Bitwarden 密码管理软件是否安全?

2022-05-01 03:26:38 +08:00
 yoyoyoyolol

如题:Bitwarden 密码管理软件是否安全?虽然它是开源的,对外声称接受所有人 review 它的源码。但是如何保证 appstore 发布的版本代码和 github 里开源的代码一致呢?是否可能存在 appstore 发布版本把你的主密钥偷偷存在云端的这种情况?

12713 次点击
所在节点    程序员
64 条回复
alexwu
2022-05-01 11:18:22 +08:00
自己编译一次,下载 appstore ipa 砸壳,比对二进制
testver
2022-05-01 11:22:00 +08:00
你出了多少钱?或者你准备花多少钱来保证你的安全性?
yoyoyoyolol
2022-05-01 12:13:36 +08:00
@runze 这个只能证明那个时间点自动化构建了一个版本,上传到 Apple Developer 并且是未提交审核的状态,提审按钮是管理员手动点击的,在未提交审核的阶段,还可以手动构建多个版本上传,在提交审核时会选择一个最终版本进行审核。这个自动化构建工作流没办法证明自动化构建上传的版本的就是那个提交审核完发布的版本,只是证明了自动构建了一个版本并上传,管理员可以选择这个版本提审
yoyoyoyolol
2022-05-01 12:14:14 +08:00
@DianQK @HENQIGUAI 感谢
yoyoyoyolol
2022-05-01 12:16:59 +08:00
@SenLief 已经发生过多起交易所宣布破产跑路的事件,我是否可以假设密码管理软件收集到一定量的钱包秘钥后也有可能这样做呢? iphone 窃取反而不必担心,iphone 即时有窃取也是 zf 层面的监控,不会偷盗用户虚拟财产
KuoYu
2022-05-01 12:28:54 +08:00
干脆就用苹果自带的,反正 icloud 也看光了
ltkun
2022-05-01 12:37:54 +08:00
可以用 fdroid 版本 机器自动编译的 不存在代码被偷偷修改问题 安卓首选 fdroid 软件
SunsetShimmer
2022-05-01 12:41:06 +08:00
如果真的有这方面顾虑,**手机从来都不是一个安全的终端**。
Bitwarden 有第三方的服务器端 Vaultwarden ,浏览器扩展应该也是开源的。自行在 Linux 设备上编译 Chromium 、从源码安装浏览器扩展并连接自建的服务器即可解决这个问题。
leloext
2022-05-01 12:53:46 +08:00
总算有人说 bin 不等于源码编译这个观点了,的确是这样的。如果真的完全追求绝对安全的话,每一行代码都应该检查过,引用的库也需要检查,还有编译器等等。。。嘛,现实中这样是不可能的,需要做一定的妥协。
YuiTH
2022-05-01 12:54:47 +08:00
借楼问下自建 bitwarden 需要做什么防护措施吗,bitwarden 自带的防暴力猜密码成熟吗?
happybabys
2022-05-01 13:47:35 +08:00
@YuiTH 不映射端口到外网,通过 vpn 连接
zhzy0077
2022-05-01 14:20:07 +08:00
“我担心 bitwarden 虽然开源免费但是会动手脚 所以选择花钱用闭源的 1password” 承包了我今日的笑点。

如果要完全控制你的设备推荐 AOSP 呢,比如自主构建 lineage os
sunhelter
2022-05-01 14:33:12 +08:00
想开点,你的数据没有那么值钱
zx900930
2022-05-01 14:48:44 +08:00
我就不懂了了, 你那么担心上个 2FA 就完事了, 担心公司跑路就自建服务器.
都用 iphone 了, 啥都被 apple 看光了, 还在担心 bitwarden 安不安全.
felixcode
2022-05-01 14:50:58 +08:00
为什么 1password 在你们眼里比 Bitwarden 更安全?因为闭源?
yaoyao1128
2022-05-01 14:51:17 +08:00
自己编译或者用网页版本
以及
ipa 可以用 altstore 七天一次更新
不过你 bitwarden 用 app store 版本和 1password 用 app store 版本有啥区别???
parametrix
2022-05-01 17:12:42 +08:00
这些都可以问。但安全是要在满足需求的前提下匹配成本的,脱离条件谈安全没有意义。
DeWjjj
2022-05-01 17:31:29 +08:00
我觉得不安全,因为你们的密码和记录都保存在同一种服务器下。
那么自然会衍生出一帮人专门对你们的密码和类似的服务器下手。
我把密码转个 base64 之后直接丢到网盘私密里面,我觉得他会比这些服务器安全。
Juszoe
2022-05-01 17:47:01 +08:00
@DeWjjj #38 bitwarden 用的 AES-256 加密,数据被偷了都没关系,要是谁攻克了这个算法,不去拿图灵奖盯着密码管理器属实格局小了。这贴里楼主讨论的是 app 是否和开源代码一致,服务器不存在这个问题
cccer
2022-05-01 18:41:02 +08:00
@DeWjjj 就算把 bitwarden 服务器拖库了,除了你主账号的邮箱地址,其他什么都拿不到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850294

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX