我们是人。我们每天都被技术和帐户淹没,大多数人会选择一个他们容易记住的密码。
—Jonathan LeBlanc,前 PayPal 员工
不得不记住网络应用、电子邮件、银行等等的密码催生了密码管理器。这也催生了像 LastPass 和 1Password 这样流行的专有服务。
两年多前,软件开发者 Kyle Spearrin 决定开源世界需要自己的基于网络的密码管理器。他的公司 8Bit Solutions 开发并销售一款开源替代方案,以替代像 LastPass 和 1Password 这样的服务,名为 Bitwarden。
最近,我有机会向 Spearrin 询问了一些关于 Bitwarden 的起源、它如何保护用户信息、他认为 Bitwarden 的发展方向等等问题。
Scott Nesbitt: 您为什么开发 Bitwarden?
Kyle Spearrin: 我使用密码管理工具多年了。我对许多现有解决方案提供的复杂性和入门门槛感到沮丧。而且也缺乏高质量的开源解决方案。我认为事情可以做得更好,而且这样做具有很大的价值。
SN: 与 LastPass 或 1Password 相比,Bitwarden 有哪些优势?
KS: 我们相对于许多顶级竞争对手的主要优势在于,我们专注于使我们的整个产品线开源。开源提供了许多优势,例如帮助我们获得新用户的信任(这在密码管理领域非常重要且难以做到),帮助保持我们代码的质量,并允许我们提供重要的功能,例如自托管 Bitwarden,仅举几例。
今年早些时候,我们看到一位用户用 Ruby 重写了 Bitwarden 的新核心后端,然后将其部署到他自己的家庭服务器上,以便与我们的其他客户端应用程序一起使用。他这样做不是因为他需要这样做,而仅仅是因为他可以这样做。开源为我们的用户提供了自由,让他们可以做他们原本无法做到的事情。
SN: Bitwarden 有哪些不足之处吗?
KS: 当然。8Bit Solutions 仍然是一家年轻的小公司。当我们试图与市场上规模更大、历史更悠久的参与者竞争时,这带来了一系列挑战。资源更难获得,这使得某些领域的开发比我们希望的要慢。但是,随着我们不断发展,这种情况每天都在变化。
SN: 您认为有哪些功能缺失吗?
KS: 虽然我们今天提供的产品线功能非常丰富,可以满足我们绝大多数用户群的需求,但总是有大量的好主意和功能是我们想要和需要构建的。
我们正在大力构建的一项功能是为我们的 Windows、MacOS 和 Linux 用户提供原生桌面应用程序。好消息是,我们非常接近完成所有平台上桌面版的 1.0 版本,并且我们已经为我们的跨平台桌面应用程序发布了公开测试版。
SN: 鉴于一些备受瞩目的安全漏洞,您如何回应密码管理器的批评者?
KS: 他们的批评并非没有根据。离线密码管理器通常总是为用户提供更小的威胁模型。当然,如果我们都能在脑海中记住我们使用的每项服务的所有安全密码,我们会做得更好。
现实情况是我们不能。我们日益增长的世界越来越依赖在线服务和技术,这通常会产生使用多个连接设备的需求,拥有需要访问权限以共享和管理相同机密的团队用户等等。拥有一个安全的密码管理工具,可以解决这些问题,同时又足够方便用户采用和正确使用,这就是 Bitwarden 正在解决的挑战。
SN: 描述一下 Bitwarden 的安全模型
KS: 我们的安全模型遵循几个重要的策略和原则
- 一切都必须是开源的。我们编写的所有代码都必须开放以供审计和审查。
- 采用端到端加密。所有敏感信息都在用户的设备上本地加密,然后再传输或存储在其他地方。
- 所有 Bitwarden 服务器基础设施都使用托管云服务。这不仅有助于我们轻松扩展,还可以保护我们免于管理服务器、安全补丁以及防范针对这些系统的恶意行为者。
SN: Bitwarden 是否进行过安全审计?如果是,结果如何?
KS: Bitwarden 在 HackerOne 上提供了一个漏洞赏金计划,安全研究人员每天都会审查我们的产品和源代码以查找漏洞。开源在这里对我们来说是一个巨大的优势。尽管我们没有收到任何可怕的报告,但这些研究人员报告了一些很棒的事情,供我们修复并继续帮助 Bitwarden 确保用户的安全。
我们也理解需要来自可信第三方的更正式的安全审计。我们正在努力完成这项工作,并希望将来为我们的用户和客户提供公开可用的内容。
SN: 谁在使用 Bitwarden?
