今天看到论坛很多人讨论 Bitwarden
主要有以下几个观点:
1,自建可以选择香港等延迟低的服务器这样速度快
2,支持各种高级版功能,而且备份方便
3,自建的话维护起来比较麻烦
4,为了方便使用,最好还得使用域名进行访问
5,自建虽然麻烦但是不用花费 10 美元的订阅费用
bitwarden.top
bitwarden 介绍
https://bitwarden.top/
bitwarden.cool
独立域名提供 bitwarden 服务
https://bitwarden.top/
先说说我的密码软件使用经历
我最早用的是
keepass
开源安全就是同步不方便
之后换成了 SafeInCloud
各个平台 Mac iPhone Android 得单独付费购买
相比 keepass 不支持双因素加密
电脑端界面简陋而且不开源
还有 1Password Enpass 也用过每年都得付费订阅价格贵
于是又换成了 LastPass
不开源但是官方说看不到用户的密码的
毕竟是知名的密码厂商那就只能相信厂商的信誉了
之后 LastPass 卖给了别的公司
前段时间被安全团队爆出内置多达 7 种**
LastPass 被收购后的各种动作导致了许多用户转移走了
最近又改变了收费政策
很多人也都选择了安全开源支持全平台的 Bitwarden
看很多人推荐评价也非常高
我也把密码从 LastPass 导出后导入到 Bitwarden
这些天试验了 Android,iPhone,chrome,Firefox 浏览器扩展
各方面体验确实不错
很多人嫌自己搭建麻烦
而且还要准备自己的服务器
服务器一年下来费用也不少
而且服务器还得每天备份经常更新
而且自建的服务器的话用 ip 访问不太方便
还得配置域名和证书
本站用的域名是 bitwarden.cool
域名就是 bitwarden
后缀选的是 .cool
不仅酷而且和库的读音一致
用做 bitwarden 密码库
确实非常合适和好记
我主站用的是
bitwarden.top
用来更新一下新的教程文章等
把 bitwarden.cool 拿出来专门作为密码服务
这样就比用二级域名好一些
比如官方用的就是这样的地址
vault.bitwarden.com
由于国外的消费比较高这个定价就不贵
官方的专业版一年是 10 美元
折合人民币大约就是 66 块钱
如果不嫌贵的话大家用官方的服务就行
除了服务器在国外同步的时候慢点其它都还好
我正好自己要长久用下去
所以注册了域名和服务器
有愿意用 bitwarden 的
嫌自建麻烦又希望价格能便宜些的
可以选择使用 bitwarden.cool
赞助 12 得 1 年
一年 12 块钱下来一个月 1 块钱
都说免费的才是最贵的
免费的 LastPass 内置 7 种**
就是为了挖掘用户数据从而获利
所以适当收点费就是为了更长久运行下去
而且服务域名 bitwarden.cool 好记
还有服务器在香港延迟比官方低不少
关键是 bitwarden 的优点就在于零信任全加密
这点和别的软件不一样
即使是服务器管理员是个坏人想偷你的密码也偷不到
所以即使服务器被黑你的密码也是一堆加密的数据库乱码
同时你的每个手机电脑和客户端都有一份加密的离线密码库
就算是自建的服务器关了或者盘坏了数据丢失
你的设备里面都可以导出备份出来你所有的密码库
这样也不用担心万一 bitwarden.cool 啥时候无法访问
你的密码资料也不会丢
所以 bitwarden 的零信任加密设计优点就在于
就算是用第三方提供的服务也不怕密码泄露数据丢失
服务器只负责存储同步你设备加密后的数据库
假设服务商会作恶员工会被收买的情况下保证数据安全
国外有个网盘 Mega 说是网盘内容也是在本地加密后上传的
但是其客户端相关代码并不是完全开源的
Mega 之前被黑过一次
在被问及到此次入侵活动的主要目的时
该黑客组织则表示:
“使用一款没有完全开源的工具绝对是非常不科学的。”
是不是目的就是为了让 Mega 完全开源呢?
