6

Bitwarden 支持把密码本和 TOTP 放在一起,这是出于什么考虑?

 2 years ago
source link: https://www.v2ex.com/t/884687
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  问与答

Bitwarden 支持把密码本和 TOTP 放在一起,这是出于什么考虑?

  Archeb · 5 小时 39 分钟前 · 1344 次点击

TOTP 本来的目的应该是在密码被泄漏 /撞库 /钓鱼的情况下提供多一层保护,如果有人把把密码本和 TOTP 密钥放在同一个地方,这不就相当于只上了一道锁吗?

如果 bitwarden 的数据被人导出了(虽然这件事发生的几率不大) TOTP 也没办法提供保护

从结果来看,二步验证的安全性直接变成一步验证了,而且还麻烦了自己。更别提 bitwarden 这个功能官方版里还要另外收费了……

所以这个设计让我很迷惑,望 V 友解答这是在什么情况下会有意义的功能。

41 条回复    2022-10-05 13:58:53 +08:00
0o0O0o0O0o

0o0O0o0O0o      5 小时 37 分钟前 via iPhone

你可以创建两个 bitwarden 账户分开存放
xiaoz

xiaoz      5 小时 37 分钟前 via Android

安全和便捷往往没法同时满足,这样做确实方便很多,但安全性有所下降。用户可以自行取舍,如果担心 TOTP 泄露,可以单独用谷歌的认证器保存,但是维护起来不太方便,所以我选择了前者。
shakespark

shakespark      5 小时 34 分钟前 via iPhone

我也很好奇这个设计。所以我用单独的 authy
MengiNo

MengiNo      5 小时 32 分钟前 via Android

方便而已。 可以根据是否核心业务来选择要不要 all 在一起。比如一些公司内网的服务 TOTP 完全没必要单独再用另外再搞一个软件存。 我自己也就苹果、谷歌、微软三大家的 TOTP 单独放在 authy ,其他也都 all 在 1password 里。何况绝大多数人的 bitwarden 都是自建的,对安全和隐私普遍都更自信和放心。
optional

optional      5 小时 30 分钟前

我也这么想,所以不用这个功能。 但是我其实觉得最安全的是短信验证码
testver

testver      5 小时 23 分钟前

@optional 短信验证码安全?
des

des      5 小时 16 分钟前 via iPhone

短信验证码最安全?电子令牌有话要说
Archeb

Archeb      5 小时 15 分钟前   ❤️ 1

还有一种情况:有时候选两步验证是为了让网站觉得我更安全了
0o0O0o0O0o

0o0O0o0O0o      5 小时 12 分钟前 via iPhone

@Archeb #8 你提到的这点才是我的大多数情况,有些网站设置了 TOTP 后,更不容易被风控。
agagega

agagega      5 小时 1 分钟前 via iPhone

安全性实际是有提高的,因为密码依然可能泄露,这时候 TOTP 还能起到作用。但总的来说,这就是一个用安全性换取便利的做法。我也实在不喜欢在电脑登录的时候还非要拿起手机看验证码
miyuki

miyuki      4 小时 56 分钟前

可以防止撞库(自身随机密码)
miyuki

miyuki      4 小时 55 分钟前

@miyuki
自己表意不清楚,其实随机密码本身可以防止撞库,就像楼上说的,安全性和便捷性总要牺牲取舍一下
yfugibr

yfugibr      4 小时 47 分钟前 via Android

给想要方便的人一个选择,真在意的话自己分开存就好了
KomeijiSatori

KomeijiSatori      4 小时 33 分钟前 via iPhone

那 TOTP 可以用 Yubikey 之类的存(
q9OxQgg

q9OxQgg      4 小时 27 分钟前 via Android

Keepassxc 也是密码和 totp 放一起的。非自建的 Bitwarden 不好评论。自建的 vaultwarden ,登录时自身也可以有 totp ,可以用 authy 或者 keepassxc 之类侧面来把关。如果说密码还可能通过怪里怪气的渠道泄露或者被猜出,有个 otop 当保底不是蛮好,哪怕是放在一起的 otop 。毕竟安全做足,自建的 bitwarden 的库要被偷走,还被解了密,应该相当不容易。
ob

ob      4 小时 27 分钟前 via Android

防的是从其他地方泄露的密码,而不是防从他自身泄露。
Biggoldfish

Biggoldfish      4 小时 22 分钟前 via Android

安全和便捷是 tradeoff 。把 TOTP 放到 Bitwarden 里,登录网站时不必专门去开其他应用看验证码,也许会促使用户尽可能开启各个服务的两步验证(否则一些不太重要的服务可能怕麻烦就懒得开了
Autonomous

