Replaced LastPass with Bitwarden
Introducion
目前存在許多密碼管理器,較為知名的包括 1Password、Bitwarden、LastPass 等。原先 LastPass 免費版支援跨平台與裝置使用,然而 LastPass 官方於 2021-20-16 變更免費版政策,自 2021-03-16 後,免費版用戶將只能選擇於單一類型的裝置使用:桌面裝置或行動裝置,此外,免費版將不提供電子郵件支援。
LastPass 此舉目的在於鼓勵免費版用戶升級至 Premium,目前訂閱價格為每月 $3,在限時內從免費版升級至 Premium 官方提供每月 $2.25 的優惠價格。
Password Manager
密碼管理器(Password Manager)是一種允許使用者儲存、產生並管理自己密碼的本地端應用程式與線上服務。密碼管理器可以協助產生和搜尋複雜的密碼,並將這些密碼儲存在被加密的資料庫中。
通常密碼管理器會要求使用者產生一組主密碼(Master Password),以解鎖或存取資料庫中儲存的任何資訊,包括密碼、信用卡資料或自動填入功能等。簡言之,密碼管理器便是以單一組密碼管理所有網站上的密碼的工具。
在過去,大多數使用者的習慣,是在所有網站上使用單一組帳號密碼。這導致了當某個網站資料庫被駭取時,使得黑客可以使用盜取來的帳號密碼以解鎖其他網站。通過密碼管理器,使用者可以在不同網站生成不同複雜度的密碼,並以單一密碼進行管理與存取,增加網路安全性。然而其風險顯而易見,任何潛在黑客貨惡意軟體只需要取得主密碼,便可存取所有的用戶密碼。
LastPass
LastPass 是一款 Freemium 的跨平台線上密碼管理器,以 Web 介面為基礎,提供許多現代瀏覽器的擴充元件與小書籤(Bookmarklet),例如 Internet Explorer、Mozilla Firefox、Google Chrome、Opera、Safari 等。
2011-05-05 LassPass 在其官方部落格發出安全公告,懷疑可能部分加密資訊洩漏。
2015-07-15 LastPass 在其官方部落格發出遭駭公告,指其發現遭到駭客入侵。雖然並無證據顯示 LastPass 用戶的主要密碼外洩,但黑客仍有機會經由所竊得的 Hash 與 Salts 找出密碼。
2019-08-30 LastPass 被 Google Project Zero 研究員 Tarvis Ormandy 發現漏洞並通報,Ormandy 同時示範並指出攻擊極為簡單。
2021-02-19 LastPass 在一項非營利安全研究組織 Exodus Privacy 針對市面上主要密碼管理器的研究,被發現在 Android 上的 LastPass 4.11.18.6150 版包含七個第三方廠商提供的資料蒐集程式,包括四款 Google 應用程式(Analytics、CrashLytics、Firebase Analytics、Tag Manager)與 AppsFlyer、MixPanel、Segment。
Bitwarden
Bitwarden 是一款自由且開源的密碼管理服務,功能上與 LastPass 大抵相同,包括提供多種客戶端應用程式,包括網頁使用者介面、桌面與行動應用程式與命令行介面。此外,除了雲代管服務外,Bitwarden 支援自行部署解決方案。根據多方評測,雖然 LastPass 具有更優良的使用者體驗,但 Bitwarden 提供了更佳的安全性。
Replaced LastPass with Bitwarden
將保管庫(Vault)從 LastPass 轉移到 Bitwarden 極為簡單。以下步驟將示範如何從 LastPass 轉移保管庫項目到 Bitwarden:
Export from LastPass
- 開啟並登入 LastPass 保管庫。
- 從左側選單選擇 Advanced Options。
- 從選單中選擇 Export。
- 輸入主密碼並確認 Export,此使瀏覽器會下載保管庫項目至本機,名為
lastpass_export.csv
。
Import to Bitwarden
- 登入 Bitwarden 保管庫。
- 從導航欄選擇 Tools。
- 從左側選單選擇 Import Data。
- 從 Format 下拉選單中選擇
LastPass (csv)
。 - 按下 Browse… 並選擇從 LastPass 保管庫下載的
lastpass_export.csv
。 - 按下 Import Data,完成匯入。
Bitwarden 亦提供擴充元件於許多現代瀏覽器,詳細內容與下載位置可以參考官方頁面 Bitwarden/Download。