1 คะแนน โดย GN⁺ 2023-09-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Bitwarden เป็นแพลตฟอร์มความปลอดภัยด้านข้อมูลรับรองที่ปกป้องรหัสผ่าน พาสคีย์ และซีเคร็ตสำหรับทั้งบุคคลและองค์กรด้วย การเข้ารหัสแบบต้นทางถึงปลายทางโอเพนซอร์ส
  • มีทั้งการสร้าง·จัดเก็บ·กรอกอัตโนมัติรหัสผ่าน, วอลต์ธุรกิจแบบรวมศูนย์, เครื่องมือผู้ดูแลระบบ, ซิงก์อุปกรณ์ได้ไม่จำกัด, การแชร์ และการโฮสต์เองได้ภายในชุดผลิตภัณฑ์เดียว
  • ขอบเขตการปกป้องไม่ได้หยุดอยู่แค่บัญชีของคน แต่ขยายไปถึง AI เอเจนต์และแมชชีน ด้วย โดยการเข้าถึงของเอเจนต์ใช้การเข้าถึงแบบเข้ารหัสตามเวลาที่จำเป็นพร้อมการอนุมัติจากมนุษย์ทุกครั้ง
  • Bitwarden ระบุว่าได้รับความไว้วางใจจากองค์กรมากกว่า 80,000 แห่ง, ผู้ใช้รายบุคคลหลายล้านราย, สมาชิกชุมชนมากกว่า 100,000 คน รวมถึงการตรวจสอบโดยบุคคลที่สามและ การเข้ารหัสแบบ Zero-knowledge
  • นอกจากบัญชีพื้นฐานฟรีแล้ว ยังมีแพ็กเกจ Premium เดือนละ $1.65, Families เดือนละ $3.99, Teams เดือนละ $4 ต่อผู้ใช้, Enterprise เดือนละ $6 ต่อผู้ใช้ โดยราคาที่แสดงเป็น USD สำหรับการชำระรายปีและยังไม่รวมภาษี

ปกป้องรหัสผ่าน·พาสคีย์·ซีเคร็ตไว้ในที่เดียว

  • Bitwarden เป็นแพลตฟอร์มที่ปกป้องรหัสผ่าน พาสคีย์ และซีเคร็ตที่คน, AI เอเจนต์ และแมชชีนพึ่งพา
  • แกนหลักของผลิตภัณฑ์คือ โอเพนซอร์ส, การเข้ารหัสแบบต้นทางถึงปลายทาง และสถาปัตยกรรมที่ขยายได้
  • ผู้ใช้สามารถสร้างรหัสผ่านที่แข็งแรง จัดเก็บไว้ และกรอกอัตโนมัติในหลายบัญชีได้
  • ในสภาพแวดล้อมองค์กร สามารถจัดระเบียบและจัดการข้อมูลรับรองด้วยวอลต์แบบรวมศูนย์และเครื่องมือผู้ดูแลระบบ
  • ความโปร่งใสจากโอเพนซอร์ส, การตรวจสอบโดยบุคคลที่สาม และการรีวิวจากชุมชน ช่วยเสริมความน่าเชื่อถือด้านความปลอดภัย

วิธีการเข้าถึงสำหรับคน·AI เอเจนต์·แมชชีน

  • ฟีเจอร์สำหรับผู้ใช้ที่เป็นคนจะมอบเฉพาะข้อมูลรับรองที่พนักงานจำเป็นต้องใช้ และรองรับการสร้าง·จัดเก็บ·กรอกอัตโนมัติรหัสผ่าน
    • ผลิตภัณฑ์ที่เกี่ยวข้อง: Password Manager
  • สำหรับ AI เอเจนต์ จะให้ การเข้าถึงแบบเข้ารหัสต้นทางถึงปลายทาง เมื่อจำเป็น และต้องได้รับการอนุมัติจากมนุษย์ทุกครั้ง
  • ฟีเจอร์สำหรับแมชชีนจะจำกัดขอบเขตการเข้าถึง developer secrets เช่น API key, รหัสผ่านฐานข้อมูล และ access token
    • ผลิตภัณฑ์ที่เกี่ยวข้อง: Secrets Manager

หลักฐานความน่าเชื่อถือและขนาดการใช้งาน

  • Bitwarden ระบุว่ามีองค์กรมากกว่า 80,000 แห่งและผู้ใช้รายบุคคลหลายล้านรายใช้เพื่อปกป้องข้อมูลรับรอง
  • องค์ประกอบด้านความปลอดภัยและความน่าเชื่อถือมีดังนี้
    • เป็นไปตามหรือสูงกว่ามาตรฐาน international compliance
    • ด้วย การเข้ารหัสแบบ Zero-knowledge ทำให้มีเพียงผู้ใช้เท่านั้นที่เข้าถึงข้อมูลได้
    • มีสมาชิกชุมชนมากกว่า 100,000 คนทั่ว GitHub, ฟอรัม Bitwarden และ Reddit
  • ระบุว่าได้อันดับ 1 ในหมวด Enterprise User Satisfaction ของ G2 Enterprise Grid Report ต่อเนื่อง 11 ไตรมาส

ฟีเจอร์หลักสำหรับองค์กรและผู้ใช้ทั่วไป

  • องค์กรสามารถใช้ SSO, SCIM และการโฮสต์เองเป็นตัวเลือกในการติดตั้งใช้งาน
  • ทีม IT สามารถตรวจสอบสถานะการใช้งานข้อมูลรับรองด้วย event log และการควบคุมการเข้าถึง
  • มีฟีเจอร์ที่ช่วยลดความเสี่ยงด้านข้อมูลรับรองของพนักงานและอุปกรณ์ทั้งหมด
  • ผู้ใช้ทั่วไปลดภาระการต้องจำรหัสผ่าน และใช้การกรอกล็อกอินอัตโนมัติได้บนหลายอุปกรณ์และเบราว์เซอร์
  • การปกป้องบัญชีส่วนบุคคลรวมถึงการแจ้งเตือนเมื่อมีการรั่วไหล

ชุดความสามารถของตัวจัดการรหัสผ่าน

  • สร้าง·จัดเก็บ·กรอกอัตโนมัติ

    • ปกป้องรหัสผ่านและพาสคีย์ที่แข็งแรงและไม่ซ้ำกันสำหรับแต่ละบัญชี
    • จัดเก็บอย่างปลอดภัยและกรอกอัตโนมัติได้ทันทีบน อุปกรณ์ได้ไม่จำกัด
  • การจัดการแบบรวมศูนย์

    • จัดการการควบคุมการเข้าถึง, นโยบาย, ความเป็นเจ้าของรายการแบบรวมศูนย์ และรายงานความปลอดภัยได้ในที่เดียว
  • การผสานรวมเครื่องมือ

    • สามารถผสานรวมกับผู้ให้บริการ SSO, directory service, เครื่องมือ SIEM, AI เอเจนต์ และเครื่องมือที่ธุรกิจใช้งานอยู่
  • การนำเข้า

    • ย้ายรหัสผ่านจากเบราว์เซอร์หรือตัวจัดการรหัสผ่านอื่นได้ภายในไม่กี่นาที
  • การแชร์

    • แชร์กับสมาชิกทีมผ่าน organization collections หรือส่งข้อความและไฟล์ที่เข้ารหัสผ่าน Bitwarden Send ได้
  • การโฮสต์เอง

    • สามารถโฮสต์ Bitwarden บน on-premises หรือ private cloud เพื่อให้ได้ data sovereignty
    • ฟีเจอร์เพิ่มเติม: Bitwarden Features

Access Intelligence และการป้องกันฟิชชิง

  • Access Intelligence เป็นฟีเจอร์ที่ช่วยระบุแอปพลิเคชัน AI ที่ใช้งานอยู่ในองค์กรและลดความเสี่ยงด้านข้อมูลรับรอง
  • รหัสผ่านที่อ่อนแอหรือใช้ซ้ำอาจเป็นช่องทางให้บัญชีถูกเจาะได้
  • Bitwarden ช่วยให้สร้างรหัสผ่านที่แข็งแรงและไม่ซ้ำกันสำหรับแต่ละเว็บไซต์และแอป
  • จะไม่กรอกอัตโนมัติบนเว็บไซต์ปลอมที่เลียนแบบขึ้นมา จึงช่วยในด้าน การป้องกันฟิชชิง

แพ็กเกจราคา

  • แพ็กเกจสำหรับบุคคล
    • Premium: $1.65 ต่อเดือน, ชำระ $19.80 ต่อปี
      • มี authenticator ในตัว, ไฟล์แนบ, การเข้าถึงฉุกเฉิน, รายงานความปลอดภัย และอื่น ๆ
      • สามารถแชร์รายการในวอลต์กับผู้ใช้อื่นได้ 1 คน
    • Families: $3.99 ต่อเดือน, สูงสุด 6 คน, ชำระ $47.88 ต่อปี
      • มีบัญชีพรีเมียม 6 บัญชี, การแชร์ไม่จำกัด, collection ไม่จำกัด และที่เก็บข้อมูลระดับองค์กร
    • การจัดการรหัสผ่านพื้นฐานให้ใช้ฟรีเสมอ
  • แพ็กเกจสำหรับธุรกิจ
    • Teams: $4 ต่อผู้ใช้ต่อเดือน, ชำระรายปี
      • นอกจากฟีเจอร์ Premium แล้ว ยังมีการแชร์ข้อมูลรับรอง, การตรวจสอบกิจกรรมจาก event log, การซิงก์กับ directory ที่มีอยู่ และระบบอัตโนมัติสำหรับ SCIM provisioning
    • Enterprise: $6 ต่อผู้ใช้ต่อเดือน, ชำระรายปี
      • นอกจากฟีเจอร์ Premium และ Teams แล้ว ยังมีการควบคุมการเข้าถึงแบบละเอียด, การผสานรวม Passwordless SSO, การกู้คืนบัญชี, ความยืดหยุ่นในการโฮสต์เอง, การลดความเสี่ยงด้วย Access Intelligence และแผน Families ฟรีสำหรับผู้ใช้ทุกคน
    • องค์กรขนาดใหญ่สามารถปรึกษาฝ่ายขายเพื่อหารือเรื่องแพ็กเกจแบบกำหนดเองได้
  • ราคาที่แสดงเป็นการสมัครสมาชิกรายปีในสกุล USD และยังไม่รวมภาษี