Autonomous      4 小时 22 分钟前

其实就是为了方便吧,用 Bitwarden 自动填写用户名密码之后,二次验证码会自动复制到剪贴板,只需要粘贴就通过了
K1W1

K1W1      4 小时 16 分钟前

我觉得问题不大,你用了 Bitwarden 自带的 TOTP ,你肯定还需要一个两步验证的工具,因为本身 Bitwarden 登录也要用两步验证登录(除非没开启)。你说的那种情况是在 Bitwarden 账号被泄露,同时它两步验证也被破解。
yaoyao1128

yaoyao1128      4 小时 11 分钟前 via iPhone

个人理解下 totp 的认证方式更多是针对各种情况下的用户名与密码的泄漏而处理的。这种泄漏的源头一般不会是用户保存密码的方式决定的,totp 是为了保护单个泄露而不是整体密码存储的库丢失的。所以说在用密码管理器的前提可能就是对密码管理器的信任,信任密码管理器不会把你的数据弄出来……
amirobotics

amirobotics      4 小时 0 分钟前

问:如果 bitwarden 数据被导出,导出数据的人是否有能力将其打开?
答: https://bitwarden.com/help/what-encryption-is-used/

问:bitwarden 是否有漏洞?是否存在后门?
答: https://bitwarden.com/help/is-bitwarden-audited/

问:二步验证的安全性直接变成一步验证?
答:在自己的主密码不泄露的情况下,二步验证的安全性不会直接变成一步验证。恰恰是网站如果被泄漏 /撞库 /钓鱼导致网站密码泄露,TOTP 还能发挥作用,让攻击者无法登入网站账号。
ltkun

ltkun      3 小时 54 分钟前 via Android

.我看过 bitwarden 的数据库 想
ltkun

ltkun      3 小时 53 分钟前 via Android

.我看过 bitwarden 的数据库 想解密几乎不可能 我可以放几条数据出来试试哈
Archeb

Archeb      3 小时 42 分钟前

@amirobotics
@ltkun

这里说的被导出数据,显然不是说从自建或者官方服务器数据库里导出,而是因为某种原因(比如被人偷窥主密码),趁你不在从客户端上把正常数据导出
ltkun

ltkun      3 小时 19 分钟前 via Android

能物理接触就没啥意义了 看到密码的概率还不如强行捆绑逼供大 或者直接拿了 yubikey 哪怕人脸识别 虹膜指纹都没有用了
guazila

guazila      3 小时 18 分钟前

TOTP 我觉得对弱密码和防撞库很有用。但如果使用的是高强度随机密码,再把 TOTP 密钥放在了密码一个位置,那么安全性提升就有限。能想到发挥作用的情况有几个:
1 、网站泄漏密码,但是又不能泄漏 TOTP 密钥。
2 、键盘记录器或者剪贴板泄漏密码。(但是密码管理器对此的管理都很严格)
3 、不安全的网络传输,中间人攻击。
cosette

cosette      3 小时 4 分钟前   ❤️ 1

因为密码管理器的目的就是方便而不是安全,密码管理器本身不能提供更高的安全性,之所以觉得会更安全是基于这样一条假设:在不使用密码管理器的情况下,用户会倾向于选择简单好记的弱口令,因此更容易被猜出,或者倾向于复用密码,导致有被撞库的风险。

