Bitwarden 支持把密码本和 TOTP 放在一起，这是出于什么考虑？

问：如果 bitwarden 数据被导出，导出数据的人是否有能力将其打开？
答： https://bitwarden.com/help/what-encryption-is-used/

问：bitwarden 是否有漏洞？是否存在后门？
答： https://bitwarden.com/help/is-bitwarden-audited/

问：二步验证的安全性直接变成一步验证？
答：在自己的主密码不泄露的情况下，二步验证的安全性不会直接变成一步验证。恰恰是网站如果被泄漏 /撞库 /钓鱼导致网站密码泄露，TOTP 还能发挥作用，让攻击者无法登入网站账号。

.我看过 bitwarden 的数据库 想

.我看过 bitwarden 的数据库 想解密几乎不可能 我可以放几条数据出来试试哈

@amirobotics
@ltkun

这里说的被导出数据，显然不是说从自建或者官方服务器数据库里导出，而是因为某种原因（比如被人偷窥主密码），趁你不在从客户端上把正常数据导出

能物理接触就没啥意义了 看到密码的概率还不如强行捆绑逼供大 或者直接拿了 yubikey 哪怕人脸识别 虹膜指纹都没有用了

TOTP 我觉得对弱密码和防撞库很有用。但如果使用的是高强度随机密码，再把 TOTP 密钥放在了密码一个位置，那么安全性提升就有限。能想到发挥作用的情况有几个：
1 、网站泄漏密码，但是又不能泄漏 TOTP 密钥。
2 、键盘记录器或者剪贴板泄漏密码。（但是密码管理器对此的管理都很严格）
3 、不安全的网络传输，中间人攻击。

因为密码管理器的目的就是方便而不是安全，密码管理器本身不能提供更高的安全性，之所以觉得会更安全是基于这样一条假设：在不使用密码管理器的情况下，用户会倾向于选择简单好记的弱口令，因此更容易被猜出，或者倾向于复用密码，导致有被撞库的风险。

基于方便的考量，把所有密码集中起来，进而把 totp 也集中进来是水到渠成的事情，同样的，基本上面的考量，风险也被集中起来了，但使用密码器的用户都有这样的自信：1. 密码器的数据不可能以正常使用以外的方式被使用，或者漏洞的风险极低，至少比使用其他方式同时泄露的风险更低； 2. 主密码会被保存得很好，不会泄露，也不会遗失； 3. 最重要的一点是密码器目前还没公开暴露出严重问题，亦即前面的自信尚未被摧毁

你的密码管理器能被导出，2FA 验证器就不会被导出、复制吗？
也许你要的是那种不把鸡蛋放一个篮子里的感觉，那就不应该使用密码管理器。

@testver 二次验证丢了就相当于裸奔， 短信验证码还可以立即挂失并补办。

我將兩者分開，登錄 bitwarden 我也開啓了 2FA ，所以不可能這麽幹。
如果你只是無腦擔心各種問題，而完全不在乎別人提供的解決方案的細節。
我勸你早點扔掉手機和電腦，智能系統不適合你

@arch9999 别的不说，微软和谷歌的身份验证器确实无法被导出和复制（或者说很难，特别是在没越狱的 iPhone 和 Android 上，现在移动设备的安全都做的挺好的）。 我确实认为不应把鸡蛋放一个篮子里，所以我同时使用验证器和密码管理器，并且把它们分开。

@ltkun 比如在你身后柜子上放一个小摄像头，又或者比如在公司头顶有高清晰度的监控，从而把你的系统登陆 PIN/密码管理器主密码记录下来，不是什么困难的事，更不一定需要强捆绑逼供。手机 TOTP （或者类似微软 /谷歌，主动推送批准登录）的安全性比这就好上许多。

总的来说我比较同意 @guazila 的看法。

@PogOnion

首先我这个帖子的意思就是建议把两者分开放置。

其次希望讨论的时候大家都能够互相尊重一点，我只是在向大家平等地提问。

我是 root 党 所以我的一切设备我控制 真泄露了也怪自己没做好安全措施 那些我控制不了的设备上的数据只能是安全级别比较低的 所以苹果 iOS 这种系统基本上不可能碰 自建私有云 任何时候都连着 VPN 只要出门

把 密码 和 OTP 分开管理，确实能提高安全性。但是在使用者不泄露密码数据库和主密码的情况下，你是否把 OTP 和密码放在一起，两者的安全性是对等的，而便捷性确有很大的差距。

如果非要分开放，我也会选择建立两个数据库，一个存放密码，一个存放 2FA 因素，而不是使用手机 App 。

丢失手机，还原、刷机忘记备份，错误卸载的时候真的是麻烦得要死。

确 -> 却

或许开发者从来都没考虑过这个问题，并且想把选择权交给用户？

有些网站的 TOTP 不只用在登录上，还有各种操作验证（ GitHub 删库等）。

@SunsetShimmer

可是 OTP 也是密码，密码管理器管理特殊密码，没有问题啊，但怎么管理确实是用户说了算。

从结果来看，放一起是使用更方便不是更麻烦。bitwarden 本来就是为了方便管理和使用密码而存在的，不是吗？

手机存 totp 的一个弊端，手机掉了你的 totp 码就全没了。

@arch9999 Bitwarden 似乎不会拒绝任何（有限长度的）字符串，从我的实际使用来看，它可以用于安全地保存各种字符串（ token 、gpg 私钥、URL ）

你 Bitwarden 有 2FA 啊