1
nevadax OP |
2
Livid MOD 看到了,我估计你看到的错误信息是 1009 。
|
4
SkywalkerJi 17 天前
为什么不用两步验证?
|
5
shyrock 17 天前 5
为了解决密码共用的安全问题而诞生的密码管理器,
居然把主密码跟其他十个网站共用。。。无力吐槽。 |
6
nevadax OP @shyrock #5 是这样的,其实这是个缓慢发展的过程,最开始是独立的并且想了好久,后来随着不同网站的密码定期 rotate ,就 ro 到了这个密码。。。(毕竟是当时想了好久的高强度密码)
anyway ,my fault |
7
Biggoldfish 17 天前
你用了 Bitwarden 然后还复用密码,以及密码管理器不开两步验证...
以绝大多数人的安全知识 selfhost BW 还不如直接用官方的 |
8
BeautifulSoap 17 天前
密码管理工具你都不开两步验证,实在是太猛了
|
9
Junichi 17 天前
所以因为缺乏网络安全方面的知识,我选择部署到内网,而且开了两步验证,主密码虽然简单,但也是每年一变。
|
14
SkyHighR 17 天前
我泄露是不可能泄露的,我直接把 bitwarden 的主密码、totp 密钥、恢复密钥都记在脑子里,每次登录就到自己搭建的 totp 生成网页上生成 totp 加密码登录。
|
15
frankilla 17 天前
10 个网站公用?那被撞库不怨吧。自带的密码生成器啊,我直接用生成的,主密码保存在电脑里,另外 vaultwarden 里也保存一份,我还在官方 bitwarden 里保存一份密码库。
|
16
phrack 17 天前 via iPhone
我也遇到了还好没有复用主密码
|
18
nevadax OP |
19
evan9527 17 天前
我的 bit 账号和密码都是专用的+两步验证。
其他所有密码都是随机生成的,只需记一个 bit 主密码就行了。 |
20
lekai63 17 天前 via iPhone
楼主,你这算是提醒我了,要给 bw 搞个发邮件功能。我一直自己用用 也没配置邮件
|
22
Kaiyuan 17 天前
我现在是自建,然后双重验证,电脑指纹和 Yubico ,可以的话手机上的指纹或者 FaceID 也绑上,必须绑定两个以上。
|
23
hingle 17 天前
自建被撞库,OP 被盯上了,小心点。
|
24
Nile20 16 天前
我也有多个不能被保存在密码管理器里的账号,这类账号我都是记忆一个密码规则,每次登录前心算密码,防止密码泄露发生连带影响。由于现在广泛支持在首次登录后启用指纹登录,真正需要心算密码的时候并不多。
此外两步验证是必须的,你的这个案例里,我觉得更有的价值是开两步验证,并且是单独使用别的 App 的那种两步验证,这点比自部署更重要。我为了以防万一,两步验证 App 的邮箱和密码管理器的邮箱也是独立的。 供参考。 |
25
totoro625 16 天前
@hingle #23 非常赞同,自建的密码库被撞库,问题非常严重了,这种属于针对个人的攻击,而不是脱裤后自动化的广撒网式攻击
问题: 1. 密码管理器不设置两步验证 2. 主密码混用 3. 密码管理器的的账户名混用 4. 自建服务的登录地址泄露 5. 自用服务未设置 IP 白名单或 cf access 保护 6. 被攻击后还不抓紧全部改一遍密码 7. 为了方便不使用随机密码 8. 在公用电脑上登录自己的账户,且输入重复使用的密码 建议: 1. 使用自己的域名邮箱 catch all ,所有的账户使用不同的邮箱 2. 搭配使用不同的随机密码 3. 减少主邮箱的使用频次 4. 所有账户全部修改一遍密码 5. 启用两步验证 6. 多个密码管理器同时启用,互为备份 7. 自建 vaultwarden ,可以临时共享账号给另一个小号,在公用电脑上使用小号获取账户密码进行登录,或使用 send 功能 |
26
tyhunter 16 天前
请教下,自建的话,异地登录会有邮件通知吗,我在设置里翻了一遍并没有找到
|
27
tlsmars009 16 天前
@tyhunter 需要你自己配置 SMTP 邮件服务 在 admin 页面打开 好像是这么回事 太久远了
|
28
nevadax OP @frankilla #21 应该是安全了,至少目前想不到有什么问题。
不过记得定期备份数据(文件和 db ,一周一次最好),你的密码是 vaultwarden 生成的,如果哪天数据意外丢了就凉凉。 备份可以存在 aws s3 里面,设置策略三周后自动转深度归档,成本很低的。 |
30
nevadax OP @tyhunter #26 bitwarden 会的,如果是 docker 自建,在 env 文件填写正确的 smtp ,在新设备登陆后每次都有提示,这个功能是默认开启的,我没有做特殊设置。如果你的没有,请确认是 bitwarden 而不是 vaultwarden (没用过 vaultwareden 的邮件功能),版本不同也有可能,我的是当时的最新版。
|
31
nevadax OP |