许多免费的密码管理设置恼人的限制,迫使大多数人升级到付费级别。不是Bitwarden。这个开源密码管理器的免费版本不限制您的条目的特定数量,也不阻止您在所有设备上同步您的金库。即使是添加了几个高端安全工具的付费版本,价格也非常实惠。
我们对Bitwarden的主要抱怨是,在默认情况下,Premium层提供的加密存储空间非常少,而且在我们的测试中,它在自动捕获和填充某些页面上的凭证方面存在问题。尽管存在这些问题,Bitwarden还是赢得了免费密码管理器类别的编辑选择奖。但是,如果你想买一个密码管理器在美国,其他产品提供了更加无缝和复杂的体验,尽管成本有所增加。
什么是密码管理器,为什么我需要一个?《Bitwarden》的成本是多少?
Bitwarden在消费者层面提供三种计划:免费、高级和家庭。Free层允许您在不限数量的设备上同步不限数量的vault项目。免费层还包括密码生成器、凭证共享和自托管选项。没有多少其他免费的密码管理器像它那样不受限制。
当你升级到Bitwarden每年10美元的高级层时,你可以获得增强的多因素认证方法,密码库报告和分析,以及自动登录到使用基于时间的一次性密码(TOTP)认证的网站的能力。您还可以获得1GB的文件加密存储空间和文件共享功能,以及紧急访问功能。如果你需要更多的存储空间,每增加1g的空间每年要花费4美元。每年40美元的Family Organization层为您提供6个高级许可证、优先客户支持和使用Organization共享工具的选项。
类似的产品
管理员密码管理和数字金库
Zoho库
LastPass
1密码
LogMeOnce密码管理套件
RoboForm无处不在
密码的老板
Dashlane
NordPass
业务客户可以在三种计划中选择:Free Organization、Teams Organization(每个用户每月3美元)和Enterprise Organization(每人每月5美元)。
Bitwarden提供Windows(包括Microsoft Store应用程序)、macOS、Linux、Android和iOS的原生应用程序。它的浏览器扩展支持预期的Chrome、Edge、Firefox、Opera和Safari,以及不太常见的Vivaldi、Brave和Tor浏览器。这些计划都没有将您限制在特定数量或类型的平台上。
《Bitwarden》的价格比较如何?
其他几个密码管理器也提供免费和付费级别。然而,它们的免费层往往更受限制,付费层通常更昂贵。
LastPass例如,美国还提供免费、高级(每年36美元)和家庭(每年48美元)等级别。LastPass免费版与Bitwarden的免费版大致相当,因为它没有对你可以存储的密码数量进行任何限制,但它目前的迭代让用户在台式电脑或手机上使用它,这严重限制了它的实用性。LastPass Premium计划消除了设备同步的限制,还增加了一对多共享、1GB的云存储、帐户和密码安全监控、高级多因素身份验证选项和紧急访问功能。家庭订阅还可以获得六个高级许可证。
NordPass提供一系列类似的套餐,但对免费套餐有不同的限制。它的免费层允许你存储无限数量的密码,但阻止你在多个设备上同时登录同一个账户。您需要为高级层(每年59.88美元)付费,以获得密码运行状况报告、共享功能和数据泄漏监视器。NordPass家庭账户可获得5个高级账户。
Dashlane也提供了一个免费层,但限制你最多只能存储30条记录,这是一个不可接受的限制。Dashlane最便宜的付费计划起价为每年35.88美元,但这一级别可以防止你同时在两台以上的设备上同步密码。为了摆脱这个限制,你需要购买Dashlane每年59.99美元的期权。
其他高级密码管理器对其高级服务的收费也高于Bitwarden每年10美元的计划。例如,Sticky Password每年的费用为29.99美元,Keeper Password每年的费用为34.99美元,1Password每年的费用为35.88美元。