1 ความคิดเห็น

 
GN⁺ 2023-09-26
ความคิดเห็นจาก Hacker News
  • ผมอยากชอบ Bitwarden เพราะเป็น โอเพนซอร์ส แต่ 1Password นำหน้าไปไกลมาก
    น่าขันที่แม้ 1Password 8 จะถูกรีแฟกเตอร์ครั้งใหญ่ไปใช้ UI ที่อิง Node ซึ่งหลายคนไม่ชอบ แต่มันก็ยังดีกว่ามากอยู่ดี
    ผมเคยพยายามสอนพ่อให้ใช้ Bitwarden เพราะมีคำแปลเป็นภาษาแม่ของท่าน แต่ในการใช้งานจริง ข้อบกพร่องเล็ก ๆ น้อย ๆ อย่างการเติมอัตโนมัติล้มเหลว, ตรวจจับการบันทึกล็อกอินไม่ได้, บัญชีถูกล็อกเอาต์, การยืนยันตัวตนด้วยชีวมิติในเบราว์เซอร์ล้มเหลวเพราะแอปเบื้องหลังถูกปิด, และ UI จัดการที่แย่ สะสมกันจนแทบใช้งานไม่ได้
    แผนส่วนบุคคลราคาถูก แต่แผนครอบครัวแพง และแม้จะโฮสต์เองได้ก็มีค่าใช้จ่าย
    เวลาคนพูดว่าโฮสต์เอง โดยปกติมักหมายถึง vaultwarden ที่เขียนขึ้นใหม่ด้วย Rust แต่เท่าที่รู้ยังไม่เคยผ่านการ audit เลย จึงไม่รู้ว่าควรเชื่อมั่นเรื่องความเป็นไปได้ของช่องโหว่ระยะไกลได้อย่างไร
    Bitwarden ก็ได้รับเงินลงทุนจาก VC เช่นกัน และผมเข้าใจว่าต้องเติบโต แต่คิดถึงโปรเจกต์ที่เป็นของธุรกิจที่ยั่งยืนได้โดยไม่มีแรงกดดันให้เติบโต 1Password ก็เช่นกัน แต่ผมก็กังวลว่าสตาร์ทอัพที่รับเงิน VC จะยังเชื่อถือได้ในอีก 1 ปีข้างหน้าหรือไม่

    • ตอนที่ 1Password ประกาศว่าจะย้ายไปเป็น แอป Electron ห่วย ๆ ผมได้ประเมินตัวจัดการรหัสผ่านหลัก ๆ รวมถึงผลิตภัณฑ์ที่ไม่ค่อยดังอย่าง Strongbox แล้ว แต่แม้ UX ของ 1Password 8 จะแย่ลง มันก็ยังเหนือกว่าแบบเทียบไม่ติด
      ผมทนใช้ V7 มาจนถึงไม่กี่สัปดาห์ก่อน แต่ด้วยเหตุบางอย่างจำเป็นต้องอัปเกรด เลยกลับไปดูอีกครั้งรวมถึง Bitwarden ด้วย แต่ UX ดูไม่ได้ดีขึ้น และที่สำคัญกว่านั้นคือมันปฏิเสธการนำเข้าทั้งหมดเพราะ secure note ขนาดใหญ่รายการหนึ่ง
      ไม่ใช่แค่ข้ามโน้ตรายการนั้น แต่ไม่ได้นำเข้าอะไรเลย และไม่มีตัวเลือกให้ข้าม ทำให้ต้องทำงานมือเยอะมาก สุดท้ายแม้แต่ความต้องการที่จะใส่โน้ตที่จำเป็นลงใน vault ก็ยังทำไม่ได้
    • ผมคิดว่าราคาเดือนละ 1 ยูโร เหมาะพอดีกับตัวจัดการรหัสผ่าน เลยใช้แบบผู้ใช้เสียเงินอยู่ แต่ที่บอกว่ามีข้อบกพร่องนั้นก็จริง
      LastPass ที่เคยใช้มาก่อนตรวจจับฟิลด์ในฟอร์มได้ดีกว่ามาก และผมมองว่าการสร้าง UI บนป๊อปอัปชั่วคราวเป็นตัวเลือกที่แย่ เพราะผ่านไปหลายปีก็ยังไม่เปลี่ยนเป็นรูปแบบแท็บใหม่อย่างเหมาะสม ควรทำแบบ LastPass, uBlock Origin, TreeStyleTabs
    • อยากรู้ว่าครั้งสุดท้ายที่ใช้คือเมื่อไร ช่วงหลังมี การเปลี่ยน UI และดีขึ้นกว่าเดิม
      บัญชีส่วนบุคคลและครอบครัวถูกกว่า 1Password และผมเป็นลูกค้าเสียเงินของ Bitwarden มานานก็ไม่เคยเจอปัญหาเหล่านี้
      อ้างอิงเพิ่มเติม 1Password ได้รับเงินลงทุนจาก VC เกือบ 1 พันล้านดอลลาร์ และแรงกดดันให้เติบโตน่าจะมหาศาล
    • คำพูดว่า “Bitwarden ก็ได้รับเงินลงทุนจาก VC เช่นกัน ไม่เป็นไรหรอก” นั้นไม่โอเคเลย
      เงินลงทุน VC หมายความว่าสักวันหนึ่งพวกเขาจะพยายามถอนทุนคืน และบริการจัดการรหัสผ่านสำคัญเกินกว่าจะปล่อยให้มีแรงกดดันแบบนั้นอยู่
      เมื่อดูตัวอย่างบริการที่รับเงิน VC อื่น ๆ จำนวนมากที่พังเละมาแล้ว ก็มีความเป็นไปได้พอสมควรว่าสักวันหนึ่งถ้าไม่จ่ายเงิน พวกเขาอาจเอารหัสผ่านเป็นตัวประกันหรือทำอะไรสุดโต่งคล้าย ๆ กัน
    • การโฮสต์ในดาต้าเซ็นเตอร์แพง แต่ โฮสต์ที่บ้าน ไม่ได้แพง ถ้าคุณจ่ายค่าอินเทอร์เน็ตอยู่แล้วก็เอามาใช้ให้คุ้ม
      เซิร์ฟเวอร์ที่บ้านเสียค่าไฟประมาณเดือนละ 3 ยูโร และไม่ได้รันแค่ Vaultwarden แต่ยังรันบริการหลายอย่างอย่าง Home Assistant, Nextcloud, Jellyfin, Immich ด้วย
      การดูแลรักษาด้วย Docker และ Compose ก็ง่าย รันบนเครือข่ายส่วนตัว และจำกัดการเข้าถึงจากภายนอกผ่าน VPN เมื่อจำเป็น
      ถ้าโฮสต์แค่บริการเดียวก็แพง แต่ถ้ารันหลายบริการร่วมกันจะถูกกว่ามาก
  • ยังมี vaultwarden ซึ่งเป็น implementation แบบโอเพนซอร์สด้วย Rust ของเซิร์ฟเวอร์ด้วย: https://github.com/dani-garcia/vaultwarden

