Bitwarden: ตัวจัดการรหัสผ่านโอเพนซอร์สฟรี
(bitwarden.com)- Bitwarden เป็นแพลตฟอร์มความปลอดภัยด้านข้อมูลรับรองที่ปกป้องรหัสผ่าน พาสคีย์ และซีเคร็ตสำหรับทั้งบุคคลและองค์กรด้วย การเข้ารหัสแบบต้นทางถึงปลายทางโอเพนซอร์ส
- มีทั้งการสร้าง·จัดเก็บ·กรอกอัตโนมัติรหัสผ่าน, วอลต์ธุรกิจแบบรวมศูนย์, เครื่องมือผู้ดูแลระบบ, ซิงก์อุปกรณ์ได้ไม่จำกัด, การแชร์ และการโฮสต์เองได้ภายในชุดผลิตภัณฑ์เดียว
- ขอบเขตการปกป้องไม่ได้หยุดอยู่แค่บัญชีของคน แต่ขยายไปถึง AI เอเจนต์และแมชชีน ด้วย โดยการเข้าถึงของเอเจนต์ใช้การเข้าถึงแบบเข้ารหัสตามเวลาที่จำเป็นพร้อมการอนุมัติจากมนุษย์ทุกครั้ง
- Bitwarden ระบุว่าได้รับความไว้วางใจจากองค์กรมากกว่า 80,000 แห่ง, ผู้ใช้รายบุคคลหลายล้านราย, สมาชิกชุมชนมากกว่า 100,000 คน รวมถึงการตรวจสอบโดยบุคคลที่สามและ การเข้ารหัสแบบ Zero-knowledge
- นอกจากบัญชีพื้นฐานฟรีแล้ว ยังมีแพ็กเกจ Premium เดือนละ $1.65, Families เดือนละ $3.99, Teams เดือนละ $4 ต่อผู้ใช้, Enterprise เดือนละ $6 ต่อผู้ใช้ โดยราคาที่แสดงเป็น USD สำหรับการชำระรายปีและยังไม่รวมภาษี
ปกป้องรหัสผ่าน·พาสคีย์·ซีเคร็ตไว้ในที่เดียว
- Bitwarden เป็นแพลตฟอร์มที่ปกป้องรหัสผ่าน พาสคีย์ และซีเคร็ตที่คน, AI เอเจนต์ และแมชชีนพึ่งพา
- แกนหลักของผลิตภัณฑ์คือ โอเพนซอร์ส, การเข้ารหัสแบบต้นทางถึงปลายทาง และสถาปัตยกรรมที่ขยายได้
- ผู้ใช้สามารถสร้างรหัสผ่านที่แข็งแรง จัดเก็บไว้ และกรอกอัตโนมัติในหลายบัญชีได้
- ในสภาพแวดล้อมองค์กร สามารถจัดระเบียบและจัดการข้อมูลรับรองด้วยวอลต์แบบรวมศูนย์และเครื่องมือผู้ดูแลระบบ
- ความโปร่งใสจากโอเพนซอร์ส, การตรวจสอบโดยบุคคลที่สาม และการรีวิวจากชุมชน ช่วยเสริมความน่าเชื่อถือด้านความปลอดภัย
วิธีการเข้าถึงสำหรับคน·AI เอเจนต์·แมชชีน
- ฟีเจอร์สำหรับผู้ใช้ที่เป็นคนจะมอบเฉพาะข้อมูลรับรองที่พนักงานจำเป็นต้องใช้ และรองรับการสร้าง·จัดเก็บ·กรอกอัตโนมัติรหัสผ่าน
- ผลิตภัณฑ์ที่เกี่ยวข้อง: Password Manager
- สำหรับ AI เอเจนต์ จะให้ การเข้าถึงแบบเข้ารหัสต้นทางถึงปลายทาง เมื่อจำเป็น และต้องได้รับการอนุมัติจากมนุษย์ทุกครั้ง
- รายการที่เกี่ยวข้อง: Agent Access SDK
- ฟีเจอร์สำหรับแมชชีนจะจำกัดขอบเขตการเข้าถึง developer secrets เช่น API key, รหัสผ่านฐานข้อมูล และ access token
- ผลิตภัณฑ์ที่เกี่ยวข้อง: Secrets Manager
หลักฐานความน่าเชื่อถือและขนาดการใช้งาน
- Bitwarden ระบุว่ามีองค์กรมากกว่า 80,000 แห่งและผู้ใช้รายบุคคลหลายล้านรายใช้เพื่อปกป้องข้อมูลรับรอง
- องค์ประกอบด้านความปลอดภัยและความน่าเชื่อถือมีดังนี้
- เป็นไปตามหรือสูงกว่ามาตรฐาน international compliance
- ด้วย การเข้ารหัสแบบ Zero-knowledge ทำให้มีเพียงผู้ใช้เท่านั้นที่เข้าถึงข้อมูลได้
- มีสมาชิกชุมชนมากกว่า 100,000 คนทั่ว GitHub, ฟอรัม Bitwarden และ Reddit
- ระบุว่าได้อันดับ 1 ในหมวด Enterprise User Satisfaction ของ G2 Enterprise Grid Report ต่อเนื่อง 11 ไตรมาส
- ลิงก์ที่เกี่ยวข้อง: G2 Enterprise Grid Report
ฟีเจอร์หลักสำหรับองค์กรและผู้ใช้ทั่วไป
- องค์กรสามารถใช้ SSO, SCIM และการโฮสต์เองเป็นตัวเลือกในการติดตั้งใช้งาน
- ทีม IT สามารถตรวจสอบสถานะการใช้งานข้อมูลรับรองด้วย event log และการควบคุมการเข้าถึง
- มีฟีเจอร์ที่ช่วยลดความเสี่ยงด้านข้อมูลรับรองของพนักงานและอุปกรณ์ทั้งหมด
- ผู้ใช้ทั่วไปลดภาระการต้องจำรหัสผ่าน และใช้การกรอกล็อกอินอัตโนมัติได้บนหลายอุปกรณ์และเบราว์เซอร์
- การปกป้องบัญชีส่วนบุคคลรวมถึงการแจ้งเตือนเมื่อมีการรั่วไหล
ชุดความสามารถของตัวจัดการรหัสผ่าน
-
สร้าง·จัดเก็บ·กรอกอัตโนมัติ
- ปกป้องรหัสผ่านและพาสคีย์ที่แข็งแรงและไม่ซ้ำกันสำหรับแต่ละบัญชี
- จัดเก็บอย่างปลอดภัยและกรอกอัตโนมัติได้ทันทีบน อุปกรณ์ได้ไม่จำกัด
-
การจัดการแบบรวมศูนย์
- จัดการการควบคุมการเข้าถึง, นโยบาย, ความเป็นเจ้าของรายการแบบรวมศูนย์ และรายงานความปลอดภัยได้ในที่เดียว
-
การผสานรวมเครื่องมือ
- สามารถผสานรวมกับผู้ให้บริการ SSO, directory service, เครื่องมือ SIEM, AI เอเจนต์ และเครื่องมือที่ธุรกิจใช้งานอยู่
-
การนำเข้า
- ย้ายรหัสผ่านจากเบราว์เซอร์หรือตัวจัดการรหัสผ่านอื่นได้ภายในไม่กี่นาที
-
การแชร์
- แชร์กับสมาชิกทีมผ่าน organization collections หรือส่งข้อความและไฟล์ที่เข้ารหัสผ่าน Bitwarden Send ได้
-
การโฮสต์เอง
- สามารถโฮสต์ Bitwarden บน on-premises หรือ private cloud เพื่อให้ได้ data sovereignty
- ฟีเจอร์เพิ่มเติม: Bitwarden Features
Access Intelligence และการป้องกันฟิชชิง
- Access Intelligence เป็นฟีเจอร์ที่ช่วยระบุแอปพลิเคชัน AI ที่ใช้งานอยู่ในองค์กรและลดความเสี่ยงด้านข้อมูลรับรอง
- ผลิตภัณฑ์ที่เกี่ยวข้อง: Access Intelligence
- รหัสผ่านที่อ่อนแอหรือใช้ซ้ำอาจเป็นช่องทางให้บัญชีถูกเจาะได้
- Bitwarden ช่วยให้สร้างรหัสผ่านที่แข็งแรงและไม่ซ้ำกันสำหรับแต่ละเว็บไซต์และแอป
- จะไม่กรอกอัตโนมัติบนเว็บไซต์ปลอมที่เลียนแบบขึ้นมา จึงช่วยในด้าน การป้องกันฟิชชิง
แพ็กเกจราคา
- แพ็กเกจสำหรับบุคคล
- Premium: $1.65 ต่อเดือน, ชำระ $19.80 ต่อปี
- มี authenticator ในตัว, ไฟล์แนบ, การเข้าถึงฉุกเฉิน, รายงานความปลอดภัย และอื่น ๆ
- สามารถแชร์รายการในวอลต์กับผู้ใช้อื่นได้ 1 คน
- Families: $3.99 ต่อเดือน, สูงสุด 6 คน, ชำระ $47.88 ต่อปี
- มีบัญชีพรีเมียม 6 บัญชี, การแชร์ไม่จำกัด, collection ไม่จำกัด และที่เก็บข้อมูลระดับองค์กร
- การจัดการรหัสผ่านพื้นฐานให้ใช้ฟรีเสมอ
- Premium: $1.65 ต่อเดือน, ชำระ $19.80 ต่อปี
- แพ็กเกจสำหรับธุรกิจ
- Teams: $4 ต่อผู้ใช้ต่อเดือน, ชำระรายปี
- นอกจากฟีเจอร์ Premium แล้ว ยังมีการแชร์ข้อมูลรับรอง, การตรวจสอบกิจกรรมจาก event log, การซิงก์กับ directory ที่มีอยู่ และระบบอัตโนมัติสำหรับ SCIM provisioning
- Enterprise: $6 ต่อผู้ใช้ต่อเดือน, ชำระรายปี
- นอกจากฟีเจอร์ Premium และ Teams แล้ว ยังมีการควบคุมการเข้าถึงแบบละเอียด, การผสานรวม Passwordless SSO, การกู้คืนบัญชี, ความยืดหยุ่นในการโฮสต์เอง, การลดความเสี่ยงด้วย Access Intelligence และแผน Families ฟรีสำหรับผู้ใช้ทุกคน
- องค์กรขนาดใหญ่สามารถปรึกษาฝ่ายขายเพื่อหารือเรื่องแพ็กเกจแบบกำหนดเองได้
- Teams: $4 ต่อผู้ใช้ต่อเดือน, ชำระรายปี
- ราคาที่แสดงเป็นการสมัครสมาชิกรายปีในสกุล USD และยังไม่รวมภาษี
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ผมอยากชอบ Bitwarden เพราะเป็น โอเพนซอร์ส แต่ 1Password นำหน้าไปไกลมาก
น่าขันที่แม้ 1Password 8 จะถูกรีแฟกเตอร์ครั้งใหญ่ไปใช้ UI ที่อิง Node ซึ่งหลายคนไม่ชอบ แต่มันก็ยังดีกว่ามากอยู่ดี
ผมเคยพยายามสอนพ่อให้ใช้ Bitwarden เพราะมีคำแปลเป็นภาษาแม่ของท่าน แต่ในการใช้งานจริง ข้อบกพร่องเล็ก ๆ น้อย ๆ อย่างการเติมอัตโนมัติล้มเหลว, ตรวจจับการบันทึกล็อกอินไม่ได้, บัญชีถูกล็อกเอาต์, การยืนยันตัวตนด้วยชีวมิติในเบราว์เซอร์ล้มเหลวเพราะแอปเบื้องหลังถูกปิด, และ UI จัดการที่แย่ สะสมกันจนแทบใช้งานไม่ได้
แผนส่วนบุคคลราคาถูก แต่แผนครอบครัวแพง และแม้จะโฮสต์เองได้ก็มีค่าใช้จ่าย
