使用 Bitwarden 管理密码

最近出了超星学习通的数据泄漏了一次，然后在6月27号的时候，腾讯QQ 发生了大面积的盗号事件，被盗的帐号在各种群里面发色图，造成一大群人社死。

出于惰性，我们设置密码时总是喜欢设置重复的密码，重复的用户名，重复的邮箱。这样一下就能想起来帐号密码，登录十分方便，但是一旦发生密码泄漏事件，就会导致多个帐号被盗，因为这些帐号用的都是同样的密码嘛。举个例子，要是我微博跟豆瓣用的同样的帐号密码，如果我微博被盗了或者微博的用户数据泄漏了，盗号者知道了我的微博密码，他可能也去豆瓣试试这个帐号跟密码，然后我豆瓣帐号也被盜了。

因此，偷懒用重复的密码是要不得的，况且，许多人密码甚至都懒得想，直接用烂大街的密码，比如手机号加一个字母啦，连续的数字啦，等等。这些密码就算不泄漏也很容易猜出来。那么，有没有一种办法，能够保护我们的密码，而我们又不用记太多密码呢？答案当然是有的，就是使用密码管理软件。

常用的密码管理软件

市面上常见的密码管理软件有 keepass, lastpass, 1password, bitwarden, google, apple 等等。

其中大多数人对于 google 跟 apple 都应该比较熟悉。google 的密码管理在登录上帐号就可以使用了，还能够进行多端同步，但是在苹果的设备上不好用。

同理，苹果的密码管理在 android 上也不好用。

1password 应该是一款老牌密码管理软件了，但是不开源，密码默认保存在它的服务器上，而且要钱，每月2.99美元的价格可不便宜。

keepass 是一款开源的密码管理器，目前比较流行的是 KeePassXC, 开源，跨平台，功能也比较多，但是个人觉得不太美观。

Lastpass 就不说了，发生过数据泄漏，应该没人再用这个了吧。

Bitwarden 是一个开源免费的全平台密码管理软件，你既可以使用 Bitwarden Inc 提供的云服务，也可以自己搭建服务器后端，使用自己的服务器存储数据。如果你自建了服务器，你将直接解锁高级用户。Bitwarden 还能够创建组织，将其他用户邀请到组织，从而可以很方便的共享密码。

有人翻译了 Bitwarden 的文档： Bitwarden 帮助中心中文版，上面详细介绍了 bitwarden 的特性。

如果你想自建 bitwarden 的后端的话，推荐自建 vaultwarden, 这是用 rust 重写的 bitwarden 服务器端，中文文档参见: Vaultwarden Wiki 中文版。

搭建教程可以参见我以前写的 在 Archlinux 服务器上部署 vaultwarden。

使用 bitwarden

注册与登录

如果你使用的 Bitwarden Inc 提供的服务，那么注册与登录不会有任何困难，但是如果你使用的自建的服务，记得设置你自己的服务器，在这里点击左上角的设置图标，输入你的服务器地址。

Bitwarden 主要有 vaults, Send, 工具，报告，组织 五部分。

Vaults

Vaults 就是我们存放密码的地方啦，你可以记录帐号密码、银行卡号、身份信息或者其他安全笔记，还可以将它们分类到不同的文件夹下。Bitwarden 还可以帮你管理帐号的两步验证，比如 TOTP 验证码，一些不重要的两步验证我都交给它管理了，重要的两步验证还是单独用 aegis 管理。

Send

Send 功能可以让你将一些东西发送给别人，可以设置非常复杂的选项，比如访问次数限制，需要密码访问等等。

工具

这个功能是给我们生成密码或者用户名用的，密码的强弱主要在于密码的长度，密码越长，通常越难破解。Bitwarden 支持生成用户名、密码、密码短语。

报告

这个页面主要是进行密码检查，比如检查弱密码、密码有没有泄漏、以及重复密码。

组织

组织就是你可以建一个小群，把一些密码移到组织里面，再拉一些人进来，让他们可以共享你的帐号跟密码。