    • เซิร์ฟเวอร์ Bitwarden อย่างเป็นทางการก็เป็นฟรีโอเพนซอร์สภายใต้ AGPL เช่นกัน: https://github.com/bitwarden/server
    • สิ่งเดียวที่ Vaultwarden ขาดคือ SSO/OAuth มี PR ที่เกี่ยวข้องเปิดค้างมาหลายปีแล้ว แต่ตอนนี้หมดหวังว่าจะถูก merge แล้ว
    • สำหรับรหัสผ่านของทีมผมใช้ Vaultwarden ส่วนของส่วนตัวใช้ Password Store
      นอกจากครั้งหนึ่งตอนย้ายไปเซิร์ฟเวอร์อื่นแล้วตอนแรกมันหา database จาก Docker volume ที่ restore มาไม่เจอ ก็ไม่มีปัญหาอะไร และเรื่องนั้นก็มีโอกาสพอ ๆ กันว่าจะเป็นปัญหาของ Docker หรือผมทำอะไรผิดเอง
    • ผมใช้ vaultwarden เป็นการส่วนตัว ดีเยี่ยมมาก
  • แปลกใจที่มีปฏิกิริยาเชิงลบมากกว่าที่คิด ในหัวผม Bitwarden ยังเป็นผลิตภัณฑ์ที่คนใน HN ชื่นชอบอยู่
    ผมจ่าย พรีเมียมปีละ 10 ดอลลาร์ ใช้อยู่ ถึงจะไม่แน่ใจว่าจริง ๆ แล้วใช้ฟีเจอร์อะไรบ้าง แต่ชอบตัวผลิตภัณฑ์เอง
    แต่ก็ไม่ได้ไปค้นหาคู่แข่งมากนัก เลยสงสัยว่าตัวจัดการอื่น ๆ มีข้อดีใหญ่ ๆ อะไรหรือเปล่า

