Bitwarden 安全吗 ?值得信任吗 ?

随着我们越来越多的日常和职业生活转移到网上,个人和公司的安全都取决于我们所有人。不幸的是,网络攻击和数据泄露仍在继续,密码管理通常被认为是减轻风险的简单步骤。

但是,您如何信任一家公司将您的所有秘密保密?答案在于:端到端加密

安全体系结构的基础始于加密,特别是端到端加密。在Bitwarden,我们将您在任何Bitwarden客户端中输入的敏感数据立即加密。在将数据存储到设备上之前,它已被加密。除非您处于控制状态,否则没有未加密的保险柜数据之类的东西,您可以在Bitwarden客户端中查看您输入了电子邮件地址和主密码的信息。

所有密码库的数据数据在发送到 Bitwarden 服务器时都保持加密状态。将数据同步到其他客户端后,过程中一直保持加密状态,直到重新输入主密码为止

 

这意味着 Bitwarden 作为一家公司也是无法看到您的密码,自建的 Bitwarden 服务器管理员也是无法看到您的密码的,它们将使用您的个人电子邮件和主密码进行端到端加密。Bitwarden 服务器上从不存储也无法访问您的主密码。

 

无论您使用的是浏览器扩展程序(通过chrome://)还是Web保险库(通过远程站点https://),无论何时进行身份验证,都将对主密码进行适当的哈希处理并将其发送到服务器以验证您的凭据。这是正确认证用户的要求。
 
 
您真正的主密码(或加密密钥)永远不会离开您的本地计算机。
 
 
Bitwarden 为您的密码库使用 AES-CBC 256 位加密方式,并使用 PBKDF2 SHA-256 来派生加密密钥。
 
在将任何内容发送到云服务器进行存储之前,Bitwarden 始终会在本地设备上加密和/或哈希数据。 Bitwarden 服务器仅用于存储已加密的数据。
 
密码库数据只能使用从您的主密码派生的密钥来解密。Bitwarden 是一种零知识的解决方案,这意味着您是唯一能够获得您的密钥并能够解密您的密码库数据的一方。
 
 

Bitwarden 是否值得信任 ?

 

答:您可以出于以下这些原因信任我们:
 
  1. Bitwarden 是一个开源软件。我们所有的源代码都托管在 GitHub 上,任何人都可以免费查看。成千上万的软件开发者都在关注 Bitwarden 的源代码项目(你也可以!)。
  2. Bitwarden 由独立的安全研究人员以及信誉良好的第三方安全公司进行审计。
  3. Bitwarden 不存储您的密码。Bitwarden 存储的是您的密码的加密版本,只有您才能解锁。您的敏感信息在被发送到我们的云服务器之前,会在您的个人设备上进行本地加密。
  4. Bitwarden 的声誉很好。Bitwarden 被数百万个人和企业使用。如果我们做任何有问题或有风险的事情,我们就会被淘汰!

 

如果 Bitwarden 被黑会怎么样?

 

答:Bitwarden 采取极端措施确保其网站、应用程序和云服务器的安全。Bitwarden 使用 Microsoft Azure 托管服务来管理服务器基础设施和安全,而不是直接自己来做。
如果由于某些原因 Bitwarden 被黑客攻击,数据因此遭泄露,由于对你的密码库数据和主密码采取了强大的加密和单向盐化哈希措施,你的信息仍然受到保护。
 
 
 

问:Bitwarden 可以看到我的密码吗?

 

答:不能。
您的数据在离开您的本地设备之前就已经被完全加密和/或哈希,因此 Bitwarden 团队的任何人都无法看到、读取或进行逆向工程来获取您的真实数据。Bitwarden 服务器只存储已被加密和哈希的数据。有关您的数据如何被加密的更多信息,请参阅加密。
 
 
 

问:我的主密码是否存储在本地?

 

答:不会。
我们不会将主密码保存在本地或内存中。仅当应用程序解锁后,您的加密密钥(从主密码派生而来)将会保存在内存中,这用于来解密您密码库中的数据。当密码库被锁定时,这些数据会从内存中清除。
我们还会在锁屏 10 秒后重新加载应用程序的渲染进程,以确保任何尚未被垃圾收集的托管内存地址也被清除。我们尽最大努力确保任何可能在内存中为应用程序运作的数据只在您需要的时间内保存在内存中,并且每当应用程序被锁定时,内存都会被清理。我们认为应用程序在锁定状态下是完全安全的。
 
 
 

隐私保护

 

Bitwarden 加入了欧盟-美国和瑞士隐私保护框架,并符合 GDPR 和当前的欧盟数据保护规则。

第三方安全审计
 
SOC 2 Type 2 和 SOC 3

Bitwarden 已经完成了 SOC Type 2 和 SOC 3 认证。

2018 安全评估

Bitwarden 完成了由安全公司 Cure53 进行的彻底的安全审核和加密分析。

2020 安全评估

Bitwarden 完成了由审计公司 Insight Risk Consulting 进行的全面安全评估和渗透测试。有关更多信息,

 

 

开源代码库

 
GitHub 上的代码库

Bitwarden 专注于开源软件,其完整代码库可在 GitHub.com 上获得。有关更多信息,请访问 github.com/bitwarden

Bitwarden 的开源

Bitwarden 是一个开源的密码管理器。有关更多信息,请访问我们的开源页面

 

信息安全

 
零知识加密

Bitwarden 采用零知识加密的方法来管理密码,这意味着您密码库中的每一条信息都是加密的。有关这种方法的更多信息,请参阅博客文章端到端加密如何为零知识铺平道路

 

Bitwarden 中的密码库安全

有关如何保护 Bitwarden 密码库,包括 Bitwarden 客户端应用程序的选项的更多信息,请参阅博客文章 Bitwarden 密码管理器中的密码库安全

 

Bug 赏金计划

Bitwarden 还通过我们在 HackerOne 上的公共 bug 赏金计划与独立安全研究人员进行互动。

上一篇
下一篇
联系我们

联系我们

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部