如何开始使用Bitwarden
与大多数密码管理器一样,您首先要设置一个帐户。输入你的电子邮件,创建一个强大的主密码,就完成了。Bitwarden根据你输入的密码将你的主密码分为弱、好或强,它不仅仅寻找最小长度和不同字符集的使用。
如果你从其他密码管理器切换, Bitwarden可以帮助你,但你必须去网络金库。在这里,您可以导入从Dashlane、Keeper、RoboForm或其他50多个密码管理器导出的密码。您还可以导入存储在浏览器中的密码。
Bitwarden为导出你的金库提供了三种选择:JSON, JSON(加密)和CSV。加密选项是新的,使用与您的保险库相同的加密,这意味着您需要在再次导入它时使用相同的密钥来解密它。
验证选项与Bitwarden
多因素身份验证(MFA)显著增强了您所存储密码的安全性。如果没有某种形式的MFA,任何猜测、窃取或侵入您的主密码的人都可以从任何地方访问您的保险库。启用MFA后,访问需要另一个因素,只有您可以提供。要用Bitwarden设置MFA,请转到web界面的设置部分,然后选择左边菜单上的两步登录选项。
Bitwarden的免费版本支持MFA via身份验证应用程序,比起不太安全的短信方式,我们更喜欢这种方式。大多数多因素系统都要求你建立某种备份,比如一个可以通过文本接收解锁码的手机号码,以防万一你丢失了身份验证设备。当你在Bitwarden中启用MFA时,它会在页面顶部显示一个警告,说明如果你丢失了MFA设备,公司如何不能帮助你重新访问你的帐户。它强烈建议您复制您的帐户恢复代码,并将其存储在一个安全的地方。
什么是双因素身份验证?使用验证程序设置MFA很简单;只要用你选择的认证应用程序拍下二维码,你就可以出发了。你也可以选择通过电子邮件接收MFA代码,但使用MFA应用程序的体验要顺畅得多。Bitwarden高级订阅用户获得更多的MFA选项,包括通过一个Yubikey,或任何FIDO u2f兼容的安全密钥。
对其他在线账户使用多因素身份验证的一种流行技术依赖于你觉得.像Enpass一样,Bitwarden Premium可以作为身份验证器本身,既可以生成必要的TOTP,也可以在需要时自动填充它。要设置这一点,您可以将MFA身份验证代码粘贴到密码条目的身份验证者密钥(Authenticator Key, TOTP)部分。
Bitwarden的桌面,Web和浏览器扩展体验
你可以使用Bitwarden的网页界面、桌面应用程序或浏览器扩展来创建和编辑你的金库中的条目,但一些功能仅限于网页界面。例如,你必须使用web应用程序设置多因素认证,运行Bitwarden的安全报告,并导入密码。你可以从任何平台分享物品,但桌面应用程序限制你只能使用Bitwarden的新发送功能,而不是给你完整的分享功能。
如果你想在本地保存你的密码,Bitwarden允许你在Windows, macOS和Linux设备上这样做。Bitwarden的应用程序和代码库由Cure53审核(在一个新窗口中打开)2018年,虽然它的网络基础设施是由Insight风险咨询公司在2021年审计(在一个新窗口中打开).我们赞赏Bitwarden对审计的承诺,并希望它继续定期执行审计。
Bitwarden的网页和桌面应用也有类似的布局。在中间,您可以获得保险库中所有条目的列表,而左边的菜单允许您根据条目类型(登录、卡片、身份、安全提示)进行筛选,并查看您的收藏夹和已删除的条目。在屏幕的右侧是一个用于与您的组织共享的框。
浏览器扩展的设计更加精简,但你仍然可以通过项目类型进行过滤。我们喜欢你可以改变桌面应用程序和浏览器扩展的界面主题。在测试这三款应用时,我们没有遇到任何性能问题或崩溃。
