子邮件获取一次性代码。
  • 生物识别登录(在兼容设备上)。
  • USB 安全密钥,如 Duo 和 YubiKey(仅限Premium)。
  • 高级用户还可以获得一个集成的 TOTP(临时一次性密码)验证器,您可以使用它来登录保存在您的保管库中的兼容帐户。大多数顶级密码管理器现在都集成了 TOTP 身份验证器,但并非全部——Sticky Password和Password Boss尚未包含此功能。

这个功能简单易用,也很方便。Bitwarden 向您展示了您保险库中所有与 TOTP 兼容的帐户,并解释了如何设置它。我可以毫不费力地将 Bitwarden 与我的 PayPal 帐户上的 TOTP 2FA 同步,一旦设置好,一个安全的 6 位数密码就会每 30 秒自动生成一次。Bitwarden 的移动应用程序和浏览器扩展程序随后会自动复制此 TOTP 代码,以便您可以轻松地将其粘贴到所需的登录字段中。

Bitwarden 的 2FA 选项非常好,我喜欢它还支持 USB 密钥——其他竞争对手,包括Dashlane,仅通过身份验证器应用程序和 TOTP SMS 代码启用 2FA。我还认为 Bitwarden Premium拥有自己的 TOTP 身份验证器很棒,因此您可以轻松增强在线登录的安全性,而无需使用第三方身份验证器。

 

密码生成器

Bitwarden 的密码生成器使用简单且有效 ——它使用户能够生成随机的数字、字母和符号字符串,或者创建易于记忆的密码短语,如correct-horse-battery-staple。 它还可以选择生成用户名——其中可以包括您的电子邮件地址的一部分,或其他定义的选项。并非所有密码生成器都有这么多选项。Dashlane只生成随机密码,所以我喜欢 Bitwarden 的这些附加功能。

我也喜欢 Bitwarden 可以生成 5 到 128 个字符长的密码。默认密码长度为 14,这没问题,但我建议您的密码至少长几个字符。我还认为您可以选择从密码中排除不明确的字符,这很酷,尽管这不是太重要,因为您实际上不必记住密码(不过,这是一个不错的做法!)。
使用 Bitwarden 生成密码并复制粘贴它们很容易,但我在让 Bitwarden 自动保存这些新登录时遇到了一些麻烦。在我的测试期间,Bitwarden 没有自动保存我刚刚生成的几个密码,因此我不得不手动将新登录名复制粘贴到我的保管库中。这并不太耗时,但考虑到1Password和Dashlane等竞争对手可以快速轻松地自动保存密码,这绝对是我希望 Bitwarden 做得更好的事情。但是,Bitwarden 还允许您查看生成密码的历史记录,如果自动保存不起作用或您忘记保存密码,这将非常有用。Dashlane也有这个功能,但很多密码管理器没有。

总体而言,Bitwarden 使创建超强密码或密码短语变得非常简单。我认为 Bitwarden 的密码管理器有很多自定义选项很棒,我特别喜欢它可以生成长达 128 个字符的密码。

 

分享敏感信息——发送

Bitwarden 有一个很棒(且独特)的功能,可以轻松安全地与任何收件人共享敏感信息,称为“发送”。发送功能内置于 Bitwarden 的网络仪表板、浏览器扩展、移动应用程序和桌面应用程序中,它允许您快速共享文件(在桌面上最多 500 MB,在移动设备上最多 100 MB)和文本信息,其中可能包括密码、笔记或其他敏感数据。

此功能的一大优点是收件人不需要 Bitwarden 帐户。大多数顶级密码管理器,如Dashlane和1Password,都提供安全共享功能——但接收者需要一个帐户才能访问它们。发送在其他方面也与这些功能完全不同。

您可以在 Bitwarden 保险库的特定部分创建和存储“发送”。当创建一个新的“发送”时,您给它起一个名字,写下您希望收件人看到的文本和/或附加您希望他们能够访问的文件,从一系列与访问相关的选项中进行选择,然后点击节省。Bitwarden 然后为这个特定的“发送”生成一个唯一的 URL,该 URL 托管在其安全服务器上,您与之共享该链接的任何人都可以访问它。

此功能是向公司或其他第三方发送敏感信息的特别好方法,因为这意味着它不会无限期地保留在他们的电子邮件帐户中。在创建您的“发送”时,您可以限制它可以访问多长时间,以及限制它可以访问的总次数。您还可以对其进行密码保护,这意味着只有同时拥有 URL 和密码(您将单独发送)的收件人才能访问。

我真的很喜欢这个特性,但它只提供对单个静态数据的访问。如果您希望与其他用户共享和同步整个文件夹或保险库,或者共享您的朋友可以自动用来登录帐户的密码,您需要使用 Bitwarden 的组织功能,它更像是传统的密码管理器共享特征。

 

密码共享——组织

Bitwarden 还具有更传统的密码共享功能,类似于Dashlane和LastPass提供的功能。此功能允许您与朋友和家人共享您保险库中的登录信息和其他详细信息,但他们需要一个 Bitwarden 帐户才能查看、访问和使用所有数据。

Bitwarden 的共享功能通过 Organizations 发挥作用——这基本上是一个共享的保险库。您首先创建一个组织并添加您想要共享的所有密码和其他数据。然后,您向您选择的收件人发送邀请,并选择他们的访问级别——包括他们是否可以访问和修改整个保管库,或者他们是否只有只读访问权限。还有隐藏密码的选项,这意味着他们可以使用它们登录,但不能读取它们。

