比特沃登定价
Bitwarden 是免费的开源软件,但与 KeePass 等社区开发的替代品不同,它是一个商业企业。
核心产品是免费的,并且将永远免费,但您可以通过每年为高级个人帐户支付非常合理的 10 美元订阅费来支持开发人员。高级用户可以享受一些很酷的(非核心)附加功能,如下所述。
除了高级个人计划外,Bitwarden 还提供家庭计划和一些针对企业的企业计划。
在本次审查中,我们将重点关注个人计划。
Bitwarden 提供哪些功能?
免费用户可以使用以下功能:
- 密码的端到端加密 (e2ee)
- 100% 开源
- 适用于所有主要平台的跨平台应用程序
- 适用于所有主要浏览器的浏览器插件
- 从任何地方的网络浏览器访问
- 用于在 Bitwarden 金库上编写和执行脚本的命令行工具 (CLI)
- 可以自行托管
- 双因素身份验证 (2FA)
每年支付 10 美元可增加:
- 1GB加密文件存储
- 其他 2FA 选项
- 优先客户支持
需要注意的是,没有帐户恢复功能。
Bitwarden 使用起来有多简单?
要开始使用 Bitwarden,只需下载适合您平台的应用程序并在应用程序内注册。要求输入密码,但未经验证。您需要想出一个强主密码,并且可以选择提示来帮助您记住它。
就是这样!只是不要忘记您的主密码!
桌面客户端
Windows、macOS 和 Linux 中的 Bitwarden 桌面客户端基本相同。由于该应用程序打包在应用程序图像格式。它也可以通过 Ubuntu 软件中心获得,当然,您可以自己编译开源代码。
我们发现该界面看起来很智能并且非常易于使用。支持四种数据输入“类型”:登录、卡、身份和安全注释。
每个条目类型的格式都适合输入该类型的数据,并且应用程序可以使用它来自动填写密码、Web 表单和卡详细信息表单。使用浏览器插件。
一个有趣的新功能是密码字段中的一个按钮,用于检查您输入的密码是否已泄露。这很像我们自己的数据泄露工具并将您输入的用户名和密码与已知密码泄露的数据库进行比较。
比自己想出容易出错的密码更安全的选择是让 Bitwarden 应用程序为您生成安全密码。这些密码可以定制,以满足网站坚持的任何特定要求。
您还可以创建文件夹并向其中添加项目。你还想要什么?如果您需要群组密码管理和共享功能,那么 Bitwarden 的组织帐户可以提供这些功能。
桌面上的自动填充功能由 Firefox 和 Chrome 的浏览器插件提供。
移动应用程序
移动 Android 和 iOS 应用程序非常相似,并且与桌面应用程序具有相同的有吸引力和直观的设计理念。
这两个应用程序都可以执行其桌面兄弟应用程序可以执行的所有操作,包括生成安全的随机密码。它们还都支持在具有指纹传感器的设备上进行指纹解锁。
Android 应用程序使用 Android 8+ 设备上的自动填充框架服务和旧版 Android 设备上的自动填充辅助功能服务来在任何浏览器窗口或应用程序中自动填写表单。除此之外,浏览器插件还可以与移动版本的 Firefox 和 Chrome 配合使用。
在 iOS 12+ 中,Bitwarden 应用程序与 Apple 的新身份验证服务框架集成,可在大多数浏览器和应用程序中提供即时自动填充功能。
网络保险库
除了使用应用程序之外,还可以从任何浏览器通过“Web Vault”访问您的密码。这很方便,尽管受感染的服务器有可能将恶意 JavaScript 代码直接推送到浏览器窗口,这意味着使用基于浏览器的 e2ee 加密永远不会像在独立客户端中执行加密那样安全。
有趣的是,导入数据的唯一方法是通过 Web Vault,它接受从各种密码管理器导出的文件
命令行界面 CLI
除了适用于所有主要平台的图形用户界面 (GUI) 之外,Bitwarden 还为 Windows、macOS 和 Linux 提供强大的 CLI 客户端。
它实际上并没有做任何 GUI 客户端不做的事情,但它非常轻量级,极客们会喜欢它!
