发现Bitwarden有个问题

小旭

我创建完成容器注册用户正常登陆
然后为了禁止注册就删除重新运行创建容器
然后就登陆不上了

30K的K3很流畅

没觉得有必要禁止注册和邀请。

或者说，我把我的Bitwarden_rs告诉你，你敢使用我提供的服务？

doruison

tkn 发表于 2021-2-19 19:55
你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 h ...

明白了，其实和keepass是类似的方式，对数据（存储的密码）的加密在本地完成，只是分别传输，不像keepass是一个整体

tkn

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 hash ，传 hash 到服务端保存，这就是你的登录凭证。你要保存的密码在本地通过主密码加密后也传到服务器保存。下次登陆，你在浏览器输入主密码，本地 hash 主密码后把  hash 传到服务器对比，登陆成功，把属于你的加密后的数据返回来给你，浏览器本地通过主密码再解密得到原密码。我就问你，主密码自始至终没有在网络中传输，你拿到 hash 和加密过的数据能解出原密码吗？

dvbhack

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

bitwarden 使用AES-256进行本地加密，然后再传输到云端进行同步，使用 PBKDF2 加密主密码，支持二次验证。

我主密码只记在脑子里，二次验证使用的 google authenticator.

我就想知道你在中间能拦截到什么？

主密码根本不在客户端和服务器端之间传输。

你要想拿到主密码，还不如说在我的电脑上装个木马，录制键盘输入呢……

doruison

tkn 发表于 2021-2-19 16:29
拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密 ...

那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和keepass的实现一样，所谓服务端只是一个网盘，把数据整体下下来在本地操作，操作完了加密在整体传回去,那是截获没用
只要服务端有解密操作（不是指加密数据的密码而是数据本身），都避免不了被（拿到服务器权限的）攻击

tkn

doruison 发表于 2021-2-19 12:28
本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了
...

拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密

doruison

yuanyuexiaoni 发表于 2021-2-19 02:27
我记得bitwarden是本地加密 加密完后才上传的 服务器截取的话没用吧 除非本地监听截取了 ...

本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了

yuanyuexiaoni

doruison 发表于 2021-2-18 22:49
拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭 ...

我记得bitwarden是本地加密 加密完后才上传的 服务器截取的话没用吧 除非本地监听截取了

doruison

ymcoming 发表于 2021-2-18 10:21
数据都是加密的，入侵拿到数据了也没用。

拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭

clcavril

lxdn 发表于 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击 ...

了解下加密机制了再说这个不迟，如果你自己忘了主密码都没办法恢复数据，入侵拿到数据库也没用。你能想到的别人设计软件的时候早想到了