BitWarden说明与使用教程
思想罪不会带来死亡,思想本身就是死亡。
引言
2019年的互联网已经相当发达,每个人都有几十上百个各种平台的登录账号。有些平台是你每天都要访问的国际企业——比如微信,而有的则是你不知是否完全可靠的初创公司。
随着163.com,Facebook等社交网站的"脱库"(即数据库被非法下载)事件频发,暗网上(甚至某些正常论坛)充斥着越来越多的数据库交易信息。数据库里的数据到底有什么用?
简单来说,数据库就像一个大型的Excel表格,里面包含了你在这个网站中填写的绝大多数个人信息。数据库的结构通常是这样的:
由此可见,如果坏人拿到了随便一份数据库,我们的个人信息就会不可避免地被泄露。尽管数据库有各种各样的加密措施,但科技力差到会被脱库的公司肯定没有进行加密。
所以,怎么应对呢?
最简单的方法,只要每个网站都使用不同的密码就行了。显而易见,我们没有足够的脑细胞记忆每一份密码,总会忘记。因此,大多数人选择用两套甚至三套各有规律的密码,一套用来注册重要服务,一套则用来注册不那么重要的、丢了也无所谓的服务。并且根据网站名对密码进行"加盐",也就是插入特定的密码结构。
这也许防得住一部分网络攻击,却防不住这个星球最伟大的存在——智力。
对某些只使用HASH的弱加密数据库,我们通常采用名为"彩虹表"的攻击手段。也就是提前注入部分密码,在脱库后比对这些密码的变化,然后算出数据库的实际加密逻辑,并反向解码其他数据。
同样的,如果你的163.com密码是mypassword163com,黑客也一定能猜到google.com密码是mypasswordgooglecom,这并不安全。
最安全的方法是随机。上帝说要有随机,于是有了BitWarden。
什么是BitWarden?
BitWarden 是一个开源的在线密码管理服务。它可以针对站点和用户名生成随机密码(密码格式可自定)并在云端储存。用户只要记住自定的主密码即可调用账户库里的所有密码。
BitWarden安全吗?
我们有充足的理由相信它绝对安全。大部分企业讨厌开源,因为这会暴露系统中的漏洞,让其被攻击的概率上升。但对密码管理软件来说,开源能让更多工程师寻找漏洞,进一步强化代码安全。
其它密码管理软件(如LastPass)都曾爆出严重的安全事故,BitWarden是毫发无损的光荣幸存者之一。
下文的BitWarden服务器是由谁提供的?为什么不是官方的?
FJ提供了本文中的BitWarden服务器(基于JP1前端)。不使用官方服务的原因有三点。
1:官方服务器位于海外,访问可能有波动。而JP1前端位于香港,可以享受到三网回程的网络加速。
2:树大招风。受到各种各样的攻击影响(如DDoS),官方服务器的服务有时可能会暂停。而且其随时有可能关停服务。我们将尽量保持服务运行。如迫不得已,我们保证在关停服务前一月通知用户修改密码。
3:官方服务对密码同步条数有收费限制。而我们的服务没有类似限制。
装着机密信息的"保险柜"安全吗?
足够安全。我们使用了高达50Gbps的DDoS防御系统。对SSH连接进行基于凭证和指纹的双重认证,并且设置了IP地址白名单和登录次数限制。用户和服务器的所有通讯由经过TrustAsia认可的HTTPS协议承载。服务器集群也已部署蜜罐,可以主动识别并拦截大部分攻击。并且每24小时进行一次服务器快照。
服务器的管理员能看到我的密码吗?
不,我们看不到。所有帐户都是同级的,不存在所谓可以"洞穿一切"的管理账号。我们也无法对您和服务器通讯的HTTPS数据包进行解密,更不能对数据库进行提取解码。加密算法决定了我们没有足够的算力反向计算出密码。您的数据足够安全。
我都能在什么平台上使用BitWarden?
BitWarden有Windows、MacOS、Linux、Android、iOS客户端,并且支持为Chrome,Firefox,Safari,Edge等浏览器安装插件。对无法访问BitWarden的系统,我们也提供可以管理密码的Web页面。
BitWarden支持生成哪些密码?
BitWarden支持生成5~128位的密码。密码格式支持大小写字母、阿拉伯数字和标点符号。也就是每位密码有70种可能。您可以自由设置密码的构成。
除此之外,BitWarden还有什么特色吗?
BitWarden支持在移动平台和浏览器中自动填充密码。并且支持以指纹作为解锁密码库的方式。
这项服务收费吗?
不,我们不收费。
配置BitWarden
访问 https://pass.cirro.top 并创建账号。在注册时,请注意网址中的"https"或浏览器地址栏旁的小锁图标,这意味着您的数据受到HTTPS加密保护。
请牢记您的主密码,没有任何办法能让您在忘记主密码的情况下将其找回/重置。同时也请确保主密码的足够复杂(也足够长)。如果主密码没有在其它任何网站被使用过,那就再好不过了。
注册完成后,如果语言是英文,您随时可以在设置中将其设为中文。点击右上角头像-获取应用,并下载您需要的应用程序。
下载并安装应用程序后,在应用程序的登录界面,点击左上角"设置"(齿轮图标),并将"服务器URL"设为 https://pass.cirro.top
在应用主界面,点击"+"按钮即可添加密码记录。
"名称":指这条记录的名称,可以用作备注。
"用户名":您在该记录中的用户名,可以避免您忘记自己的用户名。
"密码":您的密码,点击"刷新"按钮即可随机生成密码。推荐勾选"选项"中的所有格式,并将密码设为16位。这是大多数网站允许的最长密码。使用此设置,生成的密码将有 332329305696010012642013872128 种可能。每秒尝试100次,需要 526904657686 亿年才有50%概率试出密码。
"验证器密钥":留空即可。
"URI":用来储存自动填充密码信息,可以是Android包名,也可以是https网站链接。
填写完成后,点击保存按钮保存即可。
如果应用启动后没有显示在其他设备上添加的密码,点击 文件-同步密码库 即可。您也可以将密码库导出到本地备份。
我们建议您定期对密码库进行本地备份,以防止数据丢失(尽管我们已经为保证数据安全做了最大努力)。但请使用强加密(如压缩文件的AES-256加密)和复杂密码保存导出的密码库。
对于手机应用,先在设置中将"自动填充服务"打开。在某些应用(符合Android规范的应用)的登录界面会显示BitWarden的自动填充框。点击填充框,如果没有该URI的记录则会进入创建新密码的界面。然而,如果您已经创建了该平台的密码记录,只需复制URI,并将其添加到已有记录的URI中保存即可。
若使用本服务,我们强烈推荐您将所有常用平台的密码全部修改(分别独立生成)。