通过 Bitwarden 管理你的密码

对于密码安全，一款靠谱的密码管理器是非常重要的。目前市面上有着不少的密码管理器，而我选择了 Bitwarden。

首先，它有着完全免费的版本，而且功能限制并不多。它允许免费用户存储不限数量的密码，同时能够与另一个账户共享密码库。对于我这种完全没有共享需求的人来说，这已经是足够我使用了。同时它完全开源，如果不放心，甚至还官方提供了 docker 镜像以供自建。

功能介绍

Bitwarden 的功能并不止于生成并管理密码，下面我来简单介绍一下。

生成并管理密码

这算是 Bitwarden 的本职工作了吧，不过除了账号密码外，它还可以通过 TOTP 提供两步验证，如果网站支持的话。另外，还能够自定义一些笔记或是新增字段，来添加对于该站点的描述。它还支持文件夹，通过不同的文件夹来进行分类，不过只支持一级文件夹。

在创建密码时，选项也比较丰富。它支持最长 128 位的密码，还可选最少的数字或特殊字符个数，并且生成的密码中，数字，字母，符号都会以不同的色彩显示，极大程度上避免了混淆。同时它还支持生成最多 20 个单词的密码短语，还可选分隔符，是否包含大小写与数字。不仅如此，它还有历史记录功能，可以查看之前所生成的密码。

数据的导出与导入

作为密码管理软件，密码的导出与导入势必是非常重要的，这关系到是否能够方便地进行数据迁移，以及是否能够方便备份，防止软件出现问题时无法登录到网站中。

Bitwarden 支持从绝大多数主流密码管理软件中进行数据导入，例如 Chrome，Firefox，1Password，LastPass 等等，并且支持 json 与 csv 这两种格式的导出，操作也非常便捷，完全能够满足我的需求。

密码安全报告

Bitwarden 还会生成一系列的安全报告，以保护用户密码的安全。

它会将密码以及邮箱地址与已经公开的，被泄露的数据库中的内容进行对比，并找出这些不安全的密码，另外也会与你自己的密码库中的密码进行对比，防止一个密码被重复使用多次。它能够找到那些非常容易被破解的密码，在自动填写的域名中未使用 https 的，以及网站有两步验证但并未被启用的，并进行提醒，增加密码的安全程度。

账户保护

除了普通的账号密码，以及两步验证（必须通过网页端开启）外，Bitwarden 还通过 “指纹短语”（fingerprint phrase）来保护帐号安全。每个帐号都有一个固定的，由 5 个英语单词组成的指纹短语，且不会改变。可以通过验证指纹短语，来判断所连接到正确的的 Bitwarden 服务器。或用来验证添加到组织中的帐号是否为正确的帐号。

它还支持通过修改 KDF 迭代来防止主密码遭到暴力破解。

其他一些安全措施，别的密码管理软件也具有，像后台自动锁定，禁止截图等等，这里就不展开细说了。

总而言之，它所提供的功能非常丰富，在生成管理密码外，还有一系列保护账户安全的功能，

自建

Bitwarden 能够部署在自己的服务器上，也就是说如果不放心官方，担心自己的数据隐私，也能够自己将 Bitwarden 部署到自己的服务器上，这样就能更加放心地使用了。这也是 Bitwarden 相对于其他密码管理软件更具有优势的一点吧。

由于部署采用的是 Docker 部署，非常简单方便，也易于升级，对新手也很友好。官方的镜像需要付费才能够使用高级的功能，因此我一般使用第三方制作的这个镜像，解锁了所有高级功能，也提供了非常丰富的自定义功能。

建议使用 Nginx 代理。

安装 Docker 与 Docker-compse

安装 Docker 具体可以查阅官方文档，这里就简单写一下常见的 CentOS 与 Ubuntu 的安装方法。默认之前都没有安装过 Docker，并且将安装最普通的稳定版。

CentOS

sudo yum install -y yum-utils

sudo yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo

sudo yum install docker-ce docker-ce-cli containerd.io
sudo systemctl enable --now docker

# 这条命令建议查看 https://docs.docker.com/compose/install/ 来确定使用的是最新的版本
sudo curl -L "https://github.com/docker/compose/releases/download/1.26.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

sudo chmod +x /usr/local/bin/docker-compose

Ubuntu

sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg-agent \
    software-properties-common
    
