我们是人。我们每天都被技术和账户淹没,大多数人会选择一个他们容易记住的密码。
——Jonathan LeBlanc,前 PayPal 员工
记住网络应用、电子邮件、银行等密码的需求催生了密码管理器。这也催生了像 LastPass 和 1Password 这样流行的专有服务。
大约两年前,软件开发者 Kyle Spearrin 认为开源世界需要自己的基于网络的密码管理器。他的公司 8Bit Solutions 开发并销售了一款名为 Bitwarden 的开源替代品,以替代像 LastPass 和 1Password 这样的服务。
最近,我有机会向 Spearrin 询问了一些关于 Bitwarden 的起源、它如何保护用户信息、他对 Bitwarden 未来发展方向的看法等等问题。
Scott Nesbitt: 你为什么开发 Bitwarden?
Kyle Spearrin: 我使用密码管理工具多年了。我对许多现有解决方案提供的复杂性和入门门槛感到沮丧。当时也缺乏高质量的开源解决方案。我认为事情可以做得更好,这样做非常有价值。
SN: 与 LastPass 或 1Password 相比,Bitwarden 有哪些优势?
KS: 我们相对于许多顶级竞争对手的主要优势在于,我们专注于使我们的整个产品线开源。开源提供了许多优势,例如帮助我们获得新用户的信任(这在密码管理领域非常重要且难以做到),帮助保持我们代码的质量,并允许我们提供像自托管 Bitwarden 这样的重要功能,仅举几例。
今年早些时候,我们看到一位用户用 Ruby 为 Bitwarden 重写了一个新的核心后端,然后他将其部署到自己的家庭服务器上,以便与我们的其他客户端应用程序一起使用。他这样做不是因为他需要这样做,而是仅仅因为他可以这样做。开源为我们的用户提供了自由,让他们可以做一些他们原本无法做的事情。
SN: Bitwarden 有哪些不足之处吗?
KS: 当然。8Bit Solutions 仍然是一家年轻的小公司。当我们试图与市场上规模更大、更成熟的参与者竞争时,这带来了一系列挑战。资源更难获得,这使得某些领域的开发速度比我们希望的要慢。但是随着我们继续成长,这种情况每天都在改变。
SN: 你认为有哪些功能缺失吗?
KS: 虽然我们今天提供的产品线功能非常丰富,并且满足了我们绝大多数用户群的需求,但总是有很多好的想法和功能是我们想要并且需要构建的。
我们目前重点构建的一个功能是为我们的 Windows、MacOS 和 Linux 用户提供的原生桌面应用程序。好消息是,我们非常接近完成所有平台上桌面应用程序的 1.0 版本,并且我们已经为我们的跨平台桌面应用程序启动了公开测试版。
SN: 鉴于一些备受瞩目的安全漏洞,你如何回应密码管理器的批评者?
KS: 他们的批评并非毫无根据。离线密码管理器通常总是为用户提供更小的威胁模型。当然,如果我们都能以某种方式记住我们头脑中使用的每项服务的所有安全密码,我们会做得更好。
KS: 现实是我们做不到。我们日益增长的世界越来越依赖在线服务和技术,这通常会产生使用多个连接设备的需求,以及需要访问权限来共享和管理相同秘密的用户团队的需求等等。拥有一个安全的密码管理工具,既能解决这些问题,又足够方便用户采用和正确使用,这就是 Bitwarden 正在解决的挑战。
SN: 描述一下 Bitwarden 的安全模型
KS: 我们的安全模型遵循一些重要的政策和原则
- 一切都必须是开源的。我们编写的所有代码都必须开放以供审计和审查。
- 使用端到端加密。所有敏感信息在传输或存储到其他地方之前,都会在用户的设备本地加密。
- 所有 Bitwarden 服务器基础设施都使用托管云服务。这不仅有助于我们轻松扩展,而且保护我们免于管理服务器、安全补丁以及防范针对这些系统的恶意行为者。
SN: Bitwarden 是否进行过安全审计?如果进行过,结果如何?
KS: Bitwarden 在 HackerOne 上提供了一个漏洞赏金计划,安全研究人员每天都会审查我们的产品和源代码是否存在漏洞。开源在这里对我们来说是一个巨大的优势。虽然我们没有收到任何可怕的报告,但这些研究人员报告了一些很棒的事情供我们修复,并继续帮助保持 Bitwarden 对我们的用户和客户的安全。
我们也理解需要由可信赖的第三方进行更正式的安全审计。我们正在努力完成这项工作,并希望将来能为我们的用户和客户提供一些公开可用的信息。
SN: 谁在使用 Bitwarden?
