为什么我从LastPass迁移到Bitwarden

我有数百个帐户和密码,我需要一个好的密码管理器与我的web浏览器良好的集成。如果我每周都要记住所有需要登录的个人账户和密码,我的大脑会爆炸的。

我一直在用LastPass,尽管从来没有喜欢完全信任他们。然后LastPass开始剥离平台支持,我开始寻找替代密码管理器。

在选择密码管理器时,我将列举几个我觉得很重要的方面,并比较Bitwarden和LastPass如何达到我的期望。

平台可用性

Bitwarden和LastPass两者都提供免费托管的密码管理服务与多个流行平台可用的客户端。yabo88软件下载

LastPass在每个Web浏览器和每个平台上都有非常乐意。但是,它们将Firefox的LastPass扩展留给了Android以在放弃之前腐烂一年多。它们缓慢将其扩展迁移到Web extensions,从Firefox量子以来使用的新铬启动扩展API。在几年内,他们还有一个历史悠久的运输到Firefox用户的延长版本。

在我的经验中,Firefox的LastPass扩展只是随着时间的推移越来越多。我的首选浏览器,Firefox,显然尚未成为LastPass的优先事项。

Bitwarden为Linux,MacOS和Windows提供桌面应用程序;以及用于所有Web浏览器的Android和iOS和浏览器扩展的移动应用程序 - 包括弱者维瓦尔第勇敢用他们的微小的市场。位德伦登到处都是我到处都可以预见到处寻找自己 - 而lastpass建议你更换浏览器继续使用他们的服务。

LastPass和Bitwarden浏览器工具栏图标

LastPass'工具栏图标在我的浏览器中使用了一个耀眼的红颜色;通常保留的颜色以指示某些东西被破坏或需要您的注意。Bitwarden的平静蓝色图标不太令人震惊,我非常强烈地更喜欢它在LastPass的图标上。我还发现位朝向在情况下显示错误消息是LastPass将只是默默无法执行所请求的操作。

开源和自托管

LastPass是一个专有软件和服务。您必须依赖于他们的基础设施,并将继续运营服务不受干扰

另一方面的位接线是从上到下的开源。它们的应用程序,扩展和在线服务都是开源。如果Bitwarden.com在明天宣布他们正在关闭他们的服务器上,您可以从他们的服务器中获取来源,并自己举办它,以确保持续服务。

Bitwarden的自托管实例也不是事后才想到的,因为该公司认为自托管是一个“一流的特性”。我还没有深入研究这个细节,但我希望我将考虑为自己主办它的时间。

作为一名开发人员,我还很看重检查他们的代码并在遇到错误时提出修改建议的能力。我在Bitwarden中还没有遇到任何需要我注意的东西,但我很高兴知道我可以选择自己修复它。我已经提交了一些具体的bug,甚至建议在他们的支持表单中补上补丁,但是他们总是倾向于让这个bug在他们的浏览器扩展中多年都没有解决。

安全

我没有时间也没有能力去评估一个密码管理器与另一个密码管理器相比到底有多安全或不安全。然而,我注意到了一些有趣的事情。

Bitwarden还没有一个完全独立的安全审查。代码是开放的,任何人都可以查看它,希望“好人”能够发现任何潜在的安全漏洞,并向Bitwarden报告问题。发生这种情况的可能性比专利产品大得多;看看每个人是如何访问Bitwarden的源代码的。

当我得知Bitwarden的浏览器扩展不会在页面加载后自动填写登录信息时,我非常惊讶。用户必须与扩展交互,以使其填写存储的用户名和密码。

虽然这是一个略有的不便,但它也有效停止自动填充盗窃由于一些广告网络抓住了。浏览器厂商已经知道这个问题十多年了,但是大多数web浏览器的内置密码管理器和大多数第三方密码管理器都忽略了它。

我还有一些关于Bitwarden使用第三方脚本资源的问题,我将在下一节详细介绍。

安全问题对第三方资源

在我看来,不应该从任何第三方域加载外部资源在高风险的高安全性环境中,如密码管理器。

LastPass在自己的域名下托管所有内容,从而可以确保只要他们控制他们的服务器,它们就会保持控制密码管理器内的所有加载的所有加载。

更新():本节中的其余信息已过时。请参见3个月的Bitwarden更新对于较新的信息。

Bitwarden将来自Bootstrap CDN以及Google Fonts和Google托管库的脚本和样式加载脚本和样式。这些资源加载了子资源源完整性强制,这意味着如果外部资源与预定校验和匹配,现代浏览器将拒绝加载它们。换句话说,Bitwarden有一个相当愉快的信心,通过包括这些远程托管资源,它们不会加载任何恶意或意外的东西。