您还可以将保存的登录名和项目组织到文件夹中。LastPass和LogMeOnce密码管理套件高级版都是允许您在捕获时完成此操作的产品之一。如果你想组织你的Bitwarden登录,这是一点更多的工作。您必须首先创建所需的文件夹,然后编辑每个项目以将其放入所需的文件夹中。桌面应用程序不支持拖放功能。1Password在密码组织方面更进一步,因为您可以为每个帐户维护多个金库,并在嵌套结构中组织项目。
与大多数其他密码管理器一样,Bitwarden允许您添加身份,信用卡和票据到您的金库。所有这些项的设置都非常简单,而且它们支持自定义字段(文本、隐藏或布尔值)。Bitwarden可以使用身份和信用卡条目来填写网页表单,这个过程我们将在后面讨论。
所有的Bitwarden的应用程序都有一套与金库访问相关的广泛功能。例如,您可以配置超时的时间以及超时后发生的情况。桌面应用程序和浏览器扩展甚至支持生物识别解锁。
密码捕获和重播
在桌面,我们在一台Windows 10的机器上用Edge测试了Bitwarden。一开始,我们只是登录了10个左右的网站。在几乎所有情况下,Bitwarden都会在页面顶部插入一条横幅,表示可以保存证书。然而,Bitwarden在尝试两页混合登录页面时遇到了麻烦。它没有提供为这些网站保存我们的证书。
诺顿Enpass密码管理器,还有许多其他网站允许你在抓取时给每个条目起一个友好、容易记住的名字。有了Bitwarden,捕获就更简单了,因为你只需要点击一个按钮,但添加一个友好的名称需要在事后编辑名称。例如,您可以取两个默认名称为“login.yahoo.com”的条目,并将它们重命名为“个人邮箱”和“工作邮箱”。
当您重新访问一个网站时,一些密码管理器会立即填写您的凭据。另一些则在用户名字段中添加图标,并在单击后才填写凭据,这避免了一些可能的安全风险。Bitwarden自动填写凭证,但你可以禁用这个选项,如果你喜欢。在测试中,这一功能适用于我们尝试的标准网站,但一些混合登录页面使其失灵。
如果Bitwarden为你所在的网站保存了多个凭据,它会在工具栏按钮上覆盖条目的数量。单击按钮,单击所需的条目,它将填充数据。或者,您可以右键单击登录字段,从上下文菜单中填写任何保存的凭据。
您还可以通过单击工具栏按钮并打开您的金库来查看您的整个密码集合。从这里,您可以轻松地搜索项目,并通过单击它启动相关的网页。
Bitwarden提供了哪些安全工具?
在你将所有密码添加到Bitwarden的保险库后,你应该用强大和唯一的密码替换任何弱的或重复的密码。免费用户必须自己找出不好的密码,因为Bitwarden为付费用户保留了大部分密码安全分析工具。这些工具可以通过Bitwarden的网页界面获得,但没有其他地方。
Bitwarden可以生成六份报告:暴露的密码,重复使用的密码,弱密码,不安全的网站,不活动的2FA,数据泄露。暴露的密码是那些在已知的数据泄露中被发现的密码,而重用和弱密码是不言自明的。Bitwarden将你金库中任何不使用TLS/SSL加密的链接url视为不安全的。Inactive 2FA报告识别了你金库中支持多因素身份验证的站点,但你没有在Bitwarden中链接TOTP代码。然而,如果你选择使用不同的验证程序,最后的报告可能会产生一些误报。
数据泄露报告检查您的电子邮件地址、密码和信用卡是否出现在任何数据泄露中,通过“我已被Pwned”网站。免费用户可以检查他们的电子邮件地址或用户名是否已被泄露。
许多其他的密码管理器,包括LastPass, Keeper, 1Password和NordPass都有类似的工具。Dashlane的免费版本提供了可操作的密码强度报告;付费用户得到活跃的暗网监控。
密码生成器
当你发现一个你用过多次的密码或一个像“123456”这样的弱密码时,你不必自己想替换。和几乎所有竞争产品一样,Bitwarden包含了一个随机密码生成器.