KS: Bitwarden 被很多人使用:像你、我以及我们的家人这样的个人用户,以及团队和商业组织。大学、医院、美国联邦政府机构、科技公司等等都是 Bitwarden 的客户。
SN: 你知道大约有多少人使用它吗?
KS: 由于我们的自托管功能,我们不可能确切知道有多少人正在使用 Bitwarden。但是,我们确实知道超过 10 万用户已经注册并使用了 Bitwarden 的公共云版本。
SN: Bitwarden 有付费账户。你还通过什么方式资助其开发?
KS: Bitwarden 完全由我们的付费功能资助。高级会员资格适用于想要额外功能的个人用户。家庭、团队和企业组织计划适用于那些需要在多个用户之间共享和管理密码和其他秘密的用户。
SN: 将 Bitwarden 推向市场最困难的部分是什么?
KS: Bitwarden 已经存在两年多了。当人们发现它时,他们喜欢上了它。将产品推向市场最困难的事情之一就是获得曝光。
KS: 我一直非常相信自然营销。这是一个获得曝光的较慢过程,但结果是真实的。我的理念一直是:如果你把它做得足够好,他们就会来。而这就是我们正在看到的。
SN: 你认为 Bitwarden 在未来一年、未来两年、未来五年会发展成什么样?
KS: 在未来一年,我们将重点放在构建出色的产品上。功能正在不断发展,产品将不断改进。
KS: 除此之外,我们将开始投入更多资金来扩大我们的销售和营销工作。教育用户如何在线保持安全是我们的目标之一。
KS: 在未来五年内,我们希望 Bitwarden 成为个人和企业客户首选的密码和秘密管理解决方案。开源将成为像 Bitwarden 这样的安全相关解决方案的新标准。
SN: 你认为 Bitwarden 的杀手级功能是什么?
KS: 有太多功能无法一一列举,所以我鼓励您的读者亲自试用。但是,Bitwarden 提供的一些最佳功能包括:
- 我们在您的所有设备上都提供易于使用、功能丰富的应用程序:Web、移动设备、桌面设备和浏览器。所有应用程序都由同一组织按照相同的质量标准构建。
- 它是免费使用的。虽然我们确实提供付费功能,但我们非常小心,不会削弱我们产品的免费层级。这不是假的“免费试用”。您可以不受阻碍地永久免费使用 Bitwarden 的核心必要功能。
- 您可以在多个用户之间安全地共享秘密。无论是与家人共享 Netflix 密码,还是与工作团队共享数据库密钥,您都可以使用 Bitwarden 轻松地与其他用户共享密码。我们甚至为这些功能也提供了免费层级。
- Bitwarden 是可以自托管的。虽然 Bitwarden 是一款在线密码管理器,易于上手并通过我们的安全云服务器同步,但您不必这样使用它。我们的许多用户和企业客户将整个 Bitwarden 后端部署到他们自己的服务器上。您可以控制和保护您的数据,而无需外部依赖。
- 一切都是开源的。任何人都可以审查、审计和贡献我们的产品。我们构建的许多功能都是社区驱动的成果。
SN: 你对想开始使用 Bitwarden 的人有什么建议吗?
KS: 对于不习惯使用密码管理应用程序的人来说,开始使用它可能是一个很大的改变。也许您过去曾尝试过密码管理器,但因其复杂性和陷阱而感到沮丧。我们已尽力使体验尽可能好。
您可以从在您的任何或所有设备上安装 Bitwarden 开始。然后,像往常一样开始登录网站。Bitwarden 将开始自动为您记住您的密码,以便下次您需要访问该服务时,Bitwarden 将在那里为您处理登录体验,同时保持您的密码安全并在您的不同设备之间同步。
SN: 对于想从其他密码管理器迁移到 Bitwarden 的人,你有什么建议?
KS: 我们已经尽最大努力使人们尽可能轻松地切换到 Bitwarden。我们为近 30 种不同的密码管理应用程序提供简单的一键导入工具。您可以在我们的帮助中心阅读更多关于从其他应用程序切换的信息。
SN: 人们如何支持这个项目?
KS: 除了购买我们的产品外,人们可以帮助我们做的最好的事情就是使用我们的产品并与他人分享 Bitwarden。
KS: 正如我之前提到的,曝光是我们最大的挑战之一。与家人、朋友、同事口口相传,并在我们产品上线的各种在线商店中给我们留下评论,这些都是很大的帮助!
3 条评论