Bitwarden 支持把密码本和 TOTP 放在一起,这是出于什么考虑?

2022-10-05 09:43:02 +08:00
 Archeb

TOTP 本来的目的应该是在密码被泄漏 /撞库 /钓鱼的情况下提供多一层保护,如果有人把把密码本和 TOTP 密钥放在同一个地方,这不就相当于只上了一道锁吗?

如果 bitwarden 的数据被人导出了(虽然这件事发生的几率不大) TOTP 也没办法提供保护

从结果来看,二步验证的安全性直接变成一步验证了,而且还麻烦了自己。更别提 bitwarden 这个功能官方版里还要另外收费了……

所以这个设计让我很迷惑,望 V 友解答这是在什么情况下会有意义的功能。

6179 次点击
所在节点    问与答
43 条回复
amirobotics
2022-10-05 11:22:15 +08:00
问:如果 bitwarden 数据被导出,导出数据的人是否有能力将其打开?
答: https://bitwarden.com/help/what-encryption-is-used/

问:bitwarden 是否有漏洞?是否存在后门?
答: https://bitwarden.com/help/is-bitwarden-audited/

问:二步验证的安全性直接变成一步验证?
答:在自己的主密码不泄露的情况下,二步验证的安全性不会直接变成一步验证。恰恰是网站如果被泄漏 /撞库 /钓鱼导致网站密码泄露,TOTP 还能发挥作用,让攻击者无法登入网站账号。
ltkun
2022-10-05 11:28:36 +08:00
.我看过 bitwarden 的数据库 想
ltkun
2022-10-05 11:29:42 +08:00
.我看过 bitwarden 的数据库 想解密几乎不可能 我可以放几条数据出来试试哈
Archeb
2022-10-05 11:40:12 +08:00
@amirobotics
@ltkun

这里说的被导出数据,显然不是说从自建或者官方服务器数据库里导出,而是因为某种原因(比如被人偷窥主密码),趁你不在从客户端上把正常数据导出
ltkun
2022-10-05 12:02:58 +08:00
能物理接触就没啥意义了 看到密码的概率还不如强行捆绑逼供大 或者直接拿了 yubikey 哪怕人脸识别 虹膜指纹都没有用了
guazila
2022-10-05 12:04:13 +08:00
TOTP 我觉得对弱密码和防撞库很有用。但如果使用的是高强度随机密码,再把 TOTP 密钥放在了密码一个位置,那么安全性提升就有限。能想到发挥作用的情况有几个:
1 、网站泄漏密码,但是又不能泄漏 TOTP 密钥。
2 、键盘记录器或者剪贴板泄漏密码。(但是密码管理器对此的管理都很严格)
3 、不安全的网络传输,中间人攻击。
cosette
2022-10-05 12:17:58 +08:00
因为密码管理器的目的就是方便而不是安全,密码管理器本身不能提供更高的安全性,之所以觉得会更安全是基于这样一条假设:在不使用密码管理器的情况下,用户会倾向于选择简单好记的弱口令,因此更容易被猜出,或者倾向于复用密码,导致有被撞库的风险。

基于方便的考量,把所有密码集中起来,进而把 totp 也集中进来是水到渠成的事情,同样的,基本上面的考量,风险也被集中起来了,但使用密码器的用户都有这样的自信:1. 密码器的数据不可能以正常使用以外的方式被使用,或者漏洞的风险极低,至少比使用其他方式同时泄露的风险更低; 2. 主密码会被保存得很好,不会泄露,也不会遗失; 3. 最重要的一点是密码器目前还没公开暴露出严重问题,亦即前面的自信尚未被摧毁
arch9999
2022-10-05 12:29:02 +08:00
你的密码管理器能被导出,2FA 验证器就不会被导出、复制吗?
也许你要的是那种不把鸡蛋放一个篮子里的感觉,那就不应该使用密码管理器。
optional
2022-10-05 12:32:18 +08:00
@testver 二次验证丢了就相当于裸奔, 短信验证码还可以立即挂失并补办。
PogOnion
2022-10-05 12:33:43 +08:00
我將兩者分開,登錄 bitwarden 我也開啓了 2FA ,所以不可能這麽幹。
如果你只是無腦擔心各種問題,而完全不在乎別人提供的解決方案的細節。
我勸你早點扔掉手機和電腦,智能系統不適合你
Archeb
2022-10-05 12:37:32 +08:00
@arch9999 别的不说,微软和谷歌的身份验证器确实无法被导出和复制(或者说很难,特别是在没越狱的 iPhone 和 Android 上,现在移动设备的安全都做的挺好的)。 我确实认为不应把鸡蛋放一个篮子里,所以我同时使用验证器和密码管理器,并且把它们分开。

@ltkun 比如在你身后柜子上放一个小摄像头,又或者比如在公司头顶有高清晰度的监控,从而把你的系统登陆 PIN/密码管理器主密码记录下来,不是什么困难的事,更不一定需要强捆绑逼供。手机 TOTP (或者类似微软 /谷歌,主动推送批准登录)的安全性比这就好上许多。

总的来说我比较同意 @guazila 的看法。
Archeb
2022-10-05 12:39:55 +08:00
@PogOnion

首先我这个帖子的意思就是建议把两者分开放置。

其次希望讨论的时候大家都能够互相尊重一点,我只是在向大家平等地提问。
ltkun
2022-10-05 12:57:56 +08:00
我是 root 党 所以我的一切设备我控制 真泄露了也怪自己没做好安全措施 那些我控制不了的设备上的数据只能是安全级别比较低的 所以苹果 iOS 这种系统基本上不可能碰 自建私有云 任何时候都连着 VPN 只要出门
arch9999
2022-10-05 13:14:11 +08:00
把 密码 和 OTP 分开管理,确实能提高安全性。但是在使用者不泄露密码数据库和主密码的情况下,你是否把 OTP 和密码放在一起,两者的安全性是对等的,而便捷性确有很大的差距。

如果非要分开放,我也会选择建立两个数据库,一个存放密码,一个存放 2FA 因素,而不是使用手机 App 。

丢失手机,还原、刷机忘记备份,错误卸载的时候真的是麻烦得要死。
arch9999
2022-10-05 13:15:18 +08:00
确 -> 却
SunsetShimmer
2022-10-05 13:16:01 +08:00
或许开发者从来都没考虑过这个问题,并且想把选择权交给用户?

有些网站的 TOTP 不只用在登录上,还有各种操作验证( GitHub 删库等)。
arch9999
2022-10-05 13:28:40 +08:00
@SunsetShimmer

可是 OTP 也是密码,密码管理器管理特殊密码,没有问题啊,但怎么管理确实是用户说了算。
superrichman
2022-10-05 13:33:37 +08:00
从结果来看,放一起是使用更方便不是更麻烦。bitwarden 本来就是为了方便管理和使用密码而存在的,不是吗?

手机存 totp 的一个弊端,手机掉了你的 totp 码就全没了。
SunsetShimmer
2022-10-05 13:36:01 +08:00
@arch9999 Bitwarden 似乎不会拒绝任何(有限长度的)字符串,从我的实际使用来看,它可以用于安全地保存各种字符串( token 、gpg 私钥、URL )
dingwen07
2022-10-05 13:40:35 +08:00
你 Bitwarden 有 2FA 啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/884687

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX