为什么我从Lastpass迁移到Bitwarden

我有上百个帐户和密码,我非常感谢并需要一个好的密码管理器与我的网络浏览器进行良好的集成。我一直在使用LastPass,尽管从来没有likedfully trusted them.Then LastPass began stripping away platform support and I started looking for another password manager.

而不是进行全面的审查,I thought I'd go through a few points that I feel are important when deciding on a password manager;比较Bitwarden比LastPass更符合我的期望。

平台可用性

Bitwarden和LastPass都提供免费的托管密码管理服务,客户机可用于多种流行平台。

LastPass在每个Web浏览器和每个平台上都非常有用。However,他们将firefox for android的最后一个扩展保留了一年多,然后放弃了它,and they were slow to migrate their extension to Firefox Quantum.They've also got a long history of shipping outdated versions of their extensions to Firefox users over several years.

In my experience,firefox的lastpass扩展随着时间的推移变得越来越麻烦。我选择的浏览器,火狐,显然,上一次传球并不是重点。

Bitwarden有Linux的桌面应用程序,macOS,and Windows;as well as mobile apps for Android and iOS and browser extensions for just about all web browsers — including the underdogs like维瓦尔迪勇敢的他们的市场份额很小。Bitwarden无处不在,我能预见到的每一个地方都能找到我自己,而Lastpass建议您切换浏览器继续使用他们的服务。

LastPass和Bitwarden浏览器工具栏图标

在浏览器中,lastpass的工具栏图标使用了耀眼的红色;一种通常保留的颜色,表示某个东西坏了或需要你注意。Bitwarden的淡蓝图标不那么令人担忧,我主观上强烈喜欢它而不是Lastpass的图标。我还发现bitwarden显示错误消息的情况下,如果lastpass只会默默地执行请求的操作。

开源和自托管

LastPass是一种专有软件和服务。您必须依赖他们的基础设施,并将继续运营该服务无干扰.

另一方面,bitwarden从上到下是开放源码的。他们的应用程序,延伸,and online services are all open source.如果bitwarden.com明天在哪里宣布关闭,您可以从他们的服务器中获取源并自己托管它,以确保持续的服务。

Self-hosted instances of Bitwarden isn't an after-thought either as the company behind it considered self-hosting a "first-class feature".我还没有更详细地探讨这个问题,but I expect that I'll look into hosting it for myself with time.

作为开发人员,我也重视检查他们代码的能力,并在遇到错误时提出更改建议。我在比特沃登没有遇到任何需要我关注的事情,但我喜欢知道我有自己的选择。我已经提交了很多具体的bug,甚至建议通过它们的支持表单来最后传递补丁,但多年来,他们一直倾向于让浏览器扩展中的bug没有得到解决。

安全性

I don't have the time nor ability to evaluate exactly how secure or insecure any password manager is compared to another.However,我注意到一些有趣的事情。

尚未对比特沃登进行全面的独立安全审查。代码是开放的,任何人都可以查看它,希望是“好人”会发现任何潜在的安全漏洞并向比特沃登报告这些问题。The probability of that happening is much greater than with a proprietary product;看看每个人如何访问比特沃登的源代码。

当我得知Bitwarden的浏览器扩展在页面加载后不会自动填充登录信息时,我感到非常惊讶。用户必须与扩展进行交互,以使其填写存储的用户名和密码。虽然这有点不便,it also effectively停止自动加注盗窃就像一些广告网络陷入困境.这一问题已经为浏览器供应商所知十多年了,然而,大多数Web浏览器和大多数第三方密码管理器中的内置密码管理器都忽略了这一点。

我还对Bitwarden使用第三方脚本资源有一些顾虑,我将在下一节详细介绍。

Security concerns over third-party resources

在我看来,不应从任何第三方域加载外部资源inside a high-risk high-security environment like a password manager.