默认情况下,密码生成器创建的密码包含大小写字母和数字,不包含特殊字符。我们强烈建议勾选添加特殊字符到混合框,因为这是许多网站的要求。
该生成器可以生成5到128个字符的密码,但默认为14个字符。我们建议将长度增加到20个字符或更多。在Android上,Bitwarden默认为15个字符,默认使用所有字符集。Bitwarden应该标准化这些选项,并增加默认密码的长度。
Bitwarden还可以生成多字的密码短语Correct-Horse-Battery-Staple(在一个新窗口中打开)类型。使用这个功能来管理Bitwarden的密码是没有意义的,但你可以考虑使用它来创建一个令人难忘的主密码,比如“unfashion -slam-plywood-anvil”。同样,Bitwarden的默认单词长度只有三个单词,有点低。我们建议增加这个设置。
个人资料储存及表格填写
Bitwarden存储两种类型的个人数据项:卡片和身份。对于每张信用卡,您要记录号码、持卡人姓名和CCV等详细信息。它不允许你用智能手机相机抓拍卡片Dashlane还有一些人这样做。
每个身份都保存一个简单的个人数据集合,包括姓名详细信息、蜗牛邮件地址、电子邮件和电话号码。它远不及储存的海量数据RoboForm无处不在,并且一个字段不能有多个实例。
但是,您可以向标识条目添加自定义字段:Text、Boolean(复选框)和Hidden(默认情况下该条目被星号遮盖)。其他密码管理器在这方面更全面,但Bitwarden填充的每一个字段都是你不需要输入的。
如果你想要Bitwarden填写你正盯着的表格,点击扩展按钮,然后想要的身份或信用卡。我们尝试了一些网站,发现Bitwarden虽然遗漏了一些字段,但大部分工作都完成了。
共享和紧急接入
我们总是建议不要随便和任何人分享你的密码,但有时你真的必须这么做。当你不得不分享时,你希望这个过程既简单又安全。Bitwarden提供了两种共享登录的方法:一种是通过名为Send的功能,另一种是针对家庭或团队的组织功能。
Bitwarden的发送功能大大简化了共享。通过这种方法,你可以用你喜欢的任何通信方式向任何人发送加密链接(甚至是不使用Bitwarden的人)。发送可以包括文件(最多500MB,如果从手机上传最多100MB)或文本注释。免费用户只能共享笔记,因为这些帐户不包含任何加密文件存储。在设置Send的过程中,可以指定过期日期、删除日期和最大访问限制,还可以设置密码。
Send的简单也是它的缺点。Send允许用户将密码复制并粘贴到文本文件中,而不是共享加密的登录凭证。Dashlane或LastPass等其他密码管理器只允许用户发送加密登录名,因此收件人永远不会看到密码。允许其他人看到你的密码是一个重大的安全风险。
对于第二种方法,您不直接与其他用户共享。相反,您需要创建一个组织,邀请其他用户,然后与该组织共享。免费和高级个人用户不能使用此工具。它只适用于家庭组织层或任何业务计划的订阅者。Bitwarden免费组织层和家庭组织层的订阅用户可以分别与两个人和六个人共享物品,而团队和企业计划则没有这样的限制。
在组织中,共享项属于集合,并且每个项必须至少是一个集合的一部分。集合类似于LastPass和管理员密码管理和数字金库.
Free Organization用户可以创建两个集合。如果您订阅了家庭组织计划或以上,您可以创建无限数量的集合。这个系统的关键在于允许您与组中的不同成员共享不同的密码。这种共享设置更适合企业客户。
作为组织的创造者,您是全能的所有者。还有其他三个访问级别:Admin、Manager和User,但是这些区别对业务安装来说更重要。此外,您可以将每个用户限制为特定的集合,或者将共享设置为只读。如果您正在与合作伙伴共享,那么给完全所有者访问权是有意义的。如果共享是更单方面的,可能有一个子文件,那么只读模式下的用户访问可能是最好的。
一些与之竞争的产品,比如LastPass、LogMeOnce和Dashlane,可以让你建立一种不同的共享方式。使用这些产品,你可以指定一个继承人,在你英年早逝的情况下接收你的部分或全部密码。Bitwarden也提供了这一功能。实际上,Bitwarden保险库的所有者可以邀请一个紧急联系人到他们的保险库,该联系人只能在原所有者手动批准请求或所有者设置的时间限制过期后才能访问其内容。值得注意的是,只有高级用户或更高级别用户才能发出紧急访问请求,但免费用户可以指定为这些收件人。紧急访问联系人在获得对保险库的访问权后,将获得只读访问权或对保险库的完全控制。