    • ผมก็ประหลาดใจมากเหมือนกัน
      มีคำพูดแนวว่า “นำหน้าไปไกลมาก” เยอะ แต่ไม่ค่อยเห็นว่าหมายถึงอะไรอย่างเป็นรูปธรรม
      ที่ทำงานช่วงหลัง ๆ ใช้ LastPass กับ 1Password ส่วนของส่วนตัวใช้ Bitwarden และผมว่า Bitwarden ดีกว่ามาก
      ปลั๊กอินเบราว์เซอร์ตรวจจับการกรอกและเปลี่ยนรหัสผ่านได้เสถียรกว่า พร้อมเสนอให้บันทึกหรืออัปเดต และเวอร์ชัน iOS ก็ผสานกับการเติมรหัสผ่านอัตโนมัติของแอปเนทีฟอื่น ๆ ได้ลื่นไหลกว่า
      ฟีเจอร์แชร์สำหรับทีมอาจตามหลังอยู่บ้าง แต่สำหรับใช้งานส่วนตัวก็ไม่เกี่ยว
      ดูเหมือนจะมีความโกรธแบบชาว HN ตรงที่ Bitwarden ส่วนใหญ่เป็นโอเพนซอร์ส แต่ไม่ใช่ 100% เพราะมีคอมโพเนนต์บางส่วนที่เป็นกรรมสิทธิ์ แต่ผมเข้าใจยากกับท่าทีที่ซอฟต์แวร์ควรตกลงมาจากฟ้าเหมือนมานา และไม่ควรต้องพยุงธุรกิจ
      ก็แปลกเหมือนกันที่ VS Code ซึ่งเป็นแบบเดียวกันไม่ค่อยโดนความคับข้องแบบนี้ และบางทีถ้า Bitwarden ทำ UI โหมดมืดให้ดูเข้าท่ากว่านี้ อะไร ๆ อาจดีขึ้นก็ได้
    • ในแวดวงซอฟต์แวร์มีปรากฏการณ์แปลก ๆ ที่ โซลูชันโอเพนซอร์ส มักถูกคาดหวังด้วยมาตรฐานที่สูงกว่าซอฟต์แวร์อื่นในหมวดเดียวกัน
      ผมก็ใช้ Bitwarden Premium และชอบมัน องค์กรของเราใช้ตัวจัดการรหัสผ่านระดับองค์กรอีกตัวหนึ่ง ซึ่งซับซ้อนกว่ามากและอินเทอร์เฟซก็ช้ากว่า
      ผมมีหลักว่าถ้าได้ฟีเจอร์ 80% ในรูปแบบโอเพนซอร์ส ต่อให้มันไม่ใช่ “ดีที่สุด” ผมก็จะใช้มัน
    • พูดตรง ๆ มันรู้สึกเหมือนเป็นความพยายามแบบมีการจัดตั้งเพื่อดึงคู่แข่งให้ตกลงมา
      ก่อนหน้านี้ใน HN มีแต่โพสต์ชม Bitwarden และจากที่ผมใช้เอง ก็แทบไม่เจอปัญหาที่คนบ่นกันที่นี่
      ข้อติเดียวคือ การเข้าสู่ระบบด้วยชีวมิติ ในแอปเดสก์ท็อปค่อนข้างแข็ง ๆ หน่อย แต่ไม่ใช่ปัญหาชี้ขาด
    • ผมใช้ Bitwarden มาพักหนึ่งแล้ว และสำหรับผมมันทำงานได้ดีสมบูรณ์แบบ ทำสิ่งที่ต้องการได้โดยไม่มีอะไรให้บ่นเป็นพิเศษ
  • เผื่อทราบไว้ Bitwarden ได้รับ เงินลงทุน VC 100 ล้านดอลลาร์ เมื่อปีที่แล้ว
    มีความเป็นไปได้สูงว่าวันหนึ่งแรงกดดันให้ทำเงินเชิงรุกจะมาถึง
    https://techcrunch.com/2022/09/06/open-source-password-manag...

    • ทางเลือกหลักคือ LastPass กับ 1Password โดย LastPass กำลังพังเพราะช่องโหว่ด้านความปลอดภัย ส่วน 1Password ได้เงินลงทุน VC ประมาณ 1 พันล้านดอลลาร์: https://techcrunch.com/2022/01/19/1password-series-c-funding...
      ถึงจุดหนึ่งก็คงต้องยอมรับและใช้ชีวิตต่อไป ผลิตภัณฑ์ที่ใช้อยู่ในอนาคตอาจเปลี่ยนไป และภายหลังอาจต้องย้ายไปใช้อย่างอื่น
      ทางเลือกคือเอาอะไรอย่าง KeePass ใส่ไว้ในไดรฟ์ USB แล้วยอมทิ้งการซิงก์ผ่านคลาวด์ การผสานกับเบราว์เซอร์และแอปเนทีฟสำหรับการเติมอัตโนมัติ ซึ่งจริง ๆ แล้วฟีเจอร์เหล่านี้แหละคือหัวใจของผลิตภัณฑ์ประเภทนี้
      ถ้าไม่มีสิ่งนั้น กระดาษโน้ตในลิ้นชักโต๊ะอาจจะดีกว่าด้วยซ้ำ
    • หลักในการใช้ชีวิตของผมคือถ้ามีนักลงทุน VC หรือไพรเวตอิควิตี้เข้ามาในผลิตภัณฑ์ไหน ก็รีบออกจากผลิตภัณฑ์นั้น
    • บริการจัดการรหัสผ่านต้องใช้เงินขนาดนั้นไปทำไมกันแน่
      ที่แย่กว่านั้นคือ เขากำลังจะทำอะไรในอนาคตถึงจะโน้มน้าว VC ได้ว่าจะคืนทุนมากกว่าเงินก้อนนั้น
    • ในฐานะคนที่ชอบธุรกิจแบบบูตสแตรปมากกว่า การระดมทุนระดับนี้ดูบ้าคลั่งมาก
      ถ้ามีผลิตภัณฑ์ที่เติบโตและเป็นที่นิยมขนาดนี้ ทำไมถึงต้องรับเงินก้อนนั้นด้วย ผมอยากรู้เหตุผลจริง ๆ
    • ขอบคุณสำหรับข้อมูลนะ เงินก้อนใหญ่ทีเดียวสำหรับบริการราคาถูกที่ย้ายออกได้ง่ายแบบนี้
      น่ากังวลอยู่บ้าง
  • Bitwarden ดี ผมใช้ทุกที่และมันช่วยจัดการรหัสผ่านได้ดี
    ฟีเจอร์หลักสำหรับผมคือ ฟีเจอร์องค์กร ใช้ง่าย ทำให้แชร์รหัสผ่านกับภรรยาได้สะดวก
    บัญชีเกี่ยวกับการเงินหรือเรื่องลูกมักต้องแชร์กัน ทั้งสองคนจึงต้องมีรหัสผ่าน และ Bitwarden ทำให้เรื่องนี้ง่ายมาก

    • ผมก็เคยใช้แบบนั้นเหมือนกัน แล้วก็เพิ่งรู้ว่าผมกับภรรยาใช้แค่ บัญชี Bitwarden เดียว ก็พอ
    • ผมก็ใช้ฟีเจอร์แชร์ หรือก็คือฟีเจอร์องค์กร แต่ไม่รู้ว่าผมไม่รู้อะไรเองหรือเปล่า หลังจากแชร์แล้วดูเหมือนจะดูหรือคัดลอกรหัสผ่านไม่ได้
      รายการที่ผมแชร์เองก็เป็นเหมือนกัน เวลาที่ใช้กรอกอัตโนมัติได้ก็โอเค แต่ไม่ได้ทำงานได้เสมอหรือใช้ได้ทุกกรณี
  • หัวข้อชวนให้เข้าใจผิด นี่ไม่ใช่ “โอเพนซอร์สฟรี” อย่างสมบูรณ์
    เซิร์ฟเวอร์ของ Bitwarden ใช้โครงสร้างไลเซนส์แบบคู่
    บางส่วนเป็นโอเพนซอร์สภายใต้ AGPL และฟีเจอร์บางส่วนเป็นไลเซนส์ Bitwarden แบบเปิดเผยซอร์ส
    แถมแม้แต่คอร์โอเพนซอร์ส ถ้าจะโฮสต์เองก็ต้องลงทะเบียน โดยบอกว่าเพื่อให้บริการเสริมอย่างอัปเดตความปลอดภัย เซิร์ฟเวอร์ push relay และการตรวจสอบไลเซนส์
    ถึงในเอกสารจะไม่ได้ระบุไว้ แต่เมื่อดูจากการที่บอกว่าอย่าแชร์ license key ระหว่างการติดตั้ง ก็น่าจะมีเรื่องการปรับปรุง เทเลเมทรี ด้วย
    ผมเข้าใจว่าทำไมต้องมีไลเซนส์แบบเปิดเผยซอร์ส แต่ถ้าผลลัพธ์ไม่ฟรีแบบเบียร์ฟรี และไม่เสรีแบบเสรีภาพในการแสดงออก ก็ไม่รู้ว่าทำไมถึงต้องไลเซนส์บางส่วนเป็นโอเพนซอร์ส
    ผมสงสัยจริงจังว่าบริษัทได้ประโยชน์อะไรจากการทำการตลาดผลิตภัณฑ์ที่แทบไม่ใช่โอเพนซอร์สว่าเป็นโอเพนซอร์ส
    https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
    https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...

    • เนื้อหาคือ “Commercial.Core และการผสานรวม SSO: โค้ดโมดูลใหม่บางส่วนที่ออกแบบและพัฒนาสำหรับองค์กรขนาดใหญ่และสภาพแวดล้อมระดับ enterprise จะเผยแพร่ภายใต้ Bitwarden License ซึ่งเป็นไลเซนส์แบบเปิดเผยซอร์ส”
      ส่วนที่เหลือของ Bitwarden เป็นซอฟต์แวร์ฟรีและเสรี ทั้งในแง่ค่าใช้จ่ายและเสรีภาพ ไม่รู้ว่าทำไมถึงคิดต่างไป
      Vaultwarden มีอยู่จริงและเข้ากันได้กับไคลเอนต์ Bitwarden
    • ไม่รู้ว่าทำไมทุกคนถึงสันนิษฐานว่าอะไรที่เป็นโอเพนซอร์สต้องฟรี และต้องใช้ไลเซนส์แบบผ่อนปรนที่อนุญาตทุกอย่างเสมอ
      ดูเว็บไซต์คร่าว ๆ แล้วเหมือนเป็นการเปิดเผยเพื่อ ความโปร่งใส มากกว่าจะเป็นจิตวิญญาณของโอเพนซอร์สเสรี
    • ในทางปฏิบัติอาจมีคนสนใจไม่มาก แต่จากข้อความใน FAQ เรื่องไลเซนส์ ดูเหมือนจะโฮสต์เซิร์ฟเวอร์แบบ FOSS ล้วน ได้
      ใน api มี Commercial Core ที่เป็น Bitwarden License รวมอยู่ด้วย แต่เอกสารบอกว่าสามารถปิดได้ตอน build โมดูล โดยส่งอาร์กิวเมนต์ /p:DefineConstants="OSS" ให้ dotnet
    • ก็อย่างที่คุณพูดเองนั่นแหละ มันคือการตลาด
  • แปลกใจที่ยังไม่มีใครพูดถึง Padloc
    มีการเข้ารหัสแบบ end-to-end, เป็นโอเพนซอร์ส, โฮสต์เองได้ง่าย และมี UI กับ UX ที่ดี
    ผมให้ทุกคนในครอบครัวใช้ และหลังจากใช้มานานกว่าหนึ่งปี สุดท้ายก็กลายเป็นผู้ร่วมพัฒนาอย่างจริงจัง
    มีแอปเดสก์ท็อปที่ใช้ Tauri ด้วย
    เปิดเผยผลประโยชน์: ผมมีสิทธิ์ร่วมพัฒนา แต่ไม่ได้รับรายได้จากการขายหรืออะไรทำนองนั้น
    https://padloc.app