基于方便的考量,把所有密码集中起来,进而把 totp 也集中进来是水到渠成的事情,同样的,基本上面的考量,风险也被集中起来了,但使用密码器的用户都有这样的自信:1. 密码器的数据不可能以正常使用以外的方式被使用,或者漏洞的风险极低,至少比使用其他方式同时泄露的风险更低; 2. 主密码会被保存得很好,不会泄露,也不会遗失; 3. 最重要的一点是密码器目前还没公开暴露出严重问题,亦即前面的自信尚未被摧毁
arch9999

arch9999      2 小时 53 分钟前   ❤️ 1

你的密码管理器能被导出,2FA 验证器就不会被导出、复制吗?
也许你要的是那种不把鸡蛋放一个篮子里的感觉,那就不应该使用密码管理器。
optional

optional      2 小时 50 分钟前

@testver 二次验证丢了就相当于裸奔, 短信验证码还可以立即挂失并补办。
PogOnion

PogOnion      2 小时 49 分钟前

我將兩者分開,登錄 bitwarden 我也開啓了 2FA ,所以不可能這麽幹。
如果你只是無腦擔心各種問題,而完全不在乎別人提供的解決方案的細節。
我勸你早點扔掉手機和電腦,智能系統不適合你
Archeb

Archeb      2 小时 45 分钟前

@arch9999 别的不说,微软和谷歌的身份验证器确实无法被导出和复制(或者说很难,特别是在没越狱的 iPhone 和 Android 上,现在移动设备的安全都做的挺好的)。 我确实认为不应把鸡蛋放一个篮子里,所以我同时使用验证器和密码管理器,并且把它们分开。

@ltkun 比如在你身后柜子上放一个小摄像头,又或者比如在公司头顶有高清晰度的监控,从而把你的系统登陆 PIN/密码管理器主密码记录下来,不是什么困难的事,更不一定需要强捆绑逼供。手机 TOTP (或者类似微软 /谷歌,主动推送批准登录)的安全性比这就好上许多。

总的来说我比较同意 @guazila 的看法。
Archeb

Archeb      2 小时 42 分钟前

@PogOnion

首先我这个帖子的意思就是建议把两者分开放置。

其次希望讨论的时候大家都能够互相尊重一点,我只是在向大家平等地提问。
ltkun

ltkun      2 小时 24 分钟前 via Android

我是 root 党 所以我的一切设备我控制 真泄露了也怪自己没做好安全措施 那些我控制不了的设备上的数据只能是安全级别比较低的 所以苹果 iOS 这种系统基本上不可能碰 自建私有云 任何时候都连着 VPN 只要出门
arch9999

arch9999      2 小时 8 分钟前

把 密码 和 OTP 分开管理,确实能提高安全性。但是在使用者不泄露密码数据库和主密码的情况下,你是否把 OTP 和密码放在一起,两者的安全性是对等的,而便捷性确有很大的差距。

如果非要分开放,我也会选择建立两个数据库,一个存放密码,一个存放 2FA 因素,而不是使用手机 App 。

丢失手机,还原、刷机忘记备份,错误卸载的时候真的是麻烦得要死。
arch9999

arch9999      2 小时 7 分钟前

确 -> 却
SunsetShimmer

SunsetShimmer      2 小时 6 分钟前

或许开发者从来都没考虑过这个问题,并且想把选择权交给用户?

有些网站的 TOTP 不只用在登录上,还有各种操作验证( GitHub 删库等)。
arch9999

arch9999      1 小时 54 分钟前

@SunsetShimmer

可是 OTP 也是密码,密码管理器管理特殊密码,没有问题啊,但怎么管理确实是用户说了算。
superrichman

superrichman      1 小时 49 分钟前 via Android

从结果来看,放一起是使用更方便不是更麻烦。bitwarden 本来就是为了方便管理和使用密码而存在的,不是吗?

手机存 totp 的一个弊端,手机掉了你的 totp 码就全没了。
SunsetShimmer

SunsetShimmer      1 小时 46 分钟前

@arch9999 Bitwarden 似乎不会拒绝任何(有限长度的)字符串,从我的实际使用来看,它可以用于安全地保存各种字符串( token 、gpg 私钥、URL )
dingwen07

dingwen07      1 小时 42 分钟前 via iPhone

你 Bitwarden 有 2FA 啊
ZeawinL

ZeawinL      1 小时 23 分钟前 via iPhone

有一种场景,我没可信任的设备,我分成两个密码数据库,一个存密码,一个存 TOTP

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK