bitwarden 备份的数据能直接解析出密码吗?

查看 163|回复 13
作者:qinyui   
刚部署了个 bitwarden 准备以后存密码,备份的话准备直接定期用脚本将/data 用 git 推送到 github 私有仓库
这样有什么风险吗?如果私有仓库的 sqlite 数据库泄露被别人拿到能提取出存储的密码吗?
顺便想问一下 bitwarden 谷歌浏览器插件有泄露密码的风险吗?比如电脑上的其他程序能否直接去读 bitwarden 插件数据?
(因为换 bitwarden 就是觉得谷歌浏览器自带的密码管理不安全,存储位置和加密方式固定很容易被其他程序读取而泄露)

bitwarden, 密码, 泄露, 备份

xausky   
都拿不到,需要主密码才能拿到,密码库超时时间不要设置从不超时就拿不到
jackmod   
数据不含密码规律,只由客户端解密。
算法是开源的,理论上可以暴力破解,所以主密码要足够复杂。
客户端解锁以后必然有风险,用于解密的数据都在内存里。
题外话,搜索“古诗密码”帮助自己编制密码。
stinkytofu   
@xausky #1 数据肯定是无法解密, 但是浏览器插件这个我还是有顾虑, 如果频繁的锁定插件, 用起来太麻烦了, 如果插件在解锁期间, 安全性咋样, 会不会被别地插件读到明文密码?
我现在是重度使用, 不仅仅存密码, 很多密钥,隐私都依赖私有部署的 bitwarden
totoro625   
我是用的 sqlite backup 的方法,防止备份的数据库不完整
原贴: https://www.reddit.com/r/Bitwarden/comments/r2kw38/how_do_i_make_an_unencrypted_backup_of_the_sqlite/
NnMmOo   
楼上的几位用过 bitwarden 吗?备份的数据是以 json 格式明文存储的
xausky   
@stinkytofu 如果是本地电脑已经被入侵那就陷入攻防战了,看攻击者有没有针对 bitwarden ,不行可以直接读内存,门槛肯定是比浏览器自带的高的,这个没有什么方法说完全能防住,还是要以预防本地电脑被入侵为主。
krixaar   
@NnMmOo #5 导出的时候有 json 、csv 和 json(Encrypted),那个加密的是真没法解开;自建的比如 vaultwarden 直接备份 sqlite 就行。
xausky   
@NnMmOo OP 说的是部署的 bitwarden 服务器里面的 /data ,说的不是导出密码库功能。
qinyui
OP
  
@xausky @NnMmOo #8 对是自建的 bitwarden ,现在是准备直接在/data 目录下将所有 sqlite 等文件定期 push 到私有 git 仓库
您需要登录后才可以回帖 登录 | 立即注册

返回顶部