可见密码服务相关的开源是很重要的
著名的密码服务商 LastPass
也说是密码在本地加密后再上传到服务器的
但是呢 LastPass 是不开源的
用户们只能选择信任
同时希望服务商珍惜自己的信誉不作恶
到底还是无法验证是不是如官方所宣称的那样
服务器数据库上是不是看到的只是一堆无法解密的乱码呢?
最近LastPass 宣布
免费用户将只限于一种设备类型
起售价为 3 美元 / 月
LastPass 这项措施引发的争议
之前 LastPass 经常无法登录而且没有英文版大家都能忍
但是现在收费了价格也不便宜
加上前段时间安全研究人员在
LastPass 当中发现 7 个**后建议不要使用这款应用
所以很多用户开始转移到
Keepass BitWarden 这样的开源密码管理工具上了
因为我也是 LastPass 之前付过费的老用户
迁移到 bitwarden 后感觉很不错
所以我也就有了这两个网站
bitwarden.top
bitwarden.cool
之前搭建好的 Bitwarden
今天看很多人又在讨论
就发出来给大家看看
有的说官方的服务 10 美元贵推荐自建
有的说自建维护起来也麻烦
主要是我自己一直要用
所以搞了两个独立的 Bitwarden 域名方便记忆
比自建省事
比官方便宜
所以顺便在这里发一下这个
也许对有些朋友是个折中的选择
我也推荐不在意价格的朋友使用官方付费服务
看到很多人说密码放在别人的服务器上不安全
大家可以看看这篇文章,里面有介绍 bitwarden 如何基于零信任构建的:
https://bitwarden.top/anquan/
Bitwarden 安全吗 ?值得信任吗 ?
随着我们越来越多的日常和职业生活转移到网上,个人和公司的安全都取决于我们所有人。不幸的是,网络攻击和数据泄露仍在继续,密码管理通常被认为是减轻风险的简单步骤。
但是,您如何信任一家公司将您的所有秘密保密?答案在于:端到端加密
安全体系结构的基础始于加密,特别是端到端加密。在Bitwarden,我们将您在任何Bitwarden客户端中输入的敏感数据立即加密。在将数据存储到设备上之前,它已被加密。除非您处于控制状态,否则没有未加密的保险柜数据之类的东西,您可以在Bitwarden客户端中查看您输入了电子邮件地址和主密码的信息。
所有密码库的数据数据在发送到 Bitwarden 服务器时都保持加密状态。将数据同步到其他客户端后,过程中一直保持加密状态,直到重新输入主密码为止
这意味着 Bitwarden 作为一家公司也是无法看到您的密码,自建的 Bitwarden 服务器管理员也是无法看到您的密码的,它们将使用您的个人电子邮件和主密码进行端到端加密。Bitwarden 服务器上从不存储也无法访问您的主密码。
无论您使用的是浏览器扩展程序(通过chrome://)还是Web保险库(通过远程站点https://),无论何时进行身份验证,都将对主密码进行适当的哈希处理并将其发送到服务器以验证您的凭据。这是正确认证用户的要求。
您真正的主密码(或加密密钥)永远不会离开您的本地计算机。
Bitwarden 为您的密码库使用 AES-CBC 256 位加密方式,并使用 PBKDF2 SHA-256 来派生加密密钥。
在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和/或哈希数据。 Bitwarden 服务器仅用于存储已加密的数据。
密码库数据只能使用从您的主密码派生的密钥来解密。Bitwarden 是一种零知识的解决方案,这意味着您是唯一能够获得您的密钥并能够解密您的密码库数据的一方。
Bitwarden 是否值得信任 ?
答:您可以出于以下这些原因信任我们:
Bitwarden 是一个开源软件。我们所有的源代码都托管在 GitHub 上,任何人都可以免费查看。成千上万的软件开发者都在关注 Bitwarden 的源代码项目(你也可以!)。
Bitwarden 由独立的安全研究人员以及信誉良好的第三方安全公司进行审计。
Bitwarden 不存储您的密码。Bitwarden 存储的是您的密码的加密版本,只有您才能解锁。您的敏感信息在被发送到我们的云服务器之前,会在您的个人设备上进行本地加密。
Bitwarden 的声誉很好。Bitwarden 被数百万个人和企业使用。如果我们做任何有问题或有风险的事情,我们就会被淘汰!
如果 Bitwarden 被黑会怎么样?
答:Bitwarden 采取极端措施确保其网站、应用程序和云服务器的安全。Bitwarden 使用 Microsoft Azure 托管服务来管理服务器基础设施和安全,而不是直接自己来做。
如果由于某些原因 Bitwarden 被黑客攻击,数据因此遭泄露,由于对你的密码库数据和主密码采取了强大的加密和单向盐化哈希措施,你的信息仍然受到保护。
问:Bitwarden 可以看到我的密码吗?
答:不能。
您的数据在离开您的本地设备之前就已经被完全加密和/或哈希,因此 Bitwarden 团队的任何人都无法看到、读取或进行逆向工程来获取您的真实数据。Bitwarden 服务器只存储已被加密和哈希的数据。有关您的数据如何被加密的更多信息,请参阅加密。
问:我的主密码是否存储在本地?
答:不会。
我们不会将主密码保存在本地或内存中。仅当应用程序解锁后,您的加密密钥(从主密码派生而来)将会保存在内存中,这用于来解密您密码库中的数据。当密码库被锁定时,这些数据会从内存中清除。
我们还会在锁屏 10 秒后重新加载应用程序的渲染进程,以确保任何尚未被垃圾收集的托管内存地址也被清除。我们尽最大努力确保任何可能在内存中为应用程序运作的数据只在您需要的时间内保存在内存中,并且每当应用程序被锁定时,内存都会被清理。我们认为应用程序在锁定状态下是完全安全的。
推荐楼 USS 4小时前
我相信楼主只是单纯的为了挣点小钱钱维持域名和服务器的正常运营,但如果我是你,我连这个念头都不会有,为什么?
中国的网民这么多,但是你听说过哪个国产密码管理器?几乎没有,或者曾经有过,最后逐渐消失在视野中,说明什么问题?会用密码管理器的人简直是凤毛麟角,不值得血汗工厂费力气开发,对于大部分人来说,这东西只会加速他们上网的复杂度,连李彦宏都公开说中国人不在乎隐私。在这个大环境下,这类工具的生存空间就很成问题,连loc都有很多人不知道怎么用。
另外,在用这种工具的人,要不花钱买官方正版要不用免费服务,或者,自建服务,这部分都是对密码和隐私极度重视的人,肯定在这类工具的使用上倍加小心,把这么重要的东西交给一个不认识的人?开什么玩笑?
然后还有价格,bitwarden的年费会员10刀,这是什么概念?平均一个月5块钱软妹币,而买你的要1块钱一个月,你觉得会用bitwarden付费服务的人会在乎一个月多吃两个煎鸡蛋?
推荐楼 clcavril 7小时前
你想多了+1 官方免费版就很好用了
要付费也是用官方的,至少不会担心数据丢
你就是不要钱,也没人用你的. 哪天你跑了,数据就没了
把密码交给oneman管理,未免心也太大了
能用这个密码管理软件的人,谁缺个小鸡跑docker了?自己搭好每天自动加密数据rclone到gdrive备份
推荐楼 大鸡鸡 6小时前
欢迎送密码
推荐楼 yem 5小时前
mjj自建的有一大批,能想到拿来卖钱的我是第一次见
推荐楼 限时优惠 6小时前
不是针对楼主哈。这种敏感的东西,将就的人和不将就的人都很难相信第三方吧。。。 ...
