比特沃登定價
Bitwarden 是免費的開源軟件,但與 KeePass 等社區開發的替代品不同,它是一個商業企業。
核心產品是免費的,並且將永遠免費,但您可以通過每年為高級個人帳戶支付非常合理的 10 美元訂閱費來支持開發人員。高級用戶可以享受一些很酷的(非核心)附加功能,如下所述。
除了高級個人計劃外,Bitwarden 還提供家庭計劃和一些針對企業的企業計劃。
在本次審查中,我們將重點關注個人計劃。
Bitwarden 提供哪些功能?
免費用戶可以使用以下功能:
- 密碼的端到端加密 (e2ee)
- 100% 開源
- 適用於所有主要平台的跨平台應用程序
- 適用於所有主要瀏覽器的瀏覽器插件
- 從任何地方的網絡瀏覽器訪問
- 用於在 Bitwarden 金庫上編寫和執行腳本的命令行工具 (CLI)
- 可以自行託管
- 雙因素身份驗證 (2FA)
每年支付 10 美元可增加:
- 1GB加密文件存儲
- 其他 2FA 選項
- 優先客戶支持
需要注意的是,沒有帳戶恢復功能。
Bitwarden 使用起來有多簡單?
要開始使用 Bitwarden,只需下載適合您平台的應用程序並在應用程序內註冊。要求輸入密碼,但未經驗證。您需要想出一個強主密碼,並且可以選擇提示來幫助您記住它。
就是這樣!只是不要忘記您的主密碼!
桌面客戶端
Windows、macOS 和 Linux 中的 Bitwarden 桌面客戶端基本相同。由於該應用程序打包在應用程序圖像格式。它也可以通過 Ubuntu 軟件中心獲得,當然,您可以自己編譯開源代碼。
我們發現該界面看起來很智能並且非常易於使用。支持四種數據輸入“類型”:登錄、卡、身份和安全註釋。
每個條目類型的格式都適合輸入該類型的數據,並且應用程序可以使用它來自動填寫密碼、Web 表單和卡詳細信息表單。使用瀏覽器插件。
一個有趣的新功能是密碼字段中的一個按鈕,用於檢查您輸入的密碼是否已洩露。這很像我們自己的數據洩露工具並將您輸入的用戶名和密碼與已知密碼洩露的數據庫進行比較。
比自己想出容易出錯的密碼更安全的選擇是讓 Bitwarden 應用程序為您生成安全密碼。這些密碼可以定制,以滿足網站堅持的任何特定要求。
您還可以創建文件夾並向其中添加項目。你還想要什麼?如果您需要群組密碼管理和共享功能,那麼 Bitwarden 的組織帳戶可以提供這些功能。
桌面上的自動填充功能由 Firefox 和 Chrome 的瀏覽器插件提供。
移動應用程序
移動 Android 和 iOS 應用程序非常相似,並且與桌面應用程序具有相同的有吸引力和直觀的設計理念。
這兩個應用程序都可以執行其桌面兄弟應用程序可以執行的所有操作,包括生成安全的隨機密碼。它們還都支持在具有指紋傳感器的設備上進行指紋解鎖。
Android 應用程序使用 Android 8+ 設備上的自動填充框架服務和舊版 Android 設備上的自動填充輔助功能服務來在任何瀏覽器窗口或應用程序中自動填寫表單。除此之外,瀏覽器插件還可以與移動版本的 Firefox 和 Chrome 配合使用。
在 iOS 12+ 中,Bitwarden 應用程序與 Apple 的新身份驗證服務框架集成,可在大多數瀏覽器和應用程序中提供即時自動填充功能。
網絡保險庫
除了使用應用程序之外,還可以從任何瀏覽器通過“Web Vault”訪問您的密碼。這很方便,儘管受感染的服務器有可能將惡意 JavaScript 代碼直接推送到瀏覽器窗口,這意味著使用基於瀏覽器的 e2ee 加密永遠不會像在獨立客戶端中執行加密那樣安全。
有趣的是,導入數據的唯一方法是通過 Web Vault,它接受從各種密碼管理器導出的文件
命令行界面 CLI
除了適用於所有主要平台的圖形用戶界面 (GUI) 之外,Bitwarden 還為 Windows、macOS 和 Linux 提供強大的 CLI 客戶端。
它實際上並沒有做任何 GUI 客戶端不做的事情,但它非常輕量級,極客們會喜歡它!