浏览器插件
浏览器插件适用于 Chrome、Firefox、Vivaldi、Opera、Brave 和 Microsoft Edge。为 Tor 浏览器提供了 Firefox 链接,但我们不建议这样做,因为使用 Tor 浏览器的任何浏览器插件都会使其更容易受到攻击浏览器指纹识别。
这些附加组件看起来像 Bitwarden 应用程序,并提供相同的核心功能。
它们还使自动填写登录、表单等变得轻而易举。
Bitwarden 客户支持
内容丰富的帮助部分提供了有关 Bitwarden 大部分方面的详细文档。如果您还有任何其他问题,可以通过电子邮件联系。
Bitwarden 基本上是一个单人节目,因此我们收到的所有回复均来自其开发者 Kyle Spearrin 本人。回复通常会在同一天到达。另外,Bitwarden 网站还主办了一个活跃的论坛,Kyle 是该论坛的狂热参与者。
隐私和安全
Bitwarden 是一家美国公司,因此受外国情报安全局, 这爱国者法案,并且很可能受到美国国家安全局的监视。这应该不重要,因为……
Bitwarden 使用经过全面审核的开源端到端加密 (e2ee)。这尽可能地保证了它的安全性和私密性。解密数据的唯一方法是使用正确的主密码,如果您忘记了该密码,则无法恢复。所以不要。
因为使用了 e2ee,所以 Bitwarden 使用应该没有关系微软Azure云服务器来托管帐户,尽管如果这确实让您感到烦恼,那么您可以使用开源 Docker 框架在您选择的家庭或租用服务器上自行托管。
审计
2018 年 11 月,众筹独立安全审计by Cure53 发现该软件没有重大问题。发现了一些非关键问题,其中最重要的问题立即得到了修复。我们只能推测开发人员凯尔去年一直在努力解决审计提出的任何其他问题。
技术保障
静态数据使用AES-256密码。PBKDF2用于从您的主密码导出加密密钥,然后盐腌的并使用散列HMAC SHA256。这些都是受人尊敬的第三方密码库。
传输中的数据受到常规 TLS 的保护 - 这很好。即使您的数据在传输过程中以某种方式被拦截(通过使用虚假 SSL 证书的 MitM 攻击),它也无法被访问,因为它在离开您的设备之前已使用 AES-256 加密。
2018年一缺陷在 Chrome 插件的密码学中发现。这很大程度上是固定的立即,但如果您不希望加密密钥存在于磁盘上,则永远不要使用 Bitwarden 的“永不忘记”选项。
双因素身份验证 (2FA)
免费用户可以使用以下方式保护他们的 Bitwarden Vaults基于时间的一次性密码(TOTP) 或电子邮件验证双因素身份验证。高级用户还可以使用 2FA 方法,例如双人组,尤比钥匙,以及其他FIDO U2F- 兼容 USB 或 NFC 设备。
看看我们的“什么是 2FA”页面(如果您对此不熟悉)。
最后的想法
Bitwarden 是一款免费的开源密码管理器,可以与任何基于订阅的闭源竞争对手展开正面交锋。它功能强大、外观精美、使用直观,并且可以在您的所有设备之间无缝同步。
在我们看来,Bitwarden 唯一真正的竞争对手是类似的开源软件凯通及其各种叉子。 Bitwarden 看起来比 KeePass 更漂亮,并且更容易设置和使用,但由于 KeePass 提供了大量附加组件,它远没有那么强大或灵活。
KeePass 也是真正的社区开发的软件,而不是一款单人盈利产品(尽管是开源的)。底线:Bitwarden 是不太懂技术的人的理想密码管理器。