发现Bitwarden有个问题

dvbhack

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

bitwarden 使用AES-256进行本地加密，然后再传输到云端进行同步，使用 PBKDF2 加密主密码，支持二次验证。

我主密码只记在脑子里，二次验证使用的 google authenticator.

我就想知道你在中间能拦截到什么？

主密码根本不在客户端和服务器端之间传输。

你要想拿到主密码，还不如说在我的电脑上装个木马，录制键盘输入呢……

tkn

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 hash ，传 hash 到服务端保存，这就是你的登录凭证。你要保存的密码在本地通过主密码加密后也传到服务器保存。下次登陆，你在浏览器输入主密码，本地 hash 主密码后把  hash 传到服务器对比，登陆成功，把属于你的加密后的数据返回来给你，浏览器本地通过主密码再解密得到原密码。我就问你，主密码自始至终没有在网络中传输，你拿到 hash 和加密过的数据能解出原密码吗？

doruison

tkn 发表于 2021-2-19 19:55
你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 h ...

明白了，其实和keepass是类似的方式，对数据（存储的密码）的加密在本地完成，只是分别传输，不像keepass是一个整体