您还可以在您的组织内创建集合——这样可以轻松组织您的登录以及谁有权访问什么。例如,如果您使用组织与您的家人共享密码,您可以将每个人都可以访问的项目分组到一个集合中,并为您想要与您的伴侣而不是您的孩子共享的敏感信息创建另一个集合。

Bitwarden 的免费和高级计划均包括 1 个免费组织,您可以在其中存储无限量的物品。但是,您只能创建 2 个收藏集并与 1 位其他用户共享项目。如果您想与更多用户共享,您可以升级到家庭计划,这样您就可以创建无限数量的组织、无限的收藏,并且最多可以与 6 位不同的人共享。希望与 6 人以上共享密码的用户需要升级到 Bitwarden 的业务计划之一。Teams 和Enterprise计划提供可包含无限 Bitwarden 用户的组织。

虽然我喜欢共享保管库带来的便利,但在用户之间设置组织和收藏有点麻烦,而且它提供的选项有点受限。其他顶级密码管理器,如Dashlane,提供更加直观和灵活的共享体验。另外,如果您想与多个用户共享登录信息,则必须升级到家庭计划。另一方面,Bitwarden Families允许在多达 6 个用户之间进行全面的共享保险库管理,并且比竞争对手便宜得多。

密码审计和违规监控

Bitwarden 提供多种密码审核工具,以尽可能确保您的保险库安全。这些“报告”都提供了有价值的信息,可帮助您分析密码库的不同方面。以下是 Bitwarden 的密码审核检查的内容:

暴露的密码。检查违规数据库中是否有任何已保存的密码。
重复使用的密码。扫描您的保管库以查找重复的密码。
弱密码。在您的保管库中标记简单密码和弱密码。
不安全的网站。如果您在使用不安全的 HTTP 协议而不是更安全的 HTTPS 协议的站点上拥有帐户,则会发出警告。
无效的 2FA。突出显示您的保管库中支持 2FA 登录的帐户,您可以使用 Bitwarden TOTP 身份验证器设置该帐户以获得额外的安全性。
数据泄露。检查您的任何电子邮件或用户名的违规数据库,以查看它们是否已被泄露。
数据泄露监控包含在 Bitwarden 的免费计划中,但您需要升级到高级版才能访问所有其他报告。这是一种耻辱,因为像Dashlane这样的竞争对手免费包含此功能。也就是说,Password Boss和其他公司也对其密码审核工具收费,而 Bitwarden 的计划至少是一个非常合理的价格。

Bitwarden 的密码审计功能运行良好——它在我的测试中发现了所有弱密码和重复密码、不安全的站点、不活跃的 2FA 和被破坏的登录,所以我很容易看出我应该更改哪些密码。

我唯一的抱怨是 Bitwarden 没有实时的违规监控——像Dashlane 和Keeper这样的竞争对手会在用户的敏感信息出现在暗网上时自动通知用户,而 Bitwarden 只会在你进行手动搜索时进行检查。但是,如果您定期检查在线帐户的安全性,这应该不是问题。

总体而言,Bitwarden 的保管库健康报告使您可以轻松监控登录强度并更改弱密码或泄露密码。

 

紧急访问

Bitwarden 为高级用户提供紧急访问功能。这是一项重要功能,可让您的亲人或其他可信赖的联系人在紧急情况下访问您的密码,我很高兴看到 Bitwarden 提供此功能。

Bitwarden 的紧急访问易于设置和使用。从您的主帐户设置中的紧急访问选项卡,只需点击 +添加紧急联系人,输入您选择的联系人的电子邮件地址,并定义他们的等待时间和访问级别。他们将收到一封电子邮件通知,如果他们还没有,则需要创建一个 Bitwarden 帐户才能接受邀请——但受邀者一个免费帐户就足够了。一旦双方接受并重新确认可信联系人,就会创建并存储一个加密密钥(链接到您的紧急联系人的电子邮件地址和 Bitwarden 帐户),这使您的保险库能够在紧急情况下解密。

如果/当您的联系人需要访问权限时,他们只需在他们的 Bitwarden 帐户中请求,如果您不手动接受或拒绝请求,他们将在指定的等待时间过后自动获得访问权限(您将在首先设置可信联系人)。您还指定您的联系人将被授予的保管库访问级别:查看(他们可以读取/查看您保管库中的所有项目)或接管(他们创建一个新的主密码并获得对保管库的完全控制权)。

总的来说,这是一个很棒的功能,易于设置,完美运行,让您更加安心。大多数密码管理器都有类似的功能,尽管Password Boss允许您选择与特定联系人共享的特定密码,而不是自动共享整个保管库,这是一个很好的自定义级别,我希望看到更多密码管理器提供。

 

本文由作者 TomyTang 发布在 TNEXT , 转载请联系客服授权处理,获得授权后请保留文章的完整性并附上原文链接: https://tnext.org/8637.html

16
无限制访问资源 | 下载VIP专享资源 | 享受VIP会员专区优惠折扣 | 会员独享专栏| 去除广告| 会员订阅更多详情说明 订阅会员
      error: Content is protected !
      TNEXT
      Logo