优点
- 经过审核的 100% 开源代码
- 非对称端到端加密
- 自托管或完全托管
- 免费社区版
- 使用浏览器插件自动填充
- 公钥密码学(与区块链相同)
- 高度协作的功能
- 可互操作(开放 API 和 CLI)
缺点
- 基于浏览器的加密技术(但尽可能强大)
- 完全托管计划使用 Google 和 AWS 服务器
定价
Passbolt Community Edition (CE) 是一款免费的开源软件,您可以自行托管或在第三方服务器上自行安装。
还提供完全托管的企业计划,它提供一系列附加功能,以及电子邮件或电话支持(免费用户仅限于社区论坛的支持)。
自托管计划
使用 Stripe 支付处理器通过卡进行付款。那些想要尝试附加企业功能的人必须直接联系该公司。
Passbolt 云计划
特征
- 密码共享
- 自托管或托管
- 收藏夹
- 筛选
- 搜索
- 评论
- 用户管理
- 团体管理
- 电子邮件通知
- Chrome 和 Firefox 浏览器插件
- 深色主题(仅限高级版)
- 2FA(仅限高级版)
- LDAP 同步用户目录(仅限高级版)
Slack 集成、审计日志和移动应用程序都将在不久的将来为高级用户提供服务。
双因素身份验证
密码支持双因素身份验证 (2FA)通过基于时间的一次性密码 (TOTP)、Yubikey 或 Duo。
深色主题
老实说,我们对黑暗主题的广泛流行感到有点困惑,但无论如何。
隐私和安全
管辖权
Passbolt SA 在卢森堡注册,因此受 GDPR 和其他欧盟数据法规的约束。卢森堡与美国国家安全局领导的机构没有特殊联系五眼间谍联盟,但是2013年间谍丑闻导致总理辞职的事件表明,该国的国家情报局(SREL)间谍机构绝非被动。
可能更相关的是,Passbolt SA 使用谷歌云平台和亚马逊网络服务 (AWS) 来托管完全托管的帐户,这两个帐户都可以合理地假设受到广泛的 NSA 式监视。幸运的是,Passbolt 提供了保证,声称它“不包含任何跟踪器”,并且它使用端到端加密应该可以消除大多数恐惧。
当然,您可以在任何地方自行托管 Passbolt – 在完全由您控制的硬件上,或者在您喜欢的任何国家/地区的提供商租用的硬件上。
技术保障
密码使用基于 OpenPGP 浏览器扩展的客户端加密OpenPGP.jsJavaScript 库,因此它们是端到端加密的 (e2ee)。在传输过程中,它们通过 SSL/TLS 进行加密,该机制可确保安全HTTPS网站。
服务器端,Passbolt 使用GnuPG PHP 扩展和openpgp-php执行公钥验证并支持GPGAuth认证协议。
值得注意的是,只有静态密码才会被加密,而不是评论或与您共享密码的人员列表。也就是说,如果您对此感到困扰,通常可以使用 EncFS 等全盘加密系统在系统级别对数据进行加密。
Passbolt 使用的所有代码都是完全开源的。尽管有人建议“代码审查工作永远不会完成”,但事实上,其中大部分工作已经过广泛的审计,迄今为止已经进行了 2 次全面审查。这太棒了。另一次审查将于 2025 年进行,该公司将继续在 YesWeHack 上运行错误赏金计划。
然而,浏览器中的 JavaScript 加密技术仍然存在问题,最重要的是浏览器只会接受受感染服务器推送给它们的任何恶意代码。 Passbolt 通过使用浏览器扩展来缓解这一问题,而不仅仅是依赖浏览器中的本机 JS,并且它使用经过良好审核的开源代码令人放心。
基于浏览器的加密不能被认为与专用软件客户端解决方案一样安全,但它的 Passbolt 实现非常强大。
易于使用
设置和安装
设置 Passbolt 实例的最简单方法是让 Passbolt SA 为您完成。然而,这需要花钱,将完全控制权从您手中转移到 Passbolt SA,并意味着将您的数据托管在美国服务器上(尽管是 e2ee)。
您可以在自己的服务器硬件或从第三方提供商租用的服务器空间上自行托管实例(社区版或高级版)。我们提供了在各种服务器平台上执行此操作的分步说明。
由于某种原因,虚拟机镜像对我们不起作用(很可能是我们自己的错),但 Ubuntu 的说明非常清晰,而且很有魅力。如果您可以将命令剪切并粘贴到终端窗口中,那么安装就会变得轻而易举。
对 Docker 的支持确保您可以在几乎任何平台上安装 Passbolt,而美国托管公司 Digital Ocean 几乎可以自动为您在其“Droplet”之一上安装 Passbolt 的过程。
作为团队成员使用
设置 Passbolt 实例后,您就可以开始在团队成员之间共享密码。当团队成员收到加入邀请时,将被要求下载适用于 Firefox 或 Chrome 的 Passbolt 插件。这不是可选的,因为 Passbolt 需要浏览器插件来验证密钥对。
创建新帐户只需遵循一些简单的说明即可。
完成后,团队成员可以登录门户网站。从这里您可以创建新密码并与其他团队成员共享。
您还可以创建团队成员组并与您喜欢的任何组共享密码。
除了作为 PGP 加密方案中的重要组件之外,浏览器插件还可以让您轻松自动填充 Web 登录信息。建议的密码与您正在访问的 URL 相匹配,或者您可以搜索或浏览所需的密码。
您甚至可以即时创建新密码。
我们喜欢该插件自动填充密码的方法之一是,必须通过单击其图标来手动调用它。这意味着团队密码管理器可以与您可能使用的任何个人密码管理器并行工作,一旦您访问网页,它就会自动填写表单。
Passbolt 不会自动填充信用卡详细信息等信息,这完全适合面向团体使用的软件。默认情况下,每当创建新密码时,团队管理员都会收到电子邮件通知。
想看看一些替代方案吗?看看我们的对可用的最佳密码管理器的深入建议。
最后的想法
Passbolt 几乎没有什么让人不喜欢的地方。它是一款功能强大且经过严格审核的开源团队密码管理器,您可以自行托管以实现最大程度的隐私,或者让 Passbolt SA 为您完成繁重的工作。
目前高级功能非常有限,这使得社区版对于那些拥有相当少的技术能力来自行设置实例的人来说是一个非常有吸引力的选择。也就是说,即将推出的移动应用程序,尤其是仅向高级用户提供的移动应用程序,可能会改变这个等式。
基于浏览器的加密技术仍然不完善,但它非常方便,而且 Passbolt 显然已经竭尽全力确保它尽可能好。