KS: Bitwarden 被很多人使用:像您、我和我们的家人这样的个人用户,以及团队和商业组织。大学、医院、美国联邦政府机构、科技公司等等都是 Bitwarden 的客户。
SN: 您知道大约有多少人使用它吗?
KS: 由于我们的自托管功能,我们不可能确切知道有多少人正在使用 Bitwarden。但是,我们确实知道超过 10 万用户已经注册并使用了 Bitwarden 的公共云版本。
SN: Bitwarden 有付费帐户。您还如何资助其开发?
KS: Bitwarden 完全由我们的付费功能资助。高级会员资格适用于想要这些额外功能的个人用户。家庭、团队和企业组织计划适用于那些需要跨多个用户共享和管理密码和其他机密信息的人。
SN: 将 Bitwarden 启动最困难的部分是什么?
KS: Bitwarden 已经存在两年多了。当人们发现它时,他们很喜欢它。将产品启动最困难的事情之一就是获得曝光率。
我一直坚信自然营销。这是一个较慢的获得曝光的过程,但结果是真实的。我的理念一直是:如果你把它做得很好,他们就会来。这就是我们正在看到的。
SN: 您认为 Bitwarden 在未来一年、未来两年、未来五年会怎样发展?
KS: 在未来一年,我们将重点放在构建优秀的产品上。功能正在不断发展,产品将不断改进。
除此之外,我们将开始更多地投资于扩大我们的销售和营销工作。教育用户如何在线保持安全是我们的目标之一。
在未来五年内,我们希望 Bitwarden 成为个人和企业客户的首选密码和机密信息管理解决方案。开源将成为像 Bitwarden 这样的安全相关解决方案的新标准。
SN: 您认为 Bitwarden 的杀手级功能是什么?
KS: 有太多功能无法一一列举,所以我鼓励您的读者试用一下。但是,Bitwarden 提供的一些最佳功能是
- 我们拥有易于使用、功能丰富的应用程序,可在您的所有设备上使用:网页、移动设备、桌面设备和浏览器。所有应用程序均由同一组织按照相同的质量标准构建。
- 它是免费使用的。虽然我们确实提供付费功能,但我们非常小心,不要削弱我们产品的免费层级。这不是虚假的“免费试用”。您可以不受阻碍地、永久免费地使用 Bitwarden 的核心必要功能。
- 您可以在多个用户之间安全地共享机密信息。无论是与家人共享 Netflix 密码,还是与工作团队共享数据库密钥,您都可以使用 Bitwarden 轻松地与其他用户共享密码。我们甚至为这些功能提供免费层级。
- Bitwarden 是可自托管的。虽然 Bitwarden 是一款在线密码管理器,易于上手并通过我们的安全云服务器同步,但您不必以这种方式使用它。我们的许多用户和企业客户将整个 Bitwarden 后端部署到他们自己的服务器上。您可以控制和保护您的数据,而无需外部依赖。
- 一切都是开源的。任何人都可以审查、审计和贡献我们的产品。我们构建的许多功能都是社区驱动的成果。
SN: 您对想要开始使用 Bitwarden 的人有什么建议?
KS: 对于不习惯使用密码管理应用程序的人来说,开始使用它可能是一个很大的改变。也许您过去曾尝试过密码管理器,但因其复杂性和陷阱而感到沮丧。我们已尽力使体验尽可能好。
您可以开始在您的任何或所有设备上安装 Bitwarden。然后,像往常一样开始登录网站。Bitwarden 将开始自动为您记住您的密码,以便下次您需要访问该服务时,Bitwarden 将在那里为您处理登录体验,同时确保您的密码安全并在您的不同设备之间同步。
SN: 您对想要从其他密码管理器迁移到 Bitwarden 的人有什么建议?
KS: 我们已竭尽全力使人们尽可能轻松地切换到 Bitwarden。我们为近 30 种不同的密码管理应用程序提供简单的一键导入工具。您可以在我们的帮助中心中阅读更多关于从其他应用程序切换的信息。
SN: 人们如何支持这个项目?
KS: 除了购买我们的产品外,人们可以帮助我们做的最好的事情就是使用我们的产品并将 Bitwarden 与他人分享。
正如我之前提到的,曝光率是我们最大的挑战之一。与家人、朋友、同事传播信息,并在列出我们产品的各种在线商店中给我们留下评论,这些都非常有帮助!
3 条评论