bitwarden 的安全零信任
就确保了服务器管理员是看不到密码的
你可以参考下这篇文章
https://bitwarden.top/anquan/
推荐楼 louiejordan 7小时前
而且我刚刚查了一下,bitwarden.cool这个域名2022年03月03日到期,也就是说到时候是否续费没人知道,如果你真的打算长久用下去,域名应该至少已经续费五年才能让别人放心
推荐楼 汤家凤 7小时前
你想多了,这玩意需要低延迟吗?不嫌麻烦的用自己电脑做服务器就行了,就是每天回家的的时候同步一下。再说了,mjj谁不是人手十几台服务器
推荐楼 不东 7小时前
keepass+坚果云
推荐楼 ban 7小时前
不看好,不是针对楼主,而是密码比较敏感
推荐楼 Marlene 3小时前
免费的东西你收费,人才啊,如此恬不知耻的主意我怎么没有想到
2楼 zxxx 7小时前
太长,没看完
3楼 buildLT 7小时前
没啥意思没看完
6楼 suantong 7小时前
写的什么玩意儿。nas自建,谈不上延迟。备份也就一个SQLite 文件,然后就没了
7楼 伊丽莎白 7小时前
1password用了几年了,我觉得找个大点的就行了,没必要自己折腾。时间成本太高了
9楼 白嫖神人 7小时前
我用免费版的dashlane可以邀请人免费获取你可以去看看 dashlane填充很方便看个人习惯bitwarden填充多一个步骤
10楼 限时优惠 7小时前
你想多了,这玩意需要低延迟吗?不嫌麻烦的用自己电脑做服务器就行了,就是每天回家的的时候同步一下。再说 ...
嗯,这样也可以
独立域名是为了方便好记
在外的话多平台同时登陆同步
我目前用的:
安卓端
iPhone 端
chrome 浏览器扩展
Firefox 扩展
EDGE 浏览器扩展
笔记本
台式机
安卓手机
iPhone
四台设备上使用
12楼 tobalu 7小时前
密码放企业组织那尚且担心 何况个人,不是针对楼主 这是正常的心理想法
13楼 louiejordan 7小时前
划重点:
有愿意用 bitwarden 的
嫌自建麻烦又希望价格能便宜些的
可以选择使用 bitwarden.cool
赞助 12 得 1 年
一年 12 块钱下来一个月 1 块钱
意思就是楼主让你们可以买他搭建的bitwarden服务,不过我觉得没必要吧,一年66真的不贵,也就一天的伙食费,自己搭建的话,这论坛里大多数人都有闲置小鸡,闲着也是闲着,约等于不要钱。
14楼 不东 7小时前
keepass+坚果云
15楼 限时优惠 7小时前
划重点:
嗯,我也推荐不在乎价格的人使用官方的付费服务
16楼 louiejordan 7小时前
嗯,我也推荐不在乎价格的人使用官方的付费服务
我自用免费足够,这玩意没必要花钱,真要搭建还是自己折腾放心,放别人那里总觉得不安全
17楼 clcavril 7小时前
你想多了+1 官方免费版就很好用了
要付费也是用官方的,至少不会担心数据丢
你就是不要钱,也没人用你的. 哪天你跑了,数据就没了
把密码交给oneman管理,未免心也太大了
能用这个密码管理软件的人,谁缺个小鸡跑docker了?自己搭好每天自动加密数据rclone到gdrive备份
18楼 限时优惠 7小时前
错误:enpass 可以买断,safecloud 支持totp
是 safeincloud 吧
我之前买过安卓端的
对安全性存疑就没用了
19楼 louiejordan 7小时前
而且我刚刚查了一下,bitwarden.cool这个域名2022年03月03日到期,也就是说到时候是否续费没人知道,如果你真的打算长久用下去,域名应该至少已经续费五年才能让别人放心
20楼 Reverie 7小时前
只用官方和自建
22楼 限时优惠 7小时前
而且我刚刚查了一下,bitwarden.cool这个域名2022年03月03日到期,也就是说到时候是否续费没人知道,如果你 ...
