Bitwarden 密码管理软件是否安全?

2022-05-01 03:26:38 +08:00
 yoyoyoyolol

如题:Bitwarden 密码管理软件是否安全?虽然它是开源的,对外声称接受所有人 review 它的源码。但是如何保证 appstore 发布的版本代码和 github 里开源的代码一致呢?是否可能存在 appstore 发布版本把你的主密钥偷偷存在云端的这种情况?

12719 次点击
所在节点    程序员
64 条回复
SenLief
2022-05-01 18:46:54 +08:00
@yoyoyoyolol 如果是这样,那反而 1p 和 icloud 更不安全,至少 bit 还有人审核能看到代码,这两个毛都看不到。
DeWjjj
2022-05-01 20:03:36 +08:00
@cccer 本来那些写木马的人还要想想识别窗口类型,有了 1p 和各种密码管理器直接对着 1p 和密码管理器做钩子,还降低识别难度了。

@Juszoe 黑客思维又不是破解算法,而是针对环节攻击。
guisheng
2022-05-01 20:05:58 +08:00
最好是大脑自定义一个主密码 然后每个网站设定一下特定的关键字 加密一下就不用记了……
jKpzPv20NjX56i44
2022-05-01 20:06:06 +08:00
…那你用的硬件也是闭源的,找点沙子自己提取硅元素吧
DeWjjj
2022-05-01 20:15:11 +08:00
关注一下 OSX/Proton 这种木马你就知道了,用 1p 反而会被人窃取信息。
对着软件下手的,拿 1p 保护自己的商业信息就跟搞笑一样,只会把密码送到别人的枪口上。
你个人的隐私也没多少人在乎,而且很多都是二次验证。搞个 1p 和搞个 chrome 无差别。
felixcode
2022-05-01 20:32:05 +08:00
@DeWjjj
针对密码管理器的攻击如果没有公开报道,而且你又无法重现的话,那是否容易被窃取只是你个人的猜想而已。
locoz
2022-05-01 21:06:39 +08:00
@felixcode #46 他上一条回复说的不就是“针对密码管理器的攻击的公开报道”吗...OSX/Proton 一搜就能看到确实存在针对 1password 攻击的情况
felixcode
2022-05-01 21:20:29 +08:00
@locoz 我搜了一下,OSX/Proton 是能获取 1password 的本地文件,但没有主密码的话也没用啊,主密码一般都不放在系统里的吧。
locoz
2022-05-01 23:21:00 +08:00
@felixcode #48 这个思路其实是有点问题的...你想想,人家木马都跑起来了,搞个密码还不简单吗?比如经典的监听键盘输入、弹个假窗口之类的,都可以简单粗暴地获取到密码。
pcmgr456
2022-05-02 00:00:04 +08:00
亲,要绝对安全的话,这边建议别上网呢
YuiTH
2022-05-02 01:23:19 +08:00
@happybabys 我架在云服务器上的,不会拿 NAS 做这个。
bao3
2022-05-02 02:10:27 +08:00
上面好多人都已经指出来了,楼主一直在和自己杠……

你如果要极致的安全,那么你的硬件就要安全,系统要安全,输入密码的那个软件(比如浏览器)也要安全,管理密码的软件也要安全,存储密码的介质也要安全,传输密码的方式也要案值,最后使用密码的人也要安全。

显然你没有一条可以做到的,就算你付费使用 1password 也做不到。你只能在不安全的环境里找到你自己想要的安全,如果使用 1password 你认可其安全性,那就大胆去用。

最后是 bitwarden ,说到这里,已经是“在不安全的环境里找寻自己认为地安全” 这个主题了。如果此刻你质疑它的安全性,那它就真的不安全,你就放过自己就好了。
felixcode
2022-05-02 02:18:17 +08:00
@locoz
照你的说法,只要有木马,不光木马本身窃取的文件,用户所有期间使用的网站帐户,网银,apple id 帐号,以及解过密的加密数据全都会遭窃了?
你这样万能的木马真没听说过
locoz
2022-05-02 02:24:11 +08:00
@felixcode #53 你开心就好
neroxps
2022-05-02 06:35:47 +08:00
@felixcode 监控键盘密码输入不行?窃取主密码。
felixcode
2022-05-02 06:46:59 +08:00
@neroxps

如果这些都做到了,那网银什么的也都可以攻破啊,没多少软件能防的住这些措施一起使用。密码管理器只是相对更加安全的方式。

而且密码管理器通常都能开二次验证,你也可以说可以木马操纵手机获取二次验证码对吧。

不说前提谈安全是没法谈的,哪怕电脑不联网那还有电磁泄漏,对人还能用社会工程。
wonderfulcxm
2022-05-02 08:42:49 +08:00
可能楼主眼里加钱的就是安全的,不加钱就是不安全的。哈哈,笑死人
Huelse
2022-05-02 12:10:54 +08:00
bitwarden 可以自己部署,你监控他的行为看看啊

如果真的有问题,拿出你的证明数据,而不是一厢情愿地在这推测怀疑
89ao
2022-05-04 10:44:56 +08:00
懂的不多,又想的太多就会这样吧。
建议全面了解下各个服务的特点,然后仔细想下自己的人需求。
neroxps
2022-05-04 14:12:10 +08:00
@felixcode 好像现在很多密码管理工具支持硬检测,例如微软的人脸,或者类似 usbkey 之类的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850294

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX