享受云计算时代的红利-自建密码管理仓库bitwarden

前言

互联网大爆炸时代，每个人在不同的应用系统中都有不同的身份认证。
与日俱增的应用，带来了铺天盖地的密码，而他们的复杂度又在安全性和易用性的互相较量中螺旋上升。
为了减少管理密码过程中带来的精力损耗，各大操作系统或浏览器也提供了种种密码管理工具。然而由其覆盖范围的有限，及各个系统之间的天然割裂，还是会带来一些不便。
从我个人的观点触发，我认为一个好的解决方案应该是这样的：

1. 一个程序只做一件事，并且做好：浏览器就只做浏览器，密码管理的工作交给专业的系统去管；
2. 与其记住所有密码，不如忘掉密码：与其在创造密码，记住密码和找回密码过程中浪费精力，还不如干脆忘掉密码，扔给系统去管理以释放自己。

痛点

笔者曾经的使用经历如下：

1. 最开始尝试使用过1password等服务，但可能彼时密码管理服务尚不是很成熟，不能满足我的需求（跨系统多终端及同步体验）。---而后来的1password泄露事件也算侥幸逃过一劫。
2. 退而求其次采用了离线管理的方式，通过iCloud+坚果云进行密码库文件多设备同步。
3. 后来apple出了keychain，其系统匹配度，流程完整性非常完善，正好几乎所有设备都是apple生态圈，于是用keychain管理了很久，倒也没有什么跨设备的问题。
4. 随着Chrome用的越来越多，问题来了：keychain不支持chrome，chrome的密码无法导入keychain，导致密码仍然需要分开两处管理，那么换个终端比如说手机ipad的时候，混乱了多次最后只好给两个不同的浏览器约定不同的分工（比如工作类和视频类在chrome，学习类和娱乐类在Safari），但是这样仍然无法避免登陆之前总是要多想一下“在chrome还是Safari？”的卡顿。

梳理过去使用密码管理过程中遇到的痛点转换成需求，列表如下：

1. 安全的密码保护系统（加密方式，数据存取方式，两步认证）
2. 多平台，多系统，数据同步能力（macOS，iOS，windows，Linux，maybe android）；
3. 良好的密码管理策略（新密码自动储存，目标域名密码自动输入，同domain下的二级域名统一管理）；
4. 便捷的使用流程（新系统部署简单，使用顺畅）
5. 支持本地部署（避免供应商跑路，拖库撞库-- lastpass曾出现过入侵事件）
6. 开放的数据导入导出支持（easy in easy out，避免绑架）

解决方案

偶然在v站看到bitwarden，拿来试了试的确挺符合需求的，在此推荐一下：

intro

Bitwarden offers the easiest and safest way for teams and individuals to store and share sensitive data from any device. -- 来自官网 https://bitwarden.com

开源

无需多言

安全

支持端到端AES-256加密。
支持进行密码安全检测（被公开的密码，重复的密码，弱密码，被泄露的密码等）

全平台支持

BitWarden 支持 Windows 、MacOS 和 Linux 三大 pc操作系统和 Android，iOS 两大手机OS， Chrome，Firefox，Opera，Edge 等近十款浏览器的扩展，甚至还有命令行管理模式，可以说是全平台覆盖了。

本地部署

支持本地部署（及容器化部署）

全面的数据导入导出支持

可以查看一下bitwarden支持的密码格式：

后记

经过一段时间的使用，的确在便捷，安全，效率上达到了一个很好的平衡。

美中不足就是服务器在海外同步起来稍微有点慢，有空给他整成本地部署再分享一下。

ps. 腾讯云有提供打包好的开源应用，欢迎使用：bitwarden_rs