Bitwarden密碼管理器

概要

很久以前介紹過KeePass之類的密碼管理軟體，屬於單機式的軟體，在想登入的畫面中輸入帳號密碼時，自行從中複製並貼上可省卻逐一敲鍵輸入的動作。現代瀏覽器或移動裝置有些會提供更方便的作法，就是在登入時先詢問使用者，在經過使用者允許同意之後，可自動記錄輸入的帳號密碼，往後進入同一登入頁面時，它可以自動幫你調出記錄並自動輸入。相當方便的作法，只是有些人可能會不放心這些被記錄下來的帳號密碼會留在哪裡？儲存的資料是否做了良好的加密？日後會不會因為該軟體有某種弱點被發現或其它原因而導致檔案或資料洩漏出去？

關於資訊安全，不妨多留意些，採取較嚴謹的要求準沒錯。如果很想使用上述方便的作法，又覺得不放心，那麼本文所要介紹的Bitwarden可以更加方便，而且相當安全，不僅是開放源碼，而且經過第三方單位對代碼做過安全方面的分析與審查，近年來也幾次被不同機構評選為最佳密碼管理器。[1]

本文僅做粗略簡單介紹，更詳細的資料，可見文末所列參考與連結，Bitwarden官方網站也提供不少說明。

Bitwarden簡介

Bitwarden是由Bitwarden Inc.所開發的密碼管理服務，提供雲端儲存，也有Self-host的選項；提供各式平台用戶端軟體，像Windows, macOS, Linux桌面版本，有支援多款瀏覽器的插件，移動裝置APP，或者，也可以直接用網頁，只要有現代版本的瀏覽器即可。

以Bitwarden記錄的帳號密碼資料會經過加密後儲存在雲端，使用者在不同裝置上安裝好用戶端軟體，資料即可從雲端同步到使用者裝置上的用戶端軟體，如此使用者就可在不同的電腦、手機、平板上取得並使用同一份資料。這就有點類似Authy多裝置功能的作法。

上述提到的資料加密是採用Zero-knowledge encryption，以使用者提供的主密碼來產生加密金鑰，再以此金鑰對資料做加密。服務的提供方並不知曉使用者的主密碼以及所儲存的資料內容。所以使用者在使用Bitwarden時，要先註冊個帳號，留個電子郵件信箱，設置帳號名稱與主密碼。務必記好主密碼，如果忘了，裡頭的真實資料就無人知曉了。

該服務有免費與付費方案，前者的功能已可符合一般用戶需求，有進階功能需求者可採付費方案，目前看來價格也相當低廉。

有提供匯出/匯入功能，若有使用其他密碼管理器軟體的，可利用此功能與其他同類軟體匯出/匯入既有的帳號密碼資料。

使用情境

在Bitwarden官網上註冊好帳號之後，就可以正式使用它的服務了。若是電腦用戶，最常見的使用情景應該是在瀏覽器上登入網站，所以此處以此情境為例，並假定首次使用Bitwarden，尚未存放任何網站的帳號密碼。先裝好瀏覽器用的Bitwarden元件，並登入Bitwarden。

找個網站來登入，在輸入帳號與密碼成功登入網站時，它會詢問是否要儲存該網站的帳號與密碼。因為有些瀏覽器也可能做相同的詢問動作，所以這裡要請使用者自行區別清楚，看一下訊息文字與標示再做動作，Bitwarden的會帶有它的圖示。

儲存下來之後，往後再回來該網站且尚未登入時，在已登入Bitwarden的狀態下，Bitwarden的元件圖示會有所顯示。來到網站的登入頁面，在帳號或密碼的輸入欄位上按滑鼠右鍵，從快捷選單中找Bitwarden，其下的子選單中會有一項是“自動填入”可協助填入帳號與密碼。

特別再次提醒，要先以主密碼登入Bitwarden，打開密碼庫並取得其中的資料回來，才能進行上述自動填入的動作。類似的情況，在手機上使用時，要自動填入之前，Bitwarden APP要先解鎖才會有作用。移動裝置版的Bitwarden用戶端可設置生物特徵來解鎖，如指紋；或是PIN碼解鎖，這兩者可能會比在手機軟鍵盤輸入主密碼來的方便。不同廠牌型號的移動裝置，在這方面的作法可能會有所不同。另外，可能還要調整一下系統設置，將提供自動填入功能的APP改成Bitwarden。

個人訣竅

自己是KeePass與Bitwarden都使用，以下提供個人的使用訣竅，僅當個範例供參考，請讀者視己身需求做適度調整。

由於Bitwarden的主密碼不可遺失或忘記，所以建議可搭配KeePass XC/KeePass DX使用。譬如，把所有帳號密碼，包括Bitwarden的主密碼都記錄在KeePass中。帳號密碼數量很多時可依需要自行做分類，或放置在不同檔案中方便管理，密碼檔再複製到自己掌控的不同裝置中當備份，如果想複製到多個裝置，可考慮使用Syncthing。務必記牢KeePass的密碼。

如果不放心把所有密碼都存放Bitwarden的雲端空間，那麼可採取折衷方式：Bitwarden中只放需要經常頻繁登入的網站或線上服務的帳號密碼，讓Bitwarden協助自動輸入；至於很久才需要重新登入的，用KeePass人工複製貼上即可。

自己的主要機器使用Kubuntu桌面環境，其中的KWallet也可用來記錄一般密碼，而且只需登入桌面環境的密碼即可開啟KWallet，所以把KeePass與Bitwarden的主密碼都存在其中之後，在桌面環境工作時，基本上就可以把人工敲鍵輸入帳號密碼的次數降到一。即解鎖KWallet之後，就可複製貼上來解鎖KeePass與Bitwarden，其餘的不是以Bitwarden自動填入就是複製貼上。除非要新註冊帳號，否則就沒有人工敲鍵輸入密碼的機會。

參考與連結

1. https://en.wikipedia.org/wiki/Bitwarden
2. https://en.wikipedia.org/wiki/List_of_password_managers
3. https://free.com.tw/bitwarden/