    • บน Google Play ของ Android 13 Pixel 7 ขึ้นว่า “แอปนี้ถูกสร้างมาสำหรับ Android เวอร์ชันเก่า จึงใช้งานบนอุปกรณ์ของคุณไม่ได้” และติดตั้งไม่ได้
      พอดูคะแนนดาวด้วยแล้วก็ไม่ค่อยสร้างความเชื่อมั่น
    • เพิ่งเคยเห็นครั้งแรก แต่แบรนดิ้งกับดีไซน์ให้ความรู้สึกเหมือนตะโกนว่า “นี่เป็นโปรเจกต์นักศึกษา อยู่ให้ห่างไว้”
      ไม่ใช่ความรู้สึกที่อยากได้จาก password manager เลย อนึ่ง ผมเป็น UI/UX designer
    • อยากรู้ว่ามี การซิงก์ผ่าน Wi‑Fi ไหม
      ผู้เล่นรายใหญ่ ๆ ดูเหมือนจะพยายามตัดฟีเจอร์นั้นออกหมด แต่สิ่งเดียวที่ผมต้องการจาก password manager คือไม่ต้องเก็บรหัสผ่านทั้งหมดของผมไว้บนคลาวด์
  • Bitwarden ไม่ได้สมบูรณ์แบบ แต่การเรียก pass ว่า “ง่าย” นี่ตลก
    โดยเฉพาะในสถานการณ์ที่ต้องแชร์รหัสผ่านกับคนในครอบครัวที่คุ้นกับเทคโนโลยีน้อยกว่ามาก และ 1Password ก็มี UI ที่ดื้อดึงจนหลายครั้งกลายเป็นอุปสรรค
    ผมมองว่า Bitwarden ทำสมดุลระหว่าง ความปลอดภัย·ราคา·ดีไซน์ ได้ดี
    แต่ผมเห็นด้วยกับความกังวลเรื่องการระดมทุนและการเปลี่ยนแปลงผู้บริหาร

  • ใช้อยู่แล้วพอใจและสะดวกดี แต่สงสัยว่าการรวมของสำคัญทั้งหมด รวมถึง 2FA ไว้ใน คลาวด์ที่เดียว จริง ๆ แล้วปลอดภัยแค่ไหน
    มันดูเป็นเป้าหมายที่มีมูลค่าสูงเกินไป
    ในทางกลับกัน การซิงก์ทุกอย่างด้วยมือก็ยุ่งยาก และสุดท้ายผมก็เข้ารหัสบนคอมพิวเตอร์ของตัวเองแล้วค่อยซิงก์ผ่านคลาวด์อยู่ดี เลยสงสัยว่ามันต่างกันตรงไหน

