求推荐一个开源的密码管理器

当然是 bitwarden_rs 啦 非常好用

我还再用 qq 邮箱做密码本

https://bitwarden.top

提供的 bitwarden 专业版一年只需要 12 块钱
大家可以试试

https://bitwarden.cool

bitwarden.cool 密码管理器是个独立的域名



Bitwarden 的零信任全加密设计
让密码完全掌握在用户手中
服务器只存储加密后的数据
服务器管理员就算是坏人也无法看到用户的密码的
这点非常好

@vpsvps 得了吧，站方是能看到你存了哪些网站的。
并且网页端是对服务器绝对信任的，只要管理员想，给你 serve 的网页脚本里加点东西就能轻松偷走主密钥，什么端到端加密都没用。

@Jirajine

这么说 bitwarden 官方也可以看的用户的网址和密码了吗
哪里有文章说 bitwarden 服务器上能看到数据库里面的信息了 ？
发个链接
官方不是说数据库是加密的么

@ooooo
1. 如果他们想，当然可以。因为网页版执行的代码是完全从服务器拉取的，只需要（对某个用户） serve malicious javascript 就可以拿到主密钥。即使是客户端，如果开了自动更新 /没有 reproducible build 保证开源代码与二进制对应的情况下也可以做到。
2. 网址本身是暴露给服务端的。网页端显示的 favicon 是从服务端拉取的，没有文章，直接去看代码或者 f12 看一下请求就知道了。

@Jirajine
谢谢回复
这样看来总体还是安全的
只要服务器上的密码是加密的看不到那就行
我查了了下服务器上最多只能看到网站小图标
看不到具体的网址的
类似 V2EX 的这个

https://www.v2ex.com/static/icon-192.png

而且如果设置选项里面开启了 “禁用网站图标”
服务器上就连存的哪些网站都看不到
还有我看了下网站图标全是在服务器上的 /data/icon_cache 目录下
并不是一个用户一个图标文件夹
就是说如果有 10 个用户的话也分不清哪个图标缓存是哪个用户的
而且网站名也不算是什么因素

至于你说的通过黑客手段有可能拿到拿到用户的主密钥
那么 lastpass，1password，以及 keepass 这些也存在这样的风险
相对来说 bitwarden 比 lastpass 更放心些
我也是之前从 lastpass 换成 bw 的
听你一说我还以为 bw 服务器上也能看到用户密码 不是加密的
吓我一跳

@ooooo favicon 是带着用户的 session 向后端请求的，也就是说哪个用户在哪个网站上有账号是对服务器完全透明的。
你打开网页版的时候所有代码都是从服务器加载，只要服务器给你的代码中加点东西就能直接拿走明文主密钥，这不算是黑客手段。当然对于一般用户来说信任官方问题也不大，但如果你是高价值目标，或者用了楼上推荐的来源不明的实例，那就非常不安全了。

@Jirajine 网页端确实不太安全，但是可以用客户端替代

birwadern

bitwarden 不但可以自己部署，也可以直接用

@naizhao 腾讯云这个怎么计费鸭

@tediorelee 腾讯云试了好多次，无法成功开通

bitwarden_rs，腾讯云开发 cloudebase 有现成的应用..还白嫖

不想折腾用 bitwarden,稍微折腾一下用 bitwarden_rs 自建。我一开始用 bitwarden，但是同步经常转圈圈，自建的就爽多了

bitwarden_rs +1 用了很久了

当然是 Keepass

同推荐 bitwarden_rs ；腾讯云开源应用中心上面可以一键开通使用： https://app.cloud.tencent.com
计费规则可以参考下这个： https://cloud.tencent.com/document/product/1298/55078
ps：除了 bitwarden_rs 外，上面还有 40 多款热门的开源应用可以免开发一键体验试用。

@tediorelee 建议再试一下；实在不行的话可以联系文末的工作人员帮你定位下问题 https://mp.weixin.qq.com/s/l2SyMFITViUkCBuUG8COOg

@tediorelee hello~请问这里的问题解决了嘛？我们联系不上你，麻烦添加下链接文末里的小助手，我们一对一协助你解决这个问题~ 期待你的回复(⁎⁍̴̛ᴗ⁍̴̛⁎)
https://mp.weixin.qq.com/s/l2SyMFITViUkCBuUG8COOg