V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LeeReamond
V2EX  ›  软件

有没有老哥讲下 Vaultwarden

  •  
  •   LeeReamond · 258 天前 · 3062 次点击
    这是一个创建于 258 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首页密码管理器贴看见的,说是很好用的自建工具。

    我现在是用 1password ,目前使用体验上我是满意的,缺陷有两点:

    1. 印象里年费几十刀,记不太清,相对服务而言是合理的收费,但是如果能自建省了何乐而不为。
    2. 1password 似乎是个小公司,并不具有 FLAG 级别的公信力,说实话,如果可以的话我并不想将密码托管在对方服务器。

    目前我有的条件:7*24 运行的 nas ,有公网 IP 。

    Vaultwarden 大概看了下项目页面,但是由于不是商业项目,还是太简陋了,很多信息无法获得,有没有用过的老哥来分享一下以下几点:

    1. 整体使用上易用性体验如何,有无 Vaultwarden 和 1password 都用过的老哥对比一下。
    2. 我个人使用的三点刚需:Chrome 上能高质量自动补全登录信息、Windows 上能方便保存新密码、安卓上至少能查看,不知道该项目对这三个级别的易用性完成度如何。
    3. 项目页面没有留一个 Demo 地址,我甚至无法登入进去看该项目的真实运行情况是如何的。1password 主要是基于浏览器插件运行,但 Vaultwarden 似乎没有插件,那如何补全其他页面的密码?
    4. 该项目的备份恢复情况如何,将物理存储映射到硬盘并备份后,如果出现损坏可以直接从硬盘导入吗?
    5. 该项目说支持 2FA ,我目前 github 的 2FA 是保存在密码管理器里的,它列举的所有 2FA 机构中是否包含 Github 使用的机构?
    6. 有无老哥分享分享公网 IP 挂带证书域名的方法,我个人使用体验上只用过 acme.sh 签 let'sencrypt 证书,我对其稳定性非常不满意。。。

    拜谢

    22 条回复    2024-03-31 18:58:36 +08:00
    qweruiop
        1
    qweruiop  
       258 天前
    易用性上比 1p 差的不要太多。。。不过想着安全性上面,忍忍也就过了。。。
    biu7
        2
    biu7  
       258 天前
    app 和扩展都用的 bitwarden ,所以你下个 bitwarden 体验一下就知道了
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       258 天前 via iPhone
    3. 它只是 bitwarden 的第三方开源后端,你的 1 2 3 5 可以在 bitwarden 那边找到答案
    4. 可以,我选的 sqlite ,你可以备份整个目录
    Noicdi
        4
    Noicdi  
       258 天前 via iPhone
    平常说的自建 bitwarden ,后端就是 vaultwarden 。所以客户端和浏览器插件用的都是 bitwarden ,登录时设置为自建服务器即可。
    1. 不清楚
    2. 浏览器插件的功能上有自动补全功能,但是有时候不太灵敏;我认为挺方便;可以用 bitwarden 的软件查看
    3. vaultwarden 提供 docker 部署,整一个然后在用 bitwarden 的插件测试一下
    4. 可以导出密码,生存一个明文的 json ,我都是把这个文件存在 icloud 里
    5. 不清楚
    6.不清楚
    Noicdi
        5
    Noicdi  
       258 天前 via iPhone
    @Noicdi #4
    4. 除了导出密码外,还可以选择将 docker 的数据目录保存下来。我尝试过这种恢复方案,可行
    mohumohu
        6
    mohumohu  
       258 天前
    2FA 是通用算法,跟平台没有啥关系。
    至于证书,套个 caddy 就完事了。
    mschultz
        7
    mschultz  
       258 天前   ❤️ 1
    3. Bitwarden 官方本身就有开源服务端自建方案( https://bitwarden.com/help/install-on-premise-linux/ ),不过对 Server 的性能要求较高。一般使用小内存 VPS 的玩家会选择 Vaultwarden 。Vaultwarden 是官方服务端自建方案的「平替」,占用资源较小,兼容 Bitwarden 官方的 API 。所以 Vaultwarden 用户在各平台客户端(包括浏览器插件)方面都是用 Bitwarden 官方的。Bitwarden 官方客户端在登录的时候可以选择连接官方服务( bitwarden.com )还是 Self-Hosted 服务(自己的域名)。

    原来项目叫 Bitwarden_RS ,顾名思义就是 Bitwarden 服务端的一个第三方 Rust 实现,后来为避免商标争议和误导改名 Vaultwarden 。