    • ควรสามารถสร้าง รหัสผ่านที่ไม่ซ้ำกันและแข็งแรงพอ สำหรับแต่ละบริการที่ใช้ได้ นี่คือขั้นตอนแรกที่สำคัญที่สุดอย่างเด็ดขาดในการจัดการบัญชี
      ถ้ามองในระดับใหญ่ คนที่ไม่ใช้ password manager จะใช้รหัสผ่านซ้ำ จบแค่นั้น
      วิธีที่จะยกระดับความปลอดภัยบัญชีของคนทั่วไปได้มากที่สุดจริง ๆ คือทำให้พวกเขาใช้ password manager แม้จะคำนึงถึงความเสี่ยงที่ vault จะถูกขโมยและถูกถอดรหัสได้ก็ตาม
      สำหรับคนส่วนใหญ่ การจัดการรหัสผ่านบนคลาวด์แทบจะเป็นสิ่งที่ต่อรองไม่ได้ เหตุการณ์แบบ “vault อยู่ในคอมพิวเตอร์ แล้วทำตกจนดิสก์พัง” จะเกิดขึ้นเรื่อย ๆ และการทำให้ทุกคนสำรองข้อมูลอย่างถูกต้องนั้นทำไม่ได้ในวงกว้าง
      ถ้าคุณสร้างรหัสผ่านที่ไม่ซ้ำกันและแข็งแรงพอสำหรับทุกบัญชีได้เอง ก็อาจหลีกเลี่ยง password manager เพื่อลดความเสี่ยงเล็ก ๆ อย่างหนึ่งได้
    • ผมก็ใส่รหัสผ่านแทบทั้งหมดไว้ใน Bitwarden แต่ไม่ใส่โทเคน 2FA เพื่อไม่ให้ เอาไข่ทั้งหมดใส่ตะกร้าใบเดียว
      ถ้ารวมศูนย์ความลับทั้งสองอย่างไว้ด้วยกัน มันก็แทบไม่ใช่การยืนยันตัวตนสองขั้นตอนแล้ว
      บนมือถือใช้ Aegis บนคอมพิวเตอร์ใช้ pass กับส่วนขยาย OTP และใช้รหัสผ่านที่ต่างจาก Bitwarden อย่างสิ้นเชิง
      ถ้ากังวลเรื่อง vault บนคลาวด์ของ Bitwarden ก็สามารถตั้งอินสแตนซ์ vaultwarden ซึ่งเป็นอิมพลีเมนต์เซิร์ฟเวอร์เสรีโอเพนซอร์สที่เขียนด้วย Rust แล้วเชื่อมต่อไคลเอนต์ได้ ผมยังไม่เคยลองเอง แต่ได้ยินมาว่าทำงานได้ดี
    • ผมใช้ KeePass และการซิงก์ก็ไม่ได้ยุ่งยาก
      ไฟล์อยู่บน Dropbox และก่อนเปิดแอปบนอุปกรณ์อื่น มันก็ซิงก์ไว้เรียบร้อยเสมอ
      การสำรองฐานข้อมูลก็ง่ายพอ ๆ กับ copy & paste ไฟล์
    • ถ้าข้อมูลมีมูลค่าสูงพอ หรือคุณมีความสามารถในการจัดการวิธีที่ดีกว่านี้ นี่อาจไม่ใช่คำตอบที่ดีที่สุด
      สำหรับผู้ใช้ทั่วไป การใช้ password manager ดีกว่าการใช้ hunter42 กับทุกบัญชีอย่างท่วมท้น
    • ผมโฮสต์ vaultwarden ซึ่งเป็นอิมพลีเมนต์เซิร์ฟเวอร์ Bitwarden เองบน Raspberry Pi ที่บ้านเพื่อการนี้: https://github.com/dani-garcia/vaultwarden
      ผมสำรองฐานข้อมูลบ่อย ๆ ด้วย สำหรับผมมันทำงานได้ดีพอ และไม่ต้องเก็บข้อมูลของผมไว้บนคลาวด์ของบริษัทใดบริษัทหนึ่ง
  • เป็นโอเพนซอร์สและใช้งานง่าย: https://www.passwordstore.org/

    • ผมสร้าง prs ขึ้นมาเพื่อแก้ความไม่สะดวกหลายอย่างที่เคยเจอกับ pass และไคลเอนต์อื่น ๆ
      ใช้งานร่วมกับ pass ได้และใช้ repository เดียวกัน
      https://github.com/timvisee/prs
    • อันนี้ต่างออกไปเล็กน้อย แทนที่จะเป็นแอปจัดการรหัสผ่าน มันใกล้เคียงกับมาตรฐานและ implementation อ้างอิงแบบ CLI สำหรับเก็บ รหัสผ่านที่เข้ารหัสด้วย GPG ไว้ใน ~/.password-store มากกว่า
      นอกจากนี้ยังมี GUI client หลายตัวสำหรับจัดการรหัสผ่าน และเครื่องมือสำหรับนำเข้าจากตัวจัดการอื่น ๆ
      ฟังดูเป็นไอเดียที่ดี แต่กังวลว่าไคลเอนต์อาจถูกโจมตีผ่านซัพพลายเชนซอฟต์แวร์ได้ ผมคงไม่มีความเชี่ยวชาญพอที่จะประเมินเวอร์ชันใหม่ทุกครั้ง
    • สำหรับผู้เชี่ยวชาญคอมพิวเตอร์ อาจใช้งานง่ายก็ได้
      ลองแนะนำ pass ให้ครอบครัวดูสิ แม้แต่ 1Password ก็ยังตั้งค่าไม่ง่ายสำหรับคนทั่วไป
      ยังต้องไปอีกไกลกว่าที่ทุกคนจะใช้ตัวจัดการรหัสผ่าน และทางเลือกที่เป็นจริงมากกว่าน่าจะเป็น passkey
    • pass เปิดเผยทั้งเว็บไซต์ที่ตั้งค่าไว้และ metadata ประวัติของแต่ละรายการโดยการออกแบบ
      อาจเหมาะหรือไม่เหมาะกับ threat model ของคุณก็ได้
    • ดู https://github.com/passff/passff ได้