瀏覽器插件
瀏覽器插件適用於 Chrome、Firefox、Vivaldi、Opera、Brave 和 Microsoft Edge。為 Tor 瀏覽器提供了 Firefox 鏈接,但我們不建議這樣做,因為使用 Tor 瀏覽器的任何瀏覽器插件都會使其更容易受到攻擊瀏覽器指紋識別。
這些附加組件看起來像 Bitwarden 應用程序,並提供相同的核心功能。
它們還使自動填寫登錄、表單等變得輕而易舉。
Bitwarden 客戶支持
內容豐富的幫助部分提供了有關 Bitwarden 大部分方面的詳細文檔。如果您還有任何其他問題,可以通過電子郵件聯繫。
Bitwarden 基本上是一個單人節目,因此我們收到的所有回复均來自其開發者 Kyle Spearrin 本人。回复通常會在同一天到達。另外,Bitwarden 網站還主辦了一個活躍的論壇,Kyle 是該論壇的狂熱參與者。
隱私和安全
Bitwarden 是一家美國公司,因此受外國情報安全局, 這愛國者法案,並且很可能受到美國國家安全局的監視。這應該不重要,因為……
Bitwarden 使用經過全面審核的開源端到端加密 (e2ee)。這盡可能地保證了它的安全性和私密性。解密數據的唯一方法是使用正確的主密碼,如果您忘記了該密碼,則無法恢復。所以不要。
因為使用了 e2ee,所以 Bitwarden 使用應該沒有關係微軟Azure雲服務器來託管帳戶,儘管如果這確實讓您感到煩惱,那麼您可以使用開源 Docker 框架在您選擇的家庭或租用服務器上自行託管。
審計
2018 年 11 月,眾籌獨立安全審計by Cure53 發現該軟件沒有重大問題。發現了一些非關鍵問題,其中最重要的問題立即得到了修復。我們只能推測開發人員凱爾去年一直在努力解決審計提出的任何其他問題。
技術保障
靜態數據使用AES-256密碼。PBKDF2用於從您的主密碼導出加密密鑰,然後鹽醃的並使用散列HMAC SHA256。這些都是受人尊敬的第三方密碼庫。
傳輸中的數據受到常規 TLS 的保護 - 這很好。即使您的數據在傳輸過程中以某種方式被攔截(通過使用虛假 SSL 證書的 MitM 攻擊),它也無法被訪問,因為它在離開您的設備之前已使用 AES-256 加密。
2018年一缺陷在 Chrome 插件的密碼學中發現。這很大程度上是固定的立即,但如果您不希望加密密鑰存在於磁盤上,則永遠不要使用 Bitwarden 的“永不忘記”選項。
雙因素身份驗證 (2FA)
免費用戶可以使用以下方式保護他們的 Bitwarden Vaults基於時間的一次性密碼(TOTP) 或電子郵件驗證雙因素身份驗證。高級用戶還可以使用 2FA 方法,例如雙人組,尤比鑰匙,以及其他FIDO U2F- 兼容 USB 或 NFC 設備。
看看我們的“什麼是 2FA”頁面(如果您對此不熟悉)。
最後的想法
Bitwarden 是一款免費的開源密碼管理器,可以與任何基於訂閱的閉源競爭對手展開正面交鋒。它功能強大、外觀精美、使用直觀,並且可以在您的所有設備之間無縫同步。
在我們看來,Bitwarden 唯一真正的競爭對手是類似的開源軟件凱通及其各種叉子。 Bitwarden 看起來比 KeePass 更漂亮,並且更容易設置和使用,但由於 KeePass 提供了大量附加組件,它遠沒有那麼強大或靈活。
KeePass 也是真正的社區開發的軟件,而不是一款單人盈利產品(儘管是開源的)。底線:Bitwarden 是不太懂技術的人的理想密碼管理器。