    4. Vaultwarden 的数据存储文件组织结构比较简单,主要就是一个 SQLite 和一个附件文件夹(如无附件可忽略),文档里有关于备份策略的详细说明: https://github.com/dani-garcia/vaultwarden/wiki/Backing-up-your-vault 多个月前我试过一次直接导入我备份的 sqlite 文件到新部署的 Vaultwarden 中,似乎没啥问题,数据都在。
    totoro625
        8
    totoro625  
       258 天前   ❤️ 1
    0. Vaultwarden Demo 可以简单粗暴认为是商业化运行的 bitwarden 付费版: https://bitwarden.com
    当讨论 Vaultwarden 时,默认就是 bitwarden = Vaultwarden
    1. Vaultwarden 能用,但是细节体验上不如 1password 流畅,但是 bitwarden 官方发文正在重构所有客户端及插件,值得期待
    2. 都可以,安卓也能自动填充,包括 App ,如 QQ 等,易用性 OK 的,浏览器插件上 Vaultwarden 不够优雅,但是足够用
    3. 直接去 bitwarden 官方体验: https://vault.bitwarden.com
    插件在: https://bitwarden.com/download/
    4. 非常 easy ,就一个文件,当然整个文件夹备份也是 OK 的
    推荐备份命令:sqlite3 /data/vault/db.sqlite3 ".backup '/data/vault/backups/db-$(date '+%Y%m%d-%H%M').sqlite3'"
    5. 通用密码管理器支持的都支持,Github 也支持,Steam 这些不支持,如需 Steam 请去 KeePass ,需要额外插件
    6. let'sencrypt 和 zerossl 都很烂,目前推荐用 GTS 证书,Google 关键词“使用 ACME.SH 申请 Google CA SSL 证书”
    我的做法是,用 GCP 免费小鸡每月强制生成一份证书,再推送到本地 NAS 。
    使用境外服务器生成证书可以避免网络干扰导致的证书签发失败。
    签发方式使用 DNS mode + DNS alias mode (多个域名),而不是 HTTP 验证
    mschultz
        9
    mschultz  
       258 天前
    5. 2FA 字面意义上是一种安全机制,不是一个具体的方法/算法。这里假定你指的是常见的 TOTP 算法(就是一般 6 位数字,30 秒变一次),这个算法是标准化的( RFC6238 ),基本原理就是一个函数 HOTP(K, T),其中 K 是密钥,T 是一个随着时间递增的整数,然后这个函数通过一些内部 Hash 之类的运算最后输出 6 位数字。

    一个密码管理器所谓支持保存 TOTP 两步验证码,其实就是帮你保存那个密钥(在网站上设置 2FA 时生成的,经常以二维码的形式给你展示一次,让你用密码管理器去扫),然后支持在任意时刻把这个函数计算的 6 位数字显示出来。由于是标准化的,相当多的密码管理器(包括 Bitwarden 客户端 + Vaultwarden 服务端的组合)都支持这个功能,通用的,你自己写点代码也能实现这么一个输出 6 位验证码的函数出来。

    另 Vaultwarden, 1Password 这些服务近年来也开始支持 Passkey 。
    andyskaura
        10
    andyskaura  
       258 天前 via Android
    你可以用我的体验一下。pwd.kuraa.cc
    mschultz
        11
    mschultz  
       258 天前
    @mschultz #9 5. 补充:极少数网站使用的是私有的 TOTP 算法,比如 #8 楼提到的 Steam 。
    不过有人说你想折腾的话其实也是可以实现支持的。推荐阅读: https://type.cyhsu.xyz/2023/12/fosspwman/
    LeeReamond
        12
    LeeReamond  
    OP
       258 天前
    @andyskaura 感谢老哥,我简单试了下感觉普通使用和 1password 没啥大区别? 2FA 我没试
    loveqianool
        13
    loveqianool  
       258 天前 via Android
    me221
        14
    me221  
       258 天前
    Homelab 部署了 Vaultwarden ,用 mkcert 自签域名

    WireGuard 回家

    安全性上我觉得够了
    bs10081
        15
    bs10081  
       258 天前
    我一開始用的 Bitwarden ,後面因為自己的 Server 炸了,然後密碼全沒了,現在轉 1Password 很久了,轉過來的第一感受就是,界面好看,易用,功能更新快,我現在超級喜歡 1Password 的 Passkey 和 SSH Agent 這兩個功能
    MackMa
        16
    MackMa  
       258 天前
    @bs10081 BitWarden 已经支持 Passkey 了
    azio7
        17
    azio7  
       258 天前
    没用过 1p ,只说这个
    桌面端浏览器有插件支持,android 本身有支持自动填充的功能,少部分应用不支持,主流浏览器支持
    mezhangkai
        18
    mezhangkai  
       257 天前 via iPhone
    不支持 ssh agent ,其余差不多,自建注意备份就 ok
    bs10081
        19
    bs10081  
       257 天前
    @MackMa 誒,不錯,那我再等個 UI 更新,然後給 Bitwarden 一個機會
    MackMa
        20
    MackMa  
       257 天前
    @bs10081 #19 据说今年会完成重构
    https://m.ithome.com/html/753484.htm
    frankilla
        21
    frankilla  
       250 天前 via iPhone
    1p 我觉得难用,尤其是 ios 端上,也不知道是不是我姿势不对,刚刚退款。
    9H93q6EKnTVFQDRq
        22
    9H93q6EKnTVFQDRq  
       237 天前
    你的第一点刚需就不满足,它自动填充贼垃圾,在爆出有网站自动填充漏洞之后他们团队的填充策略就更保守了,只能填充他们认为安全的网站。不过特别麻烦也说不上,你只需要把鼠标挪到拓展图标上,点击,点击密码,自动填充了。他们是把泄漏的责任甩给你了,是你自己手动操作泄漏的,不是我们插件的责任哦。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   961 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:12 · PVG 05:12 · LAX 13:12 · JFK 16:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.