嗯,这个建议不错,之后我多续几年
23楼 migao2009 6小时前
不是针对楼主哈。这种敏感的东西,将就的人和不将就的人都很难相信第三方吧。。。
24楼 大鸡鸡 6小时前
欢迎送密码
25楼 限时优惠 6小时前
不是针对楼主哈。这种敏感的东西,将就的人和不将就的人都很难相信第三方吧。。。 ...
bitwarden 的安全零信任
就确保了服务器管理员是看不到密码的
你可以参考下这篇文章
https://bitwarden.top/anquan/
26楼 dvbhack 6小时前
我自己建的我几乎都不会叫我的朋友来用,因为密码太敏感了。还去用你的???
27楼 限时优惠 6小时前
我自己建的我几乎都不会叫我的朋友来用,因为密码太敏感了。还去用你的??? ...
你都自建了就用自己的
这个是给
嫌自建的维护麻烦
又觉得官方 10 美元的比较贵的人
多一种选择
bitwarden 零信任的安全设计全程加密
就是为了防止第三方窃取用户密码的
服务器上存的也是加密后的文件
用户密钥都在本地
您真正的主密码(或加密密钥)永远不会离开您的本地计算机。
Bitwarden 为您的密码库使用 AES-CBC 256 位加密方式,并使用 PBKDF2 SHA-256 来派生加密密钥。
在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和/或哈希数据。 Bitwarden 服务器仅用于存储已加密的数据。
密码库数据只能使用从您的主密码派生的密钥来解密。Bitwarden 是一种零知识的解决方案,这意味着您是唯一能够获得您的密钥并能够解密您的密码库数据的一方。
Bitwarden 不存储您的密码。Bitwarden 存储的是您的密码的加密版本,只有您才能解锁。您的敏感信息在被发送到我们的云服务器之前,会在您的个人设备上进行本地加密。
Bitwarden 的声誉很好。Bitwarden 被数百万个人和企业使用。如果我们做任何有问题或有风险的事情,我们就会被淘汰!
如果 Bitwarden 被黑会怎么样?
答:Bitwarden 采取极端措施确保其网站、应用程序和云服务器的安全。Bitwarden 使用 Microsoft Azure 托管服务来管理服务器基础设施和安全,而不是直接自己来做。
如果由于某些原因 Bitwarden 被黑客攻击,数据因此遭泄露,由于对你的密码库数据和主密码采取了强大的加密和单向盐化哈希措施,你的信息仍然受到保护。
问:Bitwarden 可以看到我的密码吗?
答:不能。
您的数据在离开您的本地设备之前就已经被完全加密和/或哈希,因此 Bitwarden 团队的任何人都无法看到、读取或进行逆向工程来获取您的真实数据。Bitwarden 服务器只存储已被加密和哈希的数据。有关您的数据如何被加密的更多信息,请参阅加密。
问:我的主密码是否存储在本地?
答:不会。
我们不会将主密码保存在本地或内存中。仅当应用程序解锁后,您的加密密钥(从主密码派生而来)将会保存在内存中,这用于来解密您密码库中的数据。当密码库被锁定时,这些数据会从内存中清除。
我们还会在锁屏 10 秒后重新加载应用程序的渲染进程,以确保任何尚未被垃圾收集的托管内存地址也被清除。我们尽最大努力确保任何可能在内存中为应用程序运作的数据只在您需要的时间内保存在内存中,并且每当应用程序被锁定时,内存都会被清理。我们认为应用程序在锁定状态下是完全安全的。
28楼 pdd_nb 5小时前
写在纸上放钱包里带着多方便
29楼 yem 5小时前
mjj自建的有一大批,能想到拿来卖钱的我是第一次见
30楼 tkn 5小时前
用官方也不用 oneman 的,何况 mjj 谁手上没 jj 呀
32楼 限时优惠 5小时前
mjj自建的有一大批,能想到拿来卖钱的我是第一次见
能自建的就用自建的
这个只是多提供一种选择而已
本论坛里面自建的多
就没在论坛发过
今天看到两个新帖子讨论 bitwarden 的自建和 官方 10 美元费用问题
https://hostloc.com/forum.php?mod=viewthread&tid=859314
因为这几个月也有不少人选择了 bitwarden.cool 的服务
有的 60块钱一下子订阅了 5 年
大多数都是 1 年 12 块钱
就顺便发出来
那些不方便自建的
也可以用比较低的费用使用bitwarden 高级版服务
一个月 1 块钱重点也是为了减少一下服务器域名的费用而已
没想着拿来赚大钱
33楼 fxzx 5小时前
出发点很好,但是密码这东西还是太敏感了。
另外是vaultwarden?