เวลาคนพูดว่าโฮสต์เอง โดยปกติมักหมายถึง vaultwarden ที่เขียนขึ้นใหม่ด้วย Rust แต่เท่าที่รู้ยังไม่เคยผ่านการ audit เลย จึงไม่รู้ว่าควรเชื่อมั่นเรื่องความเป็นไปได้ของช่องโหว่ระยะไกลได้อย่างไร
Bitwarden ก็ได้รับเงินลงทุนจาก VC เช่นกัน และผมเข้าใจว่าต้องเติบโต แต่คิดถึงโปรเจกต์ที่เป็นของธุรกิจที่ยั่งยืนได้โดยไม่มีแรงกดดันให้เติบโต 1Password ก็เช่นกัน แต่ผมก็กังวลว่าสตาร์ทอัพที่รับเงิน VC จะยังเชื่อถือได้ในอีก 1 ปีข้างหน้าหรือไม่
ผมทนใช้ V7 มาจนถึงไม่กี่สัปดาห์ก่อน แต่ด้วยเหตุบางอย่างจำเป็นต้องอัปเกรด เลยกลับไปดูอีกครั้งรวมถึง Bitwarden ด้วย แต่ UX ดูไม่ได้ดีขึ้น และที่สำคัญกว่านั้นคือมันปฏิเสธการนำเข้าทั้งหมดเพราะ secure note ขนาดใหญ่รายการหนึ่ง
ไม่ใช่แค่ข้ามโน้ตรายการนั้น แต่ไม่ได้นำเข้าอะไรเลย และไม่มีตัวเลือกให้ข้าม ทำให้ต้องทำงานมือเยอะมาก สุดท้ายแม้แต่ความต้องการที่จะใส่โน้ตที่จำเป็นลงใน vault ก็ยังทำไม่ได้
LastPass ที่เคยใช้มาก่อนตรวจจับฟิลด์ในฟอร์มได้ดีกว่ามาก และผมมองว่าการสร้าง UI บนป๊อปอัปชั่วคราวเป็นตัวเลือกที่แย่ เพราะผ่านไปหลายปีก็ยังไม่เปลี่ยนเป็นรูปแบบแท็บใหม่อย่างเหมาะสม ควรทำแบบ LastPass, uBlock Origin, TreeStyleTabs
บัญชีส่วนบุคคลและครอบครัวถูกกว่า 1Password และผมเป็นลูกค้าเสียเงินของ Bitwarden มานานก็ไม่เคยเจอปัญหาเหล่านี้
อ้างอิงเพิ่มเติม 1Password ได้รับเงินลงทุนจาก VC เกือบ 1 พันล้านดอลลาร์ และแรงกดดันให้เติบโตน่าจะมหาศาล
เงินลงทุน VC หมายความว่าสักวันหนึ่งพวกเขาจะพยายามถอนทุนคืน และบริการจัดการรหัสผ่านสำคัญเกินกว่าจะปล่อยให้มีแรงกดดันแบบนั้นอยู่
เมื่อดูตัวอย่างบริการที่รับเงิน VC อื่น ๆ จำนวนมากที่พังเละมาแล้ว ก็มีความเป็นไปได้พอสมควรว่าสักวันหนึ่งถ้าไม่จ่ายเงิน พวกเขาอาจเอารหัสผ่านเป็นตัวประกันหรือทำอะไรสุดโต่งคล้าย ๆ กัน
เซิร์ฟเวอร์ที่บ้านเสียค่าไฟประมาณเดือนละ 3 ยูโร และไม่ได้รันแค่ Vaultwarden แต่ยังรันบริการหลายอย่างอย่าง Home Assistant, Nextcloud, Jellyfin, Immich ด้วย
การดูแลรักษาด้วย Docker และ Compose ก็ง่าย รันบนเครือข่ายส่วนตัว และจำกัดการเข้าถึงจากภายนอกผ่าน VPN เมื่อจำเป็น
ถ้าโฮสต์แค่บริการเดียวก็แพง แต่ถ้ารันหลายบริการร่วมกันจะถูกกว่ามาก
ยังมี vaultwarden ซึ่งเป็น implementation แบบโอเพนซอร์สด้วย Rust ของเซิร์ฟเวอร์ด้วย: https://github.com/dani-garcia/vaultwarden
นอกจากครั้งหนึ่งตอนย้ายไปเซิร์ฟเวอร์อื่นแล้วตอนแรกมันหา database จาก Docker volume ที่ restore มาไม่เจอ ก็ไม่มีปัญหาอะไร และเรื่องนั้นก็มีโอกาสพอ ๆ กันว่าจะเป็นปัญหาของ Docker หรือผมทำอะไรผิดเอง
แปลกใจที่มีปฏิกิริยาเชิงลบมากกว่าที่คิด ในหัวผม Bitwarden ยังเป็นผลิตภัณฑ์ที่คนใน HN ชื่นชอบอยู่
ผมจ่าย พรีเมียมปีละ 10 ดอลลาร์ ใช้อยู่ ถึงจะไม่แน่ใจว่าจริง ๆ แล้วใช้ฟีเจอร์อะไรบ้าง แต่ชอบตัวผลิตภัณฑ์เอง
แต่ก็ไม่ได้ไปค้นหาคู่แข่งมากนัก เลยสงสัยว่าตัวจัดการอื่น ๆ มีข้อดีใหญ่ ๆ อะไรหรือเปล่า
มีคำพูดแนวว่า “นำหน้าไปไกลมาก” เยอะ แต่ไม่ค่อยเห็นว่าหมายถึงอะไรอย่างเป็นรูปธรรม
ที่ทำงานช่วงหลัง ๆ ใช้ LastPass กับ 1Password ส่วนของส่วนตัวใช้ Bitwarden และผมว่า Bitwarden ดีกว่ามาก
ปลั๊กอินเบราว์เซอร์ตรวจจับการกรอกและเปลี่ยนรหัสผ่านได้เสถียรกว่า พร้อมเสนอให้บันทึกหรืออัปเดต และเวอร์ชัน iOS ก็ผสานกับการเติมรหัสผ่านอัตโนมัติของแอปเนทีฟอื่น ๆ ได้ลื่นไหลกว่า
ฟีเจอร์แชร์สำหรับทีมอาจตามหลังอยู่บ้าง แต่สำหรับใช้งานส่วนตัวก็ไม่เกี่ยว
ดูเหมือนจะมีความโกรธแบบชาว HN ตรงที่ Bitwarden ส่วนใหญ่เป็นโอเพนซอร์ส แต่ไม่ใช่ 100% เพราะมีคอมโพเนนต์บางส่วนที่เป็นกรรมสิทธิ์ แต่ผมเข้าใจยากกับท่าทีที่ซอฟต์แวร์ควรตกลงมาจากฟ้าเหมือนมานา และไม่ควรต้องพยุงธุรกิจ
ก็แปลกเหมือนกันที่ VS Code ซึ่งเป็นแบบเดียวกันไม่ค่อยโดนความคับข้องแบบนี้ และบางทีถ้า Bitwarden ทำ UI โหมดมืดให้ดูเข้าท่ากว่านี้ อะไร ๆ อาจดีขึ้นก็ได้
ผมก็ใช้ Bitwarden Premium และชอบมัน องค์กรของเราใช้ตัวจัดการรหัสผ่านระดับองค์กรอีกตัวหนึ่ง ซึ่งซับซ้อนกว่ามากและอินเทอร์เฟซก็ช้ากว่า
ผมมีหลักว่าถ้าได้ฟีเจอร์ 80% ในรูปแบบโอเพนซอร์ส ต่อให้มันไม่ใช่ “ดีที่สุด” ผมก็จะใช้มัน
ก่อนหน้านี้ใน HN มีแต่โพสต์ชม Bitwarden และจากที่ผมใช้เอง ก็แทบไม่เจอปัญหาที่คนบ่นกันที่นี่
ข้อติเดียวคือ การเข้าสู่ระบบด้วยชีวมิติ ในแอปเดสก์ท็อปค่อนข้างแข็ง ๆ หน่อย แต่ไม่ใช่ปัญหาชี้ขาด
เผื่อทราบไว้ Bitwarden ได้รับ เงินลงทุน VC 100 ล้านดอลลาร์ เมื่อปีที่แล้ว
มีความเป็นไปได้สูงว่าวันหนึ่งแรงกดดันให้ทำเงินเชิงรุกจะมาถึง
https://techcrunch.com/2022/09/06/open-source-password-manag...