然而,Bitwarden也从两家支付服务提供商Braintree (PayPal)和Stripe,以及谷歌Analytics和双因素登录服务提供商Duo Security加载JavaScript。当您登录到web vault时,所有这些第三方都包括在内,并且加载时没有执行子资源完整性。这些第三方供应商不支持子资源完整性加强。

包括任何第三方内容是恶意演员的潜在大道进入密码库我看不出这些公司能在密码库中执行代码的任何有力理由。他们都是信誉良好的服务提供商,不太可能会放松对自己域名的控制。然而,这是一个不必要的风险因素,坦率地说,他们似乎也完全没有必要。

第三方分析

Bitwarden移动应用程序、桌面应用程序、扩展程序和web vault都集成了谷歌Analytis来跟踪用户的行为数据。用户可以通过设置:Other: Options禁用Analytics选项来选择退出。

更新(): Bitwarden不再直接包含谷歌分析脚本。请参见3个月的Bitwarden更新对于较新的信息。

这是不属于安全环境(如密码管理器)的不受约束的第三方脚本的另一个例子。在这种情况下,用户应该选择进入跟踪,而不是必须选择退出。

它不足以在Web Vault中选择一次或在其中一个应用程序或扩展中。用户必须在每个客户端中再次退出,因为选择退出偏好并不在客户端之间同步。

我完全理解跟踪一些行为分析的需要和愿望。然而,对于一个普通网站来说足够好,对于密码管理器这样的安全关键环境来说却未必足够好。在我看来,没有理由使用谷歌分析——或者任何第三方分析——像Bitwarden那样不加批判地使用它。

数据可移植性

Bitwarden和LastPass可以将密码,安全记和其他安全说明导出到与表示每个值的标头的逗号分隔值(CSV)格式。许多密码管理器支持从CSV文件导入,但可能需要一些手动洗机数据列(与使用CSV中的其他任何内容,代替正式标准化的交换格式)。

Bitwarden处于劣势,可以从LastPass导入数据。然而,如果你想走另一个方向,你将需要重新格式化CSV导出文件,以便LastPass接受它。csv很容易使用,而且需要注意的重要一点是,当从两个密码管理器导出时,所有数据都显示出来了。

LastPass在将要在Bitwarden导入的数据导出以导入数据时,不正确地编码了几个(但不是全部)UTF-8字符。在Bitwarden可以导入文件之前,我将在逗号分隔的导出格式中手动纠正这些。(这是一个rikeps中的一个错误而不是bit intenen。)刚刚遇到一个导出问题,我也测试了并确保位于导出时不做同样的错误。

Bitwarden和LastPass都可以存储其他类型的信息,包括安全备注和信用卡信息。这些类型的数据也是密码数据库转储的一部分。

结论

我选择使用Bitwarden而不是LastPass,尽管我对他们在密码管理器中包含第三方可执行脚本的安全实践持怀疑态度。我希望Bitwarden在未来能做出一些改变来限制可能的攻击向量的数量。

Bitwarden没有像LastPass那样在10年的时间里严格维护运营安全的记录。然而,我个人的价值观、信仰和偏好很大程度上倾向于Bitwarden而不是LastPass,因为它是一个可选择的自托管开源应用程序,客户端适用于每个平台。

我没有强烈的理由相信Lastpass over bit.。我发现我喜欢使用Bitwarden,而我从不喜欢使用LastPass。Bitwarden在我看来是最好的LastPass替代品。

如果你需要绝对的安全,你可能应该坚持使用LastPass,因为他们在提供托管密码管理服务方面有十年的经验。您可以选择在一个不暴露于互联网的环境中自行托管Bitwarden作为替代。然而,对于大多数人来说,Bitwarden目前提供的安全级别是可能不够好。希望Bitwarden很快就能接受全面的安全审计。

更新():德国安全机构Cure53已经完成了对Bitwarden的独立安全审计。所有注意到的问题已经修复。