34楼 migao2009 5小时前
bitwarden 的安全零信任
就确保了服务器管理员是看不到密码的
你可以参考下这篇文章
这些道理我都懂,但是。。。。
35楼 限时优惠 5小时前
欢迎送密码
你可以 ?
要不你把自建的放出来
我注册个帐号
你能把我存在你服务器上的密码破解出来 ?
36楼 限时优惠 5小时前
免费的也没人敢用吧
除了官方免费的基本版外
网上哪里有免费提供 bitwarden 高级版服务的 ?
我就敢用
之前研究 bitwarden 时候
就是没找到谁提供高级版的 bitwarden
比官方便宜些的我就愿意用
于是才自己搞了个
如果再有独立的好记的域名就更好了
毕竟自建对外使用域名比 ip 更不容易跑路
比如这个是
bitwarden.cool
使用 cool 后缀
正好和密码库的意思一样
用下去的概率更大
37楼 refrigerator 4小时前
你不会用标点符号吗……
38楼 限时优惠 4小时前
你不会用标点符号吗……
有时候标点符号文字堆在一起排版感觉很乱
而且不方便突出重点,列出条理
39楼 USS 4小时前
我相信楼主只是单纯的为了挣点小钱钱维持域名和服务器的正常运营,但如果我是你,我连这个念头都不会有,为什么?
中国的网民这么多,但是你听说过哪个国产密码管理器?几乎没有,或者曾经有过,最后逐渐消失在视野中,说明什么问题?会用密码管理器的人简直是凤毛麟角,不值得血汗工厂费力气开发,对于大部分人来说,这东西只会加速他们上网的复杂度,连李彦宏都公开说中国人不在乎隐私。在这个大环境下,这类工具的生存空间就很成问题,连loc都有很多人不知道怎么用。
另外,在用这种工具的人,要不花钱买官方正版要不用免费服务,或者,自建服务,这部分都是对密码和隐私极度重视的人,肯定在这类工具的使用上倍加小心,把这么重要的东西交给一个不认识的人?开什么玩笑?
然后还有价格,bitwarden的年费会员10刀,这是什么概念?平均一个月5块钱软妹币,而买你的要1块钱一个月,你觉得会用bitwarden付费服务的人会在乎一个月多吃两个煎鸡蛋?
40楼 walterclozet 4小时前
太长了 我直接用手机厂商自带和浏览器自带的不好吗 免费方便
42楼 Marlene 3小时前
免费的东西你收费,人才啊,如此恬不知耻的主意我怎么没有想到
43楼 YukinoCoco 3小时前
我用火狐的 lookwise
44楼 hostloc8888 3小时前
没有标点符号,看瞎了
45楼 gcp 2小时前
太长了 我直接用手机厂商自带和浏览器自带的不好吗 免费方便
安全性存疑
https://www.bluespace-labs.com/blog/password-managers-are-not-all/
https://www.nirsoft.net/utils/web_browser_password.html
46楼 VISA租售代付 2小时前
支持楼主
辛苦了
不过我不用
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。