[被撞库] 上周 bitwarden 被撞库异地登录，还好有惊无险

看到了，我估计你看到的错误信息是 1009 。

@Livid #2 第一次发不出去然后修改关键词，重试后仍然不行，在此期间印象中错误信息有变更过一次，但具体内容不记得了。

为什么不用两步验证？

为了解决密码共用的安全问题而诞生的密码管理器，
居然把主密码跟其他十个网站共用。。。无力吐槽。

@shyrock #5 是这样的，其实这是个缓慢发展的过程，最开始是独立的并且想了好久，后来随着不同网站的密码定期 rotate ，就 ro 到了这个密码。。。（毕竟是当时想了好久的高强度密码）

anyway ，my fault

你用了 Bitwarden 然后还复用密码，以及密码管理器不开两步验证...

以绝大多数人的安全知识 selfhost BW 还不如直接用官方的

密码管理工具你都不开两步验证，实在是太猛了

所以因为缺乏网络安全方面的知识，我选择部署到内网，而且开了两步验证，主密码虽然简单，但也是每年一变。

@nevadax #6 既然用了密码管理器，当然是每个网站独立生成随机密码啊。

又不让你用脑子记密码，rotate 个毛线啊？

@shyrock #10 请仔细看我帖子，有提到原因

@shyrock #10 而且请礼貌发言，我对你没有什么敌意，也请你对我友善，如果可以的话，还请不要把你的场景套直接想当然的套在别人身上。

@nevadax #12 毛线在你的字典里属于不礼貌的字眼？那。。。可真是没法好好说话了。。。

我泄露是不可能泄露的，我直接把 bitwarden 的主密码、totp 密钥、恢复密钥都记在脑子里，每次登录就到自己搭建的 totp 生成网页上生成 totp 加密码登录。

10 个网站公用？那被撞库不怨吧。自带的密码生成器啊，我直接用生成的，主密码保存在电脑里，另外 vaultwarden 里也保存一份，我还在官方 bitwarden 里保存一份密码库。

我也遇到了还好没有复用主密码

@SkyHighR #14 嚯，可以可以，佩服，我记性比你差多了

@frankilla #15 aws, google, microsoft, email, bitwarden, digitalocean, oracle, 剩下的忘了。。。

唉，大意了。

我的 bit 账号和密码都是专用的+两步验证。
其他所有密码都是随机生成的，只需记一个 bit 主密码就行了。

楼主，你这算是提醒我了，要给 bw 搞个发邮件功能。我一直自己用用 也没配置邮件

@nevadax #18 这些直接密码生成然后记在 vaultwarden 里啊，vaultwarden 开启两步验证。应该安全了吧。

我现在是自建，然后双重验证，电脑指纹和 Yubico ，可以的话手机上的指纹或者 FaceID 也绑上，必须绑定两个以上。

自建被撞库，OP 被盯上了，小心点。

我也有多个不能被保存在密码管理器里的账号，这类账号我都是记忆一个密码规则，每次登录前心算密码，防止密码泄露发生连带影响。由于现在广泛支持在首次登录后启用指纹登录，真正需要心算密码的时候并不多。
此外两步验证是必须的，你的这个案例里，我觉得更有的价值是开两步验证，并且是单独使用别的 App 的那种两步验证，这点比自部署更重要。我为了以防万一，两步验证 App 的邮箱和密码管理器的邮箱也是独立的。
供参考。

@hingle #23 非常赞同，自建的密码库被撞库，问题非常严重了，这种属于针对个人的攻击，而不是脱裤后自动化的广撒网式攻击
问题：
1. 密码管理器不设置两步验证
2. 主密码混用
3. 密码管理器的的账户名混用
4. 自建服务的登录地址泄露
5. 自用服务未设置 IP 白名单或 cf access 保护
6. 被攻击后还不抓紧全部改一遍密码
7. 为了方便不使用随机密码
8. 在公用电脑上登录自己的账户，且输入重复使用的密码
建议：
1. 使用自己的域名邮箱 catch all ，所有的账户使用不同的邮箱
2. 搭配使用不同的随机密码
3. 减少主邮箱的使用频次
4. 所有账户全部修改一遍密码
5. 启用两步验证
6. 多个密码管理器同时启用，互为备份
7. 自建 vaultwarden ，可以临时共享账号给另一个小号，在公用电脑上使用小号获取账户密码进行登录，或使用 send 功能

请教下，自建的话，异地登录会有邮件通知吗，我在设置里翻了一遍并没有找到

@tyhunter 需要你自己配置 SMTP 邮件服务 在 admin 页面打开 好像是这么回事 太久远了

@frankilla #21 应该是安全了，至少目前想不到有什么问题。

不过记得定期备份数据（文件和 db ，一周一次最好），你的密码是 vaultwarden 生成的，如果哪天数据意外丢了就凉凉。

备份可以存在 aws s3 里面，设置策略三周后自动转深度归档，成本很低的。

@Nile20 #24 ok ，感谢建议。

这事发生之后，我就开了两步验证和 yubikey ，master key 也用单独密码了。

@tyhunter #26 bitwarden 会的，如果是 docker 自建，在 env 文件填写正确的 smtp ，在新设备登陆后每次都有提示，这个功能是默认开启的，我没有做特殊设置。如果你的没有，请确认是 bitwarden 而不是 vaultwarden （没用过 vaultwareden 的邮件功能），版本不同也有可能，我的是当时的最新版。

@hingle #23
@totoro625 #25

兄弟们感谢建议，只是自建作为我的一道防线，生效了，攻击者攻破的是我 bitwarden 官网账号，里面没有存任何密码，当时是为了订阅用的。

我有博客，wiki ，云盘，git ，照片等，只是自用，从未在任何地方公开过，这也很大程度减少了受攻击面。

@nevadax #28 我单独把主密码保存在电脑 txt 里，icloud 里，云盘里，最后整个密码库时不时的去同步到官方 Bitwarden 里。感觉应该够了。