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

# 这里要确定使用的架构，一般都是 amd64
sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable"
   
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose
sudo systemctl enable --now docker

安装 Bitwarden

有官方的版本以及第三方的版本，我个人推荐第三方的。

官方安装

官方的安装文档可以查阅这里，推荐配置是 64 位系统，2 核 4 G，25 G 以上。

首先需要在这里用邮箱申请一个 key，然后会给你一个 installation id 和 installation key，记好这两串字符串。

然后连接到服务器上，运行一下命令：

curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh \
    && chmod +x bitwarden.sh
./bitwarden.sh install

之后会在终端里询问域名以及 installation id 和 installation key，按照实际情况填写即可。它还会询问是否部署 SSL，如果不额外配置 nginx 等代理的话，建议选择需要，以保证访问的安全性。

最后运行 ./bitwarden.sh start 就可以通过域名访问了。

第三方部署

有人用 Rust 写了一个 Bitwarden 的第三方版本，不用在 Bitwarden 申请 installation key 和 id，直接就能使用高级版本，而且配置丰富，因此我选择使用这个版本。

注意：它由于可以不使用 Docker-compose （例如我就没有使用），因此可以只安装 Docker。

由于它会用到非常长的一串，需要更改中间部分内容的命令，建议将命令先复制到记事本中，更改完成后再复制到终端去执行。

首先先拉取 docker 镜像

docker pull bitwardenrs/server:latest

如果只是需要测试是否可以成功运行，可以先运行一下这个最简单的命令，然后通过 ip 地址访问，看看是否能够成功显示。

docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 bitwardenrs/server:latest

如果之后需要进行其他配置，或是要升级镜像，可以通过这两条命令进行删除后再重新部署。

docker stop bitwarden
docker rm bitwarden

# 如果是要升级的话，再拉取最新的镜像
docker pull bitwardenrs/server:latest

由于可自定义的内容实在太多，我这里就介绍一些个人认为比较实用的内容，其他的可以查阅项目的 wiki 页面。

如果只是自己使用，可以在注册完自己的帐号后，加上 -e SIGNUPS_ALLOWED=false 选项来禁止新用户注册。如果需要其他人注册，可以打开 admin 页面添加。

如果需要管理账户，可以通过设置 token 打开 Admin 页面（位于 https://domain.com/admin），即加上 -e ADMIN_TOKEN=some_random_token_as_per_above_explanation，最好将这串 token 设置的复杂一些，防止被暴力破解，不过别忘记了。同时最好打开 https 防止中间人攻击。

由于一般都是个人使用，许多人不会去配置邮件服务，因此它会默认在页面直接显示出密码提示，而非将其发送至邮箱。如果不要直接显示，可以加上 -e SHOW_PASSWORD_HINT=false。

如果要显示通知，则加上 -e WEBSOCKET_ENABLED=true ，并且多映射一个端口 -p 3012:3012 。

而如果需要配置邮件服务，可以通过以下方式配置：

-e SMTP_HOST=<smtp.domain.tld> \
-e SMTP_FROM=<bitwarden@domain.tld> \
-e SMTP_PORT=587 \
-e SMTP_SSL=true \
-e SMTP_USERNAME=<username> \
-e SMTP_PASSWORD=<password> \

具体内容因人而异，如果不理解上面这些内容都是什么，就建议不要配置了。

由于我使用 Nginx 进行代理，需要配置 DOMAIN，不然很多地方会出现奇怪的错误。加上 -e DOMAIN=https://domain.com来解决这个问题。

最后设置一下 Nginx 代理，就可以进行使用了。记得在设置上禁止注册前先注册好帐号哦 : )

server {
  server_name domain.com;

  # Allow large attachments
  client_max_body_size 128M;

  location / {
    proxy_pass http://localhost:80;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
  }

  location /notifications/hub {
    proxy_pass http://localhost:3012;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
  }
  location /notifications/hub/negotiate {
    proxy_pass http://localhost:80;
  }


  listen 80;
}

把 domain.com 换成自己的域名，把 ssl 相关内容换成自己的，再重启下 Nginx，就完成部署，可以使用了。配置证书时建议使用 certbot 自动配置，非常方便。

如果部署成功，此时访问域名就会看到这样的界面

接下来就请尽情使用吧。