Bitwarden 支持把密码本和 TOTP 放在一起,这是出于什么考虑?

2022-10-05 09:43:02 +08:00
 Archeb

TOTP 本来的目的应该是在密码被泄漏 /撞库 /钓鱼的情况下提供多一层保护,如果有人把把密码本和 TOTP 密钥放在同一个地方,这不就相当于只上了一道锁吗?

如果 bitwarden 的数据被人导出了(虽然这件事发生的几率不大) TOTP 也没办法提供保护

从结果来看,二步验证的安全性直接变成一步验证了,而且还麻烦了自己。更别提 bitwarden 这个功能官方版里还要另外收费了……

所以这个设计让我很迷惑,望 V 友解答这是在什么情况下会有意义的功能。

6154 次点击
所在节点    问与答
43 条回复
0o0O0o0O0o
2022-10-05 09:45:38 +08:00
你可以创建两个 bitwarden 账户分开存放
xiaoz
2022-10-05 09:45:38 +08:00
安全和便捷往往没法同时满足,这样做确实方便很多,但安全性有所下降。用户可以自行取舍,如果担心 TOTP 泄露,可以单独用谷歌的认证器保存,但是维护起来不太方便,所以我选择了前者。
shakespark
2022-10-05 09:48:24 +08:00
我也很好奇这个设计。所以我用单独的 authy
MengiNo
2022-10-05 09:49:59 +08:00
方便而已。 可以根据是否核心业务来选择要不要 all 在一起。比如一些公司内网的服务 TOTP 完全没必要单独再用另外再搞一个软件存。 我自己也就苹果、谷歌、微软三大家的 TOTP 单独放在 authy ,其他也都 all 在 1password 里。何况绝大多数人的 bitwarden 都是自建的,对安全和隐私普遍都更自信和放心。
optional
2022-10-05 09:52:09 +08:00
我也这么想,所以不用这个功能。 但是我其实觉得最安全的是短信验证码
testver
2022-10-05 09:59:48 +08:00
@optional 短信验证码安全?
des
2022-10-05 10:06:06 +08:00
短信验证码最安全?电子令牌有话要说
Archeb
2022-10-05 10:07:38 +08:00
还有一种情况:有时候选两步验证是为了让网站觉得我更安全了
0o0O0o0O0o
2022-10-05 10:09:58 +08:00
@Archeb #8 你提到的这点才是我的大多数情况,有些网站设置了 TOTP 后,更不容易被风控。
agagega
2022-10-05 10:21:09 +08:00
安全性实际是有提高的,因为密码依然可能泄露,这时候 TOTP 还能起到作用。但总的来说,这就是一个用安全性换取便利的做法。我也实在不喜欢在电脑登录的时候还非要拿起手机看验证码
miyuki
2022-10-05 10:25:53 +08:00
可以防止撞库(自身随机密码)
miyuki
2022-10-05 10:26:55 +08:00
@miyuki
自己表意不清楚,其实随机密码本身可以防止撞库,就像楼上说的,安全性和便捷性总要牺牲取舍一下
yfugibr
2022-10-05 10:35:47 +08:00
给想要方便的人一个选择,真在意的话自己分开存就好了
KomeijiSatori
2022-10-05 10:49:23 +08:00
那 TOTP 可以用 Yubikey 之类的存(
q9OxQgg
2022-10-05 10:55:14 +08:00
Keepassxc 也是密码和 totp 放一起的。非自建的 Bitwarden 不好评论。自建的 vaultwarden ,登录时自身也可以有 totp ,可以用 authy 或者 keepassxc 之类侧面来把关。如果说密码还可能通过怪里怪气的渠道泄露或者被猜出,有个 otop 当保底不是蛮好,哪怕是放在一起的 otop 。毕竟安全做足,自建的 bitwarden 的库要被偷走,还被解了密,应该相当不容易。
ob
2022-10-05 10:55:47 +08:00
防的是从其他地方泄露的密码,而不是防从他自身泄露。
Biggoldfish
2022-10-05 11:00:05 +08:00
安全和便捷是 tradeoff 。把 TOTP 放到 Bitwarden 里,登录网站时不必专门去开其他应用看验证码,也许会促使用户尽可能开启各个服务的两步验证(否则一些不太重要的服务可能怕麻烦就懒得开了
Autonomous
2022-10-05 11:00:46 +08:00
其实就是为了方便吧,用 Bitwarden 自动填写用户名密码之后,二次验证码会自动复制到剪贴板,只需要粘贴就通过了
K1W1
2022-10-05 11:05:52 +08:00
我觉得问题不大,你用了 Bitwarden 自带的 TOTP ,你肯定还需要一个两步验证的工具,因为本身 Bitwarden 登录也要用两步验证登录(除非没开启)。你说的那种情况是在 Bitwarden 账号被泄露,同时它两步验证也被破解。
yaoyao1128
2022-10-05 11:11:21 +08:00
个人理解下 totp 的认证方式更多是针对各种情况下的用户名与密码的泄漏而处理的。这种泄漏的源头一般不会是用户保存密码的方式决定的,totp 是为了保护单个泄露而不是整体密码存储的库丢失的。所以说在用密码管理器的前提可能就是对密码管理器的信任,信任密码管理器不会把你的数据弄出来……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/884687

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX