Bitwarden: Trình quản lý mật khẩu mã nguồn mở miễn phí
(bitwarden.com)- Bitwarden là một nền tảng bảo mật thông tin xác thực, bảo vệ mật khẩu, passkey và secret mà cá nhân lẫn doanh nghiệp sử dụng bằng mã hóa đầu cuối mã nguồn mở
- Cung cấp trong cùng một bộ sản phẩm các tính năng tạo, lưu trữ và tự động điền mật khẩu, vault doanh nghiệp tập trung, công cụ quản trị, đồng bộ thiết bị không giới hạn, chia sẻ và cả tự lưu trữ
- Phạm vi bảo vệ không chỉ dừng ở tài khoản con người mà còn mở rộng tới AI agent và máy móc; với quyền truy cập của agent, áp dụng cơ chế truy cập mã hóa đúng lúc, yêu cầu phê duyệt của con người mỗi lần
- Bitwarden nêu các cơ sở tạo niềm tin gồm hơn 80.000 tổ chức và hàng triệu cá nhân sử dụng, hơn 100.000 thành viên cộng đồng, kiểm toán bên thứ ba và mã hóa zero-knowledge
- Ngoài tài khoản cơ bản miễn phí, Bitwarden cung cấp các gói Premium giá $1,65/tháng, Families $3,99/tháng, Teams $4/người dùng/tháng, Enterprise $6/người dùng/tháng; giá hiển thị tính bằng USD, thanh toán theo năm và chưa gồm thuế
Bảo vệ mật khẩu, passkey và secret ở một nơi
- Bitwarden là nền tảng bảo vệ mật khẩu, passkey và secret mà con người, AI agent và máy móc phụ thuộc vào
- Các trụ cột cơ bản của sản phẩm là mã nguồn mở, mã hóa đầu cuối và kiến trúc có thể mở rộng
- Người dùng có thể tạo và lưu trữ mật khẩu mạnh, rồi tự động điền trên nhiều tài khoản
- Trong môi trường doanh nghiệp, vault tập trung và công cụ quản trị giúp sắp xếp, quản lý thông tin xác thực
- Tính minh bạch mã nguồn mở, kiểm toán bên thứ ba và đánh giá của cộng đồng củng cố niềm tin về bảo mật
Cách tiếp cận theo từng đối tượng: con người, AI agent và máy móc
- Tính năng dành cho con người chỉ cấp cho nhân viên những thông tin xác thực cần thiết, đồng thời hỗ trợ tạo, lưu trữ và tự động điền mật khẩu
- Sản phẩm liên quan: Password Manager
- Với AI agent, hệ thống cung cấp quyền truy cập mã hóa đầu cuối vào thời điểm cần thiết và yêu cầu phê duyệt của con người mỗi lần
- Mục liên quan: Agent Access SDK
- Tính năng dành cho máy móc giới hạn phạm vi truy cập vào secret của nhà phát triển như API key, mật khẩu cơ sở dữ liệu và access token
- Sản phẩm liên quan: Secrets Manager
Cơ sở niềm tin và quy mô sử dụng
- Bitwarden cho biết hơn 80.000 tổ chức và hàng triệu cá nhân sử dụng nền tảng này để bảo vệ thông tin xác thực
- Các yếu tố bảo mật và niềm tin gồm:
- Đáp ứng hoặc vượt các tiêu chuẩn tuân thủ quốc tế
- Với mã hóa zero-knowledge, chỉ người dùng mới có thể truy cập thông tin
- Có hơn 100.000 thành viên cộng đồng trên GitHub, diễn đàn Bitwarden và Reddit
- Bitwarden cho biết họ đã đứng số 1 trong hạng mục Enterprise User Satisfaction của G2 Enterprise Grid Report trong 11 quý liên tiếp
- Liên kết liên quan: G2 Enterprise Grid Report
Các tính năng chính cho doanh nghiệp và cá nhân
- Doanh nghiệp có thể dùng SSO, SCIM và tự lưu trữ làm các tùy chọn triển khai
- Đội ngũ IT kiểm tra tình trạng sử dụng thông tin xác thực bằng nhật ký sự kiện và kiểm soát truy cập
- Cung cấp các tính năng giúp giảm rủi ro thông