Bitwarden 密码管理软件是否安全?

2022-05-01 03:26:38 +08:00
 yoyoyoyolol

如题:Bitwarden 密码管理软件是否安全?虽然它是开源的,对外声称接受所有人 review 它的源码。但是如何保证 appstore 发布的版本代码和 github 里开源的代码一致呢?是否可能存在 appstore 发布版本把你的主密钥偷偷存在云端的这种情况?

12719 次点击
所在节点    程序员
64 条回复
zhy0216
2022-05-01 03:29:50 +08:00
对的 所以就是你要追求极致的安全 那硬件肯定也得用自己的 不是一直说大使馆的沙子都得从自己国家运吗
XiLingHost
2022-05-01 03:41:49 +08:00
你不会自己构建吗?
docx
2022-05-01 03:42:36 +08:00
你可以自己编译一个。任何开源项目都是如此。
v2tudnew
2022-05-01 03:48:01 +08:00
自己审查代码并编译自建,所有开源预编译二进制文件都存在这种风险。
yoyoyoyolol
2022-05-01 03:51:53 +08:00
@XiLingHost 用这个一方面就是图便宜吧,自己构建往 iPhone 真机上安装需要每年花 688 买开发者账号,那还不如直接买 1password 会员呢吧
Y29tL2gwd2Fy
2022-05-01 04:14:18 +08:00
@yoyoyoyolol 建议自己写一个,别 bb
msg7086
2022-05-01 06:01:45 +08:00
@yoyoyoyolol 1password 会员是送你个开发者账号还是当着你的面编译上传到 app store ?

图便宜,你指的是自己构建客户端还是自己搭建服务器?这可是两件不同的事情,不能混为一谈。
xlsepiphone
2022-05-01 06:52:51 +08:00
1password 是开源的吗?
tianxia
2022-05-01 07:08:08 +08:00
二次验证,还担心泄漏吗
DianQK
2022-05-01 07:12:12 +08:00
应当可以用 GitHub Actions 查看到 Bitwarden 会在上面构建 ipa 同时上传到 App Store ,这个 build 号在 Apple 那边不可以重新上传。然后只要在 App Store 下载的 build 号和 GitHub 上的一致即可。但这也不能完全保证是一致的,这里的构建不是 Reproducible 。另外怀疑 Bitwarden 安全性建议用闭源的 1Password 。
Pastsong
2022-05-01 08:03:54 +08:00
用 bitwarden 是图便宜,不够安全所以使用闭源的 1password ,这几个都和你说的追求极致的安全有冲突吧
HENQIGUAI
2022-05-01 08:46:46 +08:00
我其实不太理解为啥要如此执着于密码管理软件的安全性。

真正最重要的密码难道不是记录在脑子里?(尽管会存在物理丢失的可能)

使用密码管理软件的基本上都是安全性二级三级的网站,当个密码备忘录罢了。

本来就没有全盘信任,安全性,差不多就得了。实在过不去这个坎可以考虑硬件加密方案。
benedict00
2022-05-01 09:05:33 +08:00
keepass argon2d 加密 再用 cryptomator 加密文件上传 Dropbox onedrive 这类网盘总可以了吧
krixaar
2022-05-01 09:28:22 +08:00
@yoyoyoyolol #5 所以不要用 iPhone 啊,你看这是个多好的“为了安全所以不该用 iPhone”的例子 /s
cmdOptionKana
2022-05-01 09:33:33 +08:00
安全与便利总是矛盾的,追求极致安全就意味着追求极致麻烦。

就像金融投资,风险与收益总是成正比的,追求极高回报就意味着追求极高风险。
arischow
2022-05-01 09:55:41 +08:00
那你买 1p 啊
runze
2022-05-01 09:59:03 +08:00
ziseyinzi
2022-05-01 10:27:31 +08:00
你都用 iphone 了,还追求什么开源可审计?
SenLief
2022-05-01 10:46:42 +08:00
与其担心 bit 不如担心 iphone 是否窃取。
Bingchunmoli
2022-05-01 10:51:38 +08:00
用 ip 确实不如手机自带管理电脑是 mac 就完全同步,要么就是安卓这种允许旁加载,自己编译打包也不难

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850294

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX