bitwarden 备份的数据能直接解析出密码吗?

刚部署了个 bitwarden 准备以后存密码，备份的话准备直接定期用脚本将/data 用 git 推送到 github 私有仓库

这样有什么风险吗？如果私有仓库的 sqlite 数据库泄露被别人拿到能提取出存储的密码吗？

顺便想问一下 bitwarden 谷歌浏览器插件有泄露密码的风险吗？比如电脑上的其他程序能否直接去读 bitwarden 插件数据? (因为换 bitwarden 就是觉得谷歌浏览器自带的密码管理不安全，存储位置和加密方式固定很容易被其他程序读取而泄露)

wizardyhnr

2023-12-02 08:41:11 +08:00

bitwarden 的攻击手段无非是入侵客户机，检测键盘或是攻击内存，或是入侵服务器拿到加密数据库，暴力破解，各位应该都不是高价值客户，除非你的主密码以前泄露过，顺手就破了。否则黑客 KPI 也很难达标吧。另外高价值文件应该用支持 GPG 的硬件非对称加密后离线保存的，用这种密码库属于用户自己使用不当。

ihipop

197 天前

@libook 还是没有回答：如果临时解锁，数据是否能被读取的问题。我们已经知道未解锁的情况下是安全的，如果临时解锁呢？

libook

197 天前

@ihipop #23 “这类专业的密码管理（浏览器内置的不算）大多只把解密的数据存在内存里”。
现代主流操作系统通常都有内存保护机制，用户态的应用程序通常只能读取操作系统给自己分配的内存空间。

ihipop

196 天前

@libook 外部程序确实是会受到操作系统的内存读取保护，主要是担心浏览器插件之间的互相读取，因为他们都运行在 chrome 进程中，各自也都可以调用 chrome 的 API 操作 chrome.

libook

196 天前

@ihipop #25 现代浏览器都有沙盒机制的，chrome 的扩展都运行在各自的沙盒中，除非沙盒机制有漏洞，或者扩展的设计有问题通过其他方式主动共享了数据。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/996832

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.