ถึงจุดหนึ่งก็คงต้องยอมรับและใช้ชีวิตต่อไป ผลิตภัณฑ์ที่ใช้อยู่ในอนาคตอาจเปลี่ยนไป และภายหลังอาจต้องย้ายไปใช้อย่างอื่น
ทางเลือกคือเอาอะไรอย่าง KeePass ใส่ไว้ในไดรฟ์ USB แล้วยอมทิ้งการซิงก์ผ่านคลาวด์ การผสานกับเบราว์เซอร์และแอปเนทีฟสำหรับการเติมอัตโนมัติ ซึ่งจริง ๆ แล้วฟีเจอร์เหล่านี้แหละคือหัวใจของผลิตภัณฑ์ประเภทนี้
ถ้าไม่มีสิ่งนั้น กระดาษโน้ตในลิ้นชักโต๊ะอาจจะดีกว่าด้วยซ้ำ
ที่แย่กว่านั้นคือ เขากำลังจะทำอะไรในอนาคตถึงจะโน้มน้าว VC ได้ว่าจะคืนทุนมากกว่าเงินก้อนนั้น
ถ้ามีผลิตภัณฑ์ที่เติบโตและเป็นที่นิยมขนาดนี้ ทำไมถึงต้องรับเงินก้อนนั้นด้วย ผมอยากรู้เหตุผลจริง ๆ
น่ากังวลอยู่บ้าง
Bitwarden ดี ผมใช้ทุกที่และมันช่วยจัดการรหัสผ่านได้ดี
ฟีเจอร์หลักสำหรับผมคือ ฟีเจอร์องค์กร ใช้ง่าย ทำให้แชร์รหัสผ่านกับภรรยาได้สะดวก
บัญชีเกี่ยวกับการเงินหรือเรื่องลูกมักต้องแชร์กัน ทั้งสองคนจึงต้องมีรหัสผ่าน และ Bitwarden ทำให้เรื่องนี้ง่ายมาก
รายการที่ผมแชร์เองก็เป็นเหมือนกัน เวลาที่ใช้กรอกอัตโนมัติได้ก็โอเค แต่ไม่ได้ทำงานได้เสมอหรือใช้ได้ทุกกรณี
หัวข้อชวนให้เข้าใจผิด นี่ไม่ใช่ “โอเพนซอร์สฟรี” อย่างสมบูรณ์
เซิร์ฟเวอร์ของ Bitwarden ใช้โครงสร้างไลเซนส์แบบคู่
บางส่วนเป็นโอเพนซอร์สภายใต้ AGPL และฟีเจอร์บางส่วนเป็นไลเซนส์ Bitwarden แบบเปิดเผยซอร์ส
แถมแม้แต่คอร์โอเพนซอร์ส ถ้าจะโฮสต์เองก็ต้องลงทะเบียน โดยบอกว่าเพื่อให้บริการเสริมอย่างอัปเดตความปลอดภัย เซิร์ฟเวอร์ push relay และการตรวจสอบไลเซนส์
ถึงในเอกสารจะไม่ได้ระบุไว้ แต่เมื่อดูจากการที่บอกว่าอย่าแชร์ license key ระหว่างการติดตั้ง ก็น่าจะมีเรื่องการปรับปรุง เทเลเมทรี ด้วย
ผมเข้าใจว่าทำไมต้องมีไลเซนส์แบบเปิดเผยซอร์ส แต่ถ้าผลลัพธ์ไม่ฟรีแบบเบียร์ฟรี และไม่เสรีแบบเสรีภาพในการแสดงออก ก็ไม่รู้ว่าทำไมถึงต้องไลเซนส์บางส่วนเป็นโอเพนซอร์ส
ผมสงสัยจริงจังว่าบริษัทได้ประโยชน์อะไรจากการทำการตลาดผลิตภัณฑ์ที่แทบไม่ใช่โอเพนซอร์สว่าเป็นโอเพนซอร์ส
https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...