LastPass将所有内容都托管在自己的域中,从而确保只要它们能够控制自己的服务器,它们维护对密码管理器中加载的所有内容的控制。

Update:本节中的其余信息已过时。请看3-months with Bitwarden update以获取新信息。

Bitwarden从引导cdn以及Google字体和Google托管库中加载脚本和样式。这些资源通过子资源完整性强制加载,meaning that modern browsers will refuse to load them if the external resource don't match a predetermined checksum.换言之,Bitwarden have a fairly good confidence that they don't load anything malicious or unexpected by including these remotely hosted resources.

However,BiWordWon还加载JavaScript从两个支付服务提供商Braintree(PayPal)和条纹,以及谷歌分析和双因素登录服务提供商Duo Security。所有这些第三方都包括在您登录到Web保险库时,and are loaded without Subresource Integrity enforcement.Subresource Integrity enforcement isn't supported by these third-party vendors.

包括任何第三方内容是恶意参与者的潜在途径进入密码库。我不明白为什么这些公司中的任何一个都能够在密码库中执行代码。他们都是成熟的服务提供商,不太可能会失去对他们域的控制。However,it's an unnecessary risk factor and frankly their inclusion also seems entirely unnecessary.

第三方分析

The Bitwarden mobile apps,桌面应用程序,extensions,Web保险库都集成了Google Analytis,用于跟踪用户的行为数据。用户可以通过转到“设置:其他:选项”禁用“分析”选项来选择退出。

Update:Bitwarden不再直接包含Google分析脚本。请看3-months with Bitwarden update以获取新信息。

This is another example of an unconstrained third-party script that don't belong in a secure environment such as a password manager.用户应该选择在此实例中进行跟踪,而不是选择退出。

仅仅在网络保险库或某个应用程序或扩展中选择退出是不够的。用户必须在使用的每个客户机中再次选择退出,因为客户机之间没有同步选择退出首选项。

我完全理解跟踪一些行为分析的需求和愿望。However,what is good enough for a normal website isn't necessarily good enough for a security critical environment like a password manager.在我看来,没有很好的理由以Bitwarden不加批判的方式使用谷歌分析或任何第三方分析。

数据可移植性

bitwarden和lastpass可以导出和导入密码,安全注释and other secure notes to a comma separated value (CSV) format with headers denoting each value.许多密码管理器支持从csv文件导入,但是,可能需要对数据列进行一些手动调整(与使用csv代替正式标准化交换格式的任何其他操作一样)。

比特沃登是劣势,无法从lastpass导入数据。However,if you want to go the other way around,您需要重新格式化csv导出文件,以便lastpass接受它。CSV非常容易使用,需要注意的重要一点是,从两个密码管理器导出时,所有数据似乎都存在。

当我导出要在Bitwarden中导入的数据时,LastPass错误地编码了一些(但不是全部)UTF-8字符。在Bitwarden可以导入文件之前,我必须以逗号分隔的导出格式手动更正这些错误。(This is a bug in LastPass and not Bitwarden.) Having just run into an export issue,我还测试并确保Bitwarden在出口时不会犯同样的错误。

Bitwarden和LastPass都可以存储其他类型的信息,包括安全说明和信用卡信息。这些类型的数据也是密码数据库转储的一部分。

结论

I choose to use Bitwarden over LastPass despite being more skeptical about their security practices when it comes to inclusion of third-party executable scripts inside the password manager.我希望我们能看到比特沃登做出改变,以限制未来可能的攻击向量数量。

Bitwarden没有像LastPass那样在十年内保持严格操作安全的可靠记录。However,我的个人价值观,信仰,与LastPass相比,首选项在很大程度上倾向于Bitwarden,因为它是一个可选的自托管开源应用程序,每个平台都有客户机。

我没有足够的理由信任最后一次越过比特沃登.我发现我喜欢使用bitwarden,而我从不喜欢使用lastpass。

如果你需要绝对安全,但是,您应该坚持使用lastpass,因为他们在提供托管密码管理服务方面有10年的经验。你可以选择在一个不接触互联网的环境中自我托管Bitwarden。However,对于大多数人来说,Bitwarden提供的当前安全级别是probably good enough.有希望地,我们很快就会看到比特沃登接受全面的安全审计。

Update: German security agency Cure53 have now completed an independent security audit of Bitwarden.All noted issues have been patched.