安全常见问题
本文包含有关安全的常见问题(FAQ)。
答:您可以出于以下这些原因信任我们:
答:Bitwarden 采取极端措施确保其网站、应用程序和云服务器的安全。Bitwarden 使用 Microsoft Azure 托管服务来管理�服务器基础设施和安全,而不是直接自己来做。
答:不能。
您的数据在离开您的本地设备之前就已经被完全加密和/或哈希,因此 Bitwarden 团队的任何人都无法看到、读取或进行逆向工程来获取您的真实数据。Bitwarden 服务器只存储已被加密和哈希的数据。有关您的数据如何被加密的更多信息,请参阅加密。
答:不会。
我们不会将主密码保存在本地或内存中。仅当应用程序解锁后,您的加密密钥(从主密码派生而来)将会保存在内存中,这用于来解密您密码库中的数据。当密码库被锁定时,这些�数据会从内存中清除。
我们还会在锁屏 10 秒后重新加载应用程序的渲染进程,以确保任何尚未被垃圾收集的托管内存地址也被清除。我们尽最大努力确保任何可能在内存中为应用程序运作的数据只在您需要的时间内保存在内存中,并且每当应用程序被锁定时,内存都会被清理。当应用程序处于锁定状态时,我们认为应用程序的加密数据是完全安全的。
答:如果新设备的 IP 地址与任何已知的 IP 地址(家庭网络、工作网络、移动网络等)不匹配,请更改您的主密码,并确保您的账户启用了两步登录。您还应该从网络密码库的设置页面取消会话授权,以强制在所有设备上注销。如果您认为您的密码库项目可能受到威胁,您应该更改您的密码。
答:Bitwarden 符合以下政策:
答:Bitwarden 符合 GDPR 标准,并使用经批准的信息传输机制,包括根据 2021 年 6 月 4 日欧盟委员会实施决定 (EU) 2021/914 批准的欧洲议会和理事会条例 (EU) 2016/679 制定的欧盟标准合同条款 (SCC)。目前载于 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj。对于商业和企业客户,Bitwarden 可以执行 Bitwarden 数据保护协议。
Bitwarden 云服务器目前托管在美国和欧盟的 Microsoft Azure 上。如今,Bitwarden 通过这一基础设施为数百万用户提供服务,其中包括欧洲和世界各地的政府和企业客户。
对于需要完全控制数据驻留的客户,也可以将 Bitwarden 私有托管在您自己的基础设施上。
存储在 Bitwarden 中的所有密码库数据,无论是在云端还是自托管,都经过端到端加密,除 Bitwarden 用户外任何人都无法访问。通过这种端到端、零知识加密架构,即使 Bitwarden 也无法访问您的数据。
答:在移动应用程序中,Firebase 云消息传递(经常被误认为是跟踪器)仅用于与同步相关的推送通知,并且绝对不执行任何跟踪功能。Microsoft Visual Studio App Center 用于在一系列移动设备上进行崩溃报告。在 Web Vault 中,Stripe 和 PayPal 脚本仅用于支付页面上的支付处理。
对于那些喜欢排除所有第 3 方通信的用户,Firebase 和 Microsoft Visual Studio App Center 已从 F-Droid 构建中完全移除。此外,关闭自托管 Bitwarden 服务器上的推送通知将禁用推送中继服务器。
答:对我们系统的安全性有信心,这对 Bitwarden 来说是极度重要的。所有提交的代码更改�在被合并到任何代码库之前,都会由团队中的一个或多个非作者成员进行审查。所有的代码在生产前都要经过多个测试和 QA 环境。Bitwarden 已经实施了 SOC2 报告来审计和验证我们的内部程序。正如报告中提到的,我们的团队要经过严格的背景调查和彻底的面试过程。Bitwarden 作为一个开源产品,也欢迎同行在任何时候对我们的代码进行审查。Bitwarden 团队将努力尽一切可能让我们的用户感到舒适,并保证他们的数据安全。
答:好问题!答案取决于特定的信息和客户端应用程序:
答:首先,获取相应版本的