ส่วนที่เหลือของ Bitwarden เป็นซอฟต์แวร์ฟรีและเสรี ทั้งในแง่ค่าใช้จ่ายและเสรีภาพ ไม่รู้ว่าทำไมถึงคิดต่างไป
Vaultwarden มีอยู่จริงและเข้ากันได้กับไคลเอนต์ Bitwarden
ดูเว็บไซต์คร่าว ๆ แล้วเหมือนเป็นการเปิดเผยเพื่อ ความโปร่งใส มากกว่าจะเป็นจิตวิญญาณของโอเพนซอร์สเสรี
ใน
apiมี Commercial Core ที่เป็น Bitwarden License รวมอยู่ด้วย แต่เอกสารบอกว่าสามารถปิดได้ตอน build โมดูล โดยส่งอาร์กิวเมนต์/p:DefineConstants="OSS"ให้dotnetแปลกใจที่ยังไม่มีใครพูดถึง Padloc
มีการเข้ารหัสแบบ end-to-end, เป็นโอเพนซอร์ส, โฮสต์เองได้ง่าย และมี UI กับ UX ที่ดี
ผมให้ทุกคนในครอบครัวใช้ และหลังจากใช้มานานกว่าหนึ่งปี สุดท้ายก็กลายเป็นผู้ร่วมพัฒนาอย่างจริงจัง
มีแอปเดสก์ท็อปที่ใช้ Tauri ด้วย
เปิดเผยผลประโยชน์: ผมมีสิทธิ์ร่วมพัฒนา แต่ไม่ได้รับรายได้จากการขายหรืออะไรทำนองนั้น
https://padloc.app
พอดูคะแนนดาวด้วยแล้วก็ไม่ค่อยสร้างความเชื่อมั่น
ไม่ใช่ความรู้สึกที่อยากได้จาก password manager เลย อนึ่ง ผมเป็น UI/UX designer
ผู้เล่นรายใหญ่ ๆ ดูเหมือนจะพยายามตัดฟีเจอร์นั้นออกหมด แต่สิ่งเดียวที่ผมต้องการจาก password manager คือไม่ต้องเก็บรหัสผ่านทั้งหมดของผมไว้บนคลาวด์
Bitwarden ไม่ได้สมบูรณ์แบบ แต่การเรียก
passว่า “ง่าย” นี่ตลกโดยเฉพาะในสถานการณ์ที่ต้องแชร์รหัสผ่านกับคนในครอบครัวที่คุ้นกับเทคโนโลยีน้อยกว่ามาก และ 1Password ก็มี UI ที่ดื้อดึงจนหลายครั้งกลายเป็นอุปสรรค
ผมมองว่า Bitwarden ทำสมดุลระหว่าง ความปลอดภัย·ราคา·ดีไซน์ ได้ดี
แต่ผมเห็นด้วยกับความกังวลเรื่องการระดมทุนและการเปลี่ยนแปลงผู้บริหาร
ใช้อยู่แล้วพอใจและสะดวกดี แต่สงสัยว่าการรวมของสำคัญทั้งหมด รวมถึง 2FA ไว้ใน คลาวด์ที่เดียว จริง ๆ แล้วปลอดภัยแค่ไหน
มันดูเป็นเป้าหมายที่มีมูลค่าสูงเกินไป
ในทางกลับกัน การซิงก์ทุกอย่างด้วยมือก็ยุ่งยาก และสุดท้ายผมก็เข้ารหัสบนคอมพิวเตอร์ของตัวเองแล้วค่อยซิงก์ผ่านคลาวด์อยู่ดี เลยสงสัยว่ามันต่างกันตรงไหน
ถ้ามองในระดับใหญ่ คนที่ไม่ใช้ password manager จะใช้รหัสผ่านซ้ำ จบแค่นั้น
วิธีที่จะยกระดับความปลอดภัยบัญชีของคนทั่วไปได้มากที่สุดจริง ๆ คือทำให้พวกเขาใช้ password manager แม้จะคำนึงถึงความเสี่ยงที่ vault จะถูกขโมยและถูกถอดรหัสได้ก็ตาม
