有人向您推荐了 Bitwarden 或者您在搜索最佳密码管理器时看到过它吗?如果是这样,您可能想知道它的使用安全性如何,特别是考虑到它可以广泛免费使用。
我们将引导您了解 Bitwarden 使用的安全性、合规性和安全功能以及您应该考虑的问题。然后由您决定 Bitwarden 是否是您安全可靠的选择。
什么是比特沃登?
Bitwarden是一款经济实惠的密码管理器,适用于您的桌面、移动设备,并可作为 Web 浏览器扩展。它提供的功能包括无限的密码和设备、自动填充、密钥管理、密码生成器、设备同步、保管库存储和一对一数据共享。
企业还可以获得单点登录 (SSO) 和 API 集成、用户帐户管理、健康报告、帐户恢复和密码共享。
现在,最大的问题是,Bitwarden 使用安全吗?让我们看一下安全功能。
Bitwarden 安全功能
Bitwarden 以其在 GitHub 上拥有代码库的开源模式而闻名,并没有像类似工具那样涉及安全漏洞。这是因为它对安全的承诺和以下安全措施:
零知识加密:Bitwarden 在其基于零知识的系统中使用 AES 256 位端到端加密。该公司不仅采用行业标准进行加密,而且无法看到您的密码。
主密码哈希:Bitwarden 在将您的主密码传输到服务器之前对其进行加盐和哈希处理,并使用PBKDF2 SHA-256 或Argon2作为加密您的 Vault 数据的密钥。 2023 年,客户端迭代次数增加到 600,001 次,服务器端迭代次数设置为 100,000 次,默认情况下总共有 700,001 次迭代。另外,这些是单向哈希值,因此无法逆转它们以暴露您的主密码。
保管库安全性:Bitwarden 不仅为您的保管库提供端到端加密,还提供两步登录、保管库超时功能、使用 PIN 码或生物识别解锁以及剪贴板清除(您可以设置 10 秒到 5 分钟) 。
第三方安全审计:Bitwarden 与 Cure53 和 Insight Risk Consulting 等安全公司进行年度审计,并对其服务器和应用程序进行源代码评估和渗透测试。您可以在 Bitwarden 网站上查看安全审核和 SOC 3 报告,如果您有兴趣,还可以索取 SOC 2 报告。
错误赏金计划:Bitwarden 与 HackerOne 合作,黑客可以在该程序中搜索并报告其系统中的弱点和漏洞。
合规性:Bitwarden 遵守 GDPR、隐私护盾框架、HIPAA 和 CCPA,并且是 FIDO 联盟的成员。
Bitwarden 安全问题
虽然 Bitwarden 总体上被认为是一款安全的密码管理器,但安全性的一个方面在 2023 年成为了人们关注的问题,这涉及到其 Web 浏览器扩展。
自动填充的页面加载功能中存在可能的风险。已确定 iframe(内联框架)可以访问您的登录凭据,因为该工具会在网页和 iframe 内填写这些凭据。这可能为黑客窃取密码打开方便之门。
值得注意的是,您会发现页面加载时自动填充功能默认处于禁用状态,并且在启用该功能时会警告用户潜在风险。
有关此特定问题的完整详细信息,请查看我们关于Bitwarden 自动填充风险的文章。
比特沃登计划
Bitwarden 是一款免费密码管理器,为个人和企业提供付费选项。
对于个人用途,您可以每年支付 10 美元从免费计划升级,以获得文件附件、紧急访问和集成身份验证器等功能。
对于企业,您可以选择每用户每月 4 美元的 Teams 计划,以实现安全数据共享、事件日志监控和目录集成。企业计划的价格为每位用户每月 4 美元,包括 Teams 计划功能以及无密码 SSO、帐户恢复和企业策略。
您应该使用 Bitwarden 吗?
由于 Bitwarden 是一款具有广泛免费功能集的密码管理器,因此对于市场上需要此类工具的人来说很有吸引力。凭借其跨平台可用性、无限的密码和设备、生物识别登录和受保护的保管库,您可以从任何地方轻松访问您的登录信息并管理您的安全数据。
Bitwarden 的安全性和合规性功能确实达到甚至超越了行业标准。而且,考虑到 Bitwarden 使用的安全措施,您也许可以忽略浏览器扩展程序的潜在风险,或者根本不使用该功能或扩展程序。
Bitwarden 被列为最佳 LastPass 替代品之一,也是最好的密码管理器之一,如果您正在寻找一款安全、可靠的工具,您应该考虑 Bitwarden。
从个人角度来看,我多年来一直是 Bitwarden 用户,发现它是一个出色的密码管理器,并且使用它感到完全安全。