首发于傻翠的个人博客https://idealclover.top/archives/563/本作品由 idealclover 采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可,转载请注明出处。

随着我们登录注册过的网站越来越多，密码管理愈发成为一个老大难问题：要么是忘了我用的是哪个手机号或者邮箱注册的账号；要么想起了账号却忘记了密码，找回密码发现“必须含有大小写字母和数字”的时候才忽然想起；要么为了方便和省事就几乎所有网站都用一个密码，结果其实自己的账号早就被挂在 Have I Been Pwned 上好久了；再或者把密码写在本本上然后不小心丢在了哪里，身家性命付诸东流...也就是因为我们记不住密码，密码管理软件也就应运而生。

大体上讲，密码管理软件可以集中存储，加密，生成我们在各个网站的用户名和密码并在对应的网站自动填写。目前比较流行的密码管理软件有 1Password、LastPass 以及 KeePass等。然而在调研了一圈之后傻翠发现，这些软件要么需要不菲的费用，要么曾经出现过严重的安全漏洞，要么把所有的数据全部存放在本地，对于傻翠这种两台电脑两部手机两个平板的多设备玩家来说简直是噩梦 emmm 总之挑来选取都不是很合适，直到遇见了 BitWarden，嗯，就你了。

这一点是我最想说的。

这里就不得不提在现代密码学中的柯克霍夫原则（Kerckhoffs's principle）：即使密码系统的任何细节已为人悉知，只要密钥 Key 未泄漏，它也应是安全的。

于是在这一密码学原则上诞生了透明式安全（security through transparency），即：即使我的全部加密算法是原理上公开的，只要你不知道密钥，你也无法破解我的密码；而公开的算法则更容易让所有人都参与进行漏洞的寻找以及算法的完善。

而 BitWarden 就将这点做到了极致。这款软件是真正意义上的“前后端开源”，不光前端的插件，应用程序，网站全部开源，连后端的同步服务器和相关的加密算法也全部开源，一方面使得每一行代码都暴露在所有人的眼睛下，接受所有人的监督，一旦可能出现问题也会第一时间被修复；另一方面也使得我们有可以自己搭建一个 BitWarden 服务器，实现数据的本地化存放和本地化服务的可能。

而其实 BitWarden 也正是鼓励我们这么做的。BitWarden 完全可以自行部署，而其后端服务的部署也相当简单。官方建议是通过 Docker 进行部署。这也意味着任何一台可以部署 Docker 的服务器都可以很轻松地部署 BitWarden 的后端同步库，对说的就是你，在那里吃灰的群晖218+ >v