สำหรับคนส่วนใหญ่ การจัดการรหัสผ่านบนคลาวด์แทบจะเป็นสิ่งที่ต่อรองไม่ได้ เหตุการณ์แบบ “vault อยู่ในคอมพิวเตอร์ แล้วทำตกจนดิสก์พัง” จะเกิดขึ้นเรื่อย ๆ และการทำให้ทุกคนสำรองข้อมูลอย่างถูกต้องนั้นทำไม่ได้ในวงกว้าง
ถ้าคุณสร้างรหัสผ่านที่ไม่ซ้ำกันและแข็งแรงพอสำหรับทุกบัญชีได้เอง ก็อาจหลีกเลี่ยง password manager เพื่อลดความเสี่ยงเล็ก ๆ อย่างหนึ่งได้
ถ้ารวมศูนย์ความลับทั้งสองอย่างไว้ด้วยกัน มันก็แทบไม่ใช่การยืนยันตัวตนสองขั้นตอนแล้ว
บนมือถือใช้ Aegis บนคอมพิวเตอร์ใช้
passกับส่วนขยาย OTP และใช้รหัสผ่านที่ต่างจาก Bitwarden อย่างสิ้นเชิงถ้ากังวลเรื่อง vault บนคลาวด์ของ Bitwarden ก็สามารถตั้งอินสแตนซ์ vaultwarden ซึ่งเป็นอิมพลีเมนต์เซิร์ฟเวอร์เสรีโอเพนซอร์สที่เขียนด้วย Rust แล้วเชื่อมต่อไคลเอนต์ได้ ผมยังไม่เคยลองเอง แต่ได้ยินมาว่าทำงานได้ดี
ไฟล์อยู่บน Dropbox และก่อนเปิดแอปบนอุปกรณ์อื่น มันก็ซิงก์ไว้เรียบร้อยเสมอ
การสำรองฐานข้อมูลก็ง่ายพอ ๆ กับ copy & paste ไฟล์
สำหรับผู้ใช้ทั่วไป การใช้ password manager ดีกว่าการใช้
hunter42กับทุกบัญชีอย่างท่วมท้นผมสำรองฐานข้อมูลบ่อย ๆ ด้วย สำหรับผมมันทำงานได้ดีพอ และไม่ต้องเก็บข้อมูลของผมไว้บนคลาวด์ของบริษัทใดบริษัทหนึ่ง
เป็นโอเพนซอร์สและใช้งานง่าย: https://www.passwordstore.org/
prsขึ้นมาเพื่อแก้ความไม่สะดวกหลายอย่างที่เคยเจอกับpassและไคลเอนต์อื่น ๆใช้งานร่วมกับ
passได้และใช้ repository เดียวกันhttps://github.com/timvisee/prs
~/.password-storeมากกว่านอกจากนี้ยังมี GUI client หลายตัวสำหรับจัดการรหัสผ่าน และเครื่องมือสำหรับนำเข้าจากตัวจัดการอื่น ๆ
ฟังดูเป็นไอเดียที่ดี แต่กังวลว่าไคลเอนต์อาจถูกโจมตีผ่านซัพพลายเชนซอฟต์แวร์ได้ ผมคงไม่มีความเชี่ยวชาญพอที่จะประเมินเวอร์ชันใหม่ทุกครั้ง
ลองแนะนำ
passให้ครอบครัวดูสิ แม้แต่ 1Password ก็ยังตั้งค่าไม่ง่ายสำหรับคนทั่วไปยังต้องไปอีกไกลกว่าที่ทุกคนจะใช้ตัวจัดการรหัสผ่าน และทางเลือกที่เป็นจริงมากกว่าน่าจะเป็น passkey
passเปิดเผยทั้งเว็บไซต์ที่ตั้งค่าไว้และ metadata ประวัติของแต่ละรายการโดยการออกแบบอาจเหมาะหรือไม่เหมาะกับ threat model ของคุณก็ได้