Bitwarden在移动
对于移动设备测试,我们使用的是Bitwarden的应用程序虽然Bitwarden提供了一个iOS应用程序了。这两个应用程序看起来一致,具有相同的功能,其中包括生物识别认证和自动填写证书的能力。就像桌面和网页应用一样,手机版本也支持主题。
这款安卓应用程序有一个底部导航栏,包含四个项目:My Vault、Send、Generator和Settings。My Vault部分列出了您的项目类型、文件夹和未组织的项目;点击任意可以查看详细信息或编辑条目。Send选项卡允许您设置和管理共享项。生成器部分给你访问Bitwarden的密码生成器工具。在Settings选项卡中,您可以控制自动填充首选项,启用附加要求以解锁保险库,导出保险库,以及访问其他标准选项。
在测试中,Bitwarden成功地在应用程序和浏览器中填写了证书。我们也没有遇到任何应用崩溃的情况。
Bitwarden业务
Bitwarden为企业和团队开发的密码管理器不像竞争对手那样花哨,但它是寻找安全凭证存储的组织的一个选择,不会让他们倾家所有。
报告功能是许多寻求企业级密码保护的企业的首要吸引力。这些特性使管理员能够了解其团队的总体密码运行状况。例如,如果一个团队成员不注重密码卫生,经理可以要求他们在工作中创建强大的、独特的证书。Dashlane和Zoho Vault都为管理账户提供了大量的报表图表。Bitwarden的报告不涉及任何不良密码健康状况的图形表示。相反,它们是暴露密码、重复使用密码、弱密码、不安全网站和未激活2FA列表的简单列表,该列表显示了保险库中未激活多因素身份验证的网站。
单点登录(SSO)可用于Bitwarden。SSO消除了对多个用户名和密码的需要,但它也有风险。如果攻击者掌握了SSO凭据,他们就可以访问所有用户的应用程序。幸运的是,团队和商业Bitwarden账户为组织用户提供了多因素登录。您可以使用Duo Security通过Duo Mobile应用程序、短信、电话或U2F安全密钥来验证用户身份。当员工离开组织时,Admin用户可以从业务库中删除团队成员。
Bitwarden使得用户可以通过将他们的密码导入到独立于员工库的业务库中来轻松访问业务密码。此外,用户可以创建密码集合,以便与用户组或整个组织共享。业务帐户通过集合功能包含无限的共享功能。
为了效仿LastPass业务和Dashlane业务,Bitwarden的企业计划现在包括为每位员工提供免费家庭账户。鼓励员工使用密码管理器进行个人登录,可能有助于建立警惕的密码保护习惯。
帐户切换与Bitwarden
Bitwarden最近增加了一个功能,允许用户在多个账户之间切换,比如个人账户和工作账户,同时保持登录状态。用户最多可以在五个账户之间切换,一次只有一个账户保持活动状态。该功能目前只适用于桌面应用程序。
桌面窗口中的标题显示了哪个帐户是活动的。当您单击帐户名时,会出现一个下拉菜单,其中有添加新帐户的选项和您拥有的其他帐户的列表。
每个帐户都独立操作,有自己的超时和解锁设置。这意味着,例如,一个工作账户可以使用个人识别码解锁,然后,你可以切换到你的个人账户,用生物识别技术解锁。该功能消除了每次在帐户之间切换时需要输入不同的主密码的需求。
记住,如果你使用的是共享计算机,你应该注销Bitwarden密码管理器,以防止其他人访问你的帐户。通过调整超时设置,在短时间内注销或锁定帐户,添加另一层安全措施。
一个严重的竞争者
如果你正在寻找一个免费的密码管理器,我们的首选是开源的Bitwarden。它不限制您可以存储的密码数量,也不阻止您跨设备同步您的金库,而许多其他免费的密码管理器都可以做到这一点。Premium层的价格也很便宜,并包含一些出色的特性,如可操作的密码运行状况报告、紧急访问选项、生成TOTP代码的能力以及对增强的多因素身份验证方法的支持。在我们的测试中,Bitwarden在自动捕获和填充某些网站的证书时遇到了一些麻烦,但由于它明显缺乏限制,它是免费用户的编辑选择奖得主。如果你想为你的密码管理器付费,其他的选项会更灵活一些,提供更多的功能。
我们最喜欢的付费密码管理器是Dashlane,LastPass,门将,所有这些都提供卓越、流畅的密码管理体验,并配有顶级的安全工具。