latest 版 yaml 文件(例如 latest-linux.yml)和相应的发布包(例如 Bitwarden-1.33.0-amd64.deb)。为已下载的发布包生成 SHA512 哈希值(例如 sha512sum Bitwarden-1.33.0-amd64.deb)然后将生成的 Hex 值转换为 Base64。将计算出的 Base64 值与 yaml 文件中的 sha512: 值进行比较以进行验证。答:Bitwarden 认为,与全球安全研究人员合作对于确保用户安全至关重要。如果您认为在我们的产品或服务中发现了安全问题,我们鼓励您通过我们的 HackerOne 计划提交报告。我们欢迎与您合作,尽快解决问题。详细了解我们的披露政策。
答:
web-vault.pages.dev 是 Bitwarden 独有的子域名,由 Cloudflare Pages 使用。当 Cloudflare 遇到 DNS 问题时,此 URL 可能会向用户显示。在输入用户名和主密码之前,您应该通过检查 URL 来始终警惕网络钓鱼尝试,但 web-vault.pages.dev 应被视为可以安全登录。答:暴力攻击是指恶意行为者循环使用弱密码和短密码的组合来尝试访问您的账户。Bitwarden 提供了几种保护自己免受这些潜在攻击的方法:
- 拥有一个��长且唯一的主密码。Bitwarden 要求至少 12 个字符以提高账户安全性。
- 在未知设备尝试登录 9 次失败后,Bitwarden 将要求 CAPTCHA 验证。
答:Bitwarden 使用管理数据为您提供 Bitwarden 服务。如某些应用程序隐私报告所示,用户在创建账户时提供以下信息:
- 您的名称(可选)
- 您的电子邮件地址(用于电子邮件验证、账户管理以及您与 Bitwarden 之间的交流)
此外,Bitwarden 生成的特定于设备的 GUID(有时称为设备 ID)将分配给您的设备。当新设备登录到您的密码库时,此 GUID 用于提醒您。
答:一篇经常被分享的文章表明,电子应用存在缺陷,然而所提到的攻击需要用户拥有一台已被入侵的机器,这当然会让恶意攻击者入侵该机器上的数据。只要你没有理由相信你所使用的设备已经被入侵,你的数据是安全的。
答:如果开发得当,扩展程序是可以安全使用的。由于浏览器扩展的工作原理,总是可能会出现错误。我们在开发我们的扩展程序和附加组件时,会非常小心谨慎。我们会密切关注行业内发生的任何事情,并对所有事物进行更多的安全审计。
答:在安装时,浏览器扩展程序会要求访问剪贴板的权限,以便使用预定的剪贴板清除功能(在选项菜单中设置)。
启用此可选功能后,剪贴板清除功能将在一个可配置的时间间隔内清除 Bitwarden 产生或填充的任何��条目。通过访问剪贴板,将允许 Bitwarden 不清除与 Bitwarden 应用程序无关的剪贴板项目,方法是再次从你的密码库中检测最后复制的项目。请注意,这个功能默认是关闭的。
答:当您使用这些应用程序时,Bitwarden Android 和 iOS 应用程序可能会要求以下权限:
权限 | 理由 |
|---|---|
允许 Bitwarden 拍照和录制视频吗? | 用于两步登录或 Bitwarden Authenticator 扫描二维码。 |
允许 Bitwarden 访问您设备上的照片和媒体吗? | 用于从设备上保存的文件创建附件或 Send。 |
此权限,也就是
nativeMessaging,可以安全地接受它,它允许浏览器扩展与 Bitwarden 桌面应用程序进行通信,这是启用生物识别解锁所必需的。请注意,当您的浏览器更新到此版本时,您可能会被要求接受一个名为「与本机应用程序通信」(在基于 Chromium 的浏览器中)或 「与 Firefox 以外的程序交换消息」的新权限。如果您不接受此权限,该扩展将保持禁用状态。
答:Bitwarden 使用符合 FIPS 标准的库和密码学,但是 Bitwarden 平台没有进行任何 FIPS 认证。Bitwarden 的大多数 FIPS 安装利用自托管选项,使评估(即网络安全成熟度模型认证)更容易。
答:使用自助托管,您可以使用自定义防火墙和 NGINX 配置以及 VPN/VLAN 访问控制来确定访问 Bitwarden 实例的设备类型和/或网络层。您也可以使用其他工具,比如设备级证书来控制特定设备对 Bitwarden 实例的访问。
答:有的! Bitwarden 桌面应用程序在 Windws 中有提供便携版
.exe,其可在此处下载。便携版应用程序非常适合始终离线的环境或不需要应用程序自动更新的场景。便携版应用程序不会自行更新。最近更新 1mo ago