密码库健康报告

密码库健康报告可用于评估 Bitwarden 个人或组织密码库的安全性。报告(重复使用密码和弱密码报告)在客户端本地运行。Bitwarden 在不访问未加密版本数据的情况下就可以识别出违规项目。

大部分密码库健康报告功能适用于高级用户,包括付费组织(家庭、团队或企业)的成员。但数据泄露报告对所有用户都是免费的。

查看报告

完成以下步骤以查看您的个人密码库的任何密码库健康报告:

1、登录到网页 App 然后从导航栏选择报告:

2、选择要运行的报告。

要查看您的组织密码库的任何密码库健康报告:

1、登录到 Bitwarden 网页 App。

2、使用产品切换器打开管理控制台:

3、在您的组织中,从导航栏选择报告报告

可用的报告

泄露密码报告

泄露密码报告可以识别被黑客公开发布或在暗网上出售的已知数据泄露事件中发现的密码。

该报告使用受信任的网络服务在已知泄露密码的数据库中检索您所有密码哈希值的前 5 位,然后,将返回的匹配的散列列表与你的密码的完整散列列表进行本地比较。这种比较只在本地进行,以保护你的 k-匿名性

确定后,你应该为违规账户或服务创建一个新的密码。

为什么使用密码哈希值的前 5 位?

如果此报告使用你的实际密码来执行,那这些密码是否暴露并不重要了,因为你主动将其泄露给此服务了。并且这个报告的结果并不意味着你的个人账户已被泄露,只是你使用的密码已经在这些暴露的密码数据库中被发现,你应该避免使用泄露的密码和非唯一的密码。

重复使用的密码报告

重复使用的密码报告可以识别密码库中的非唯一密码。如果在多个服务中重复使用相同的密码,当一个服务被攻破时,会让黑客轻松获取您的更多在线账户的访问权限。

确定后,您应该为违规账户或服务创建一个唯一的密码。

弱密码报告

弱密码报告可以识别出容易被黑客和用于破解密码的自动化工具猜中的弱密码,并按弱点的严重性进行排序。Bitwarden 密码生成器可以帮助您创建更强大的密码。

确定后,您应该使用 Bitwarden 密码生成器为违规账户或服务创建一个强密码。

不安全网站报告

不安全网站报告可以识别在 URI 中使用不安全 (http://) 方案的登录项目。使用 https:// 的 TLS/SSL 加密通信要安全得多。要了解更多信息,请参阅 URI 的使用

确定后,您应该将违规的 URI 由 http:// 更改为 https://

未激活 2FA 报告

未激活 2FA 报告可以识别如下的登录项目:

  • 该服务提供了通过 TOTP 的双重验证 (2FA)

  • 您尚未存储 TOTP 验证证器密钥

双重验证 (2FA) 是保护您帐户安全的一个重要安全设置。如果网站提供,您应该始终启用双重验证。通过将 URI 数据与来自 https://2fa.directory/ 的数据进行交叉引用,可以识别出违规项目。

确定后,使用说明 (Instructions) 超链接来为每个违规项目设置 2FA。

成员访问权限

企业组织可以使用成员访问权限报告来查看组织成员有权访问的群组、集合和项目的列表。

使用成员访问权限报告,您可以:

  • 查看每个用户有权访问的群组、集合和项目的总数。

  • 使用搜索成员在成员访问页面上搜索单个成员。

  • 使用导出 按钮创建 CSV 导出。CSV 导出包含了每个成员的群组集合访问权限的详细列表,以及集合权限两步登录账户恢复状态。

数据泄露报告(仅个人密码库)

数据泄露报告使用一种叫做 Have I Been Pwned (HIBP) 的服务来识别已知事件中的泄露数据(电子邮件地址、密码、信用卡、DoB 等)。

[译者注]:DoB:Date of Birth,出生日期

当您创建一个 Bitwarden 帐户时,您可以选择在您决定使用主密码之前运行此报告。要运行此报告,您的主密码的哈希值将发送到 HIBP,并与存储的公开哈希值进行比较。Bitwarden 永远不会暴露您的主密码本身。

HIBP 将「泄漏」定义为「通常是由于访问控制不足或软件的安全弱点造成数据在脆弱的系统中无意中暴露的事件」。更多信息,请参阅 HIBP 常见问题文档

如果您是自托管 Bitwarden,想要在您的实例中运行数据泄露报告,您需要购买 HIBP 订阅密钥,该密钥将授权您对 API 进行调用。可以在此处购买此密钥。

拥有此密钥后,打开 ./bwdata/env/global.override.env 并将 globalSetting__hibpApiKey= 的占位符值替换为您购买的 API 密钥:

globalSettings__hibpApiKey=REPLACE

更多信息,请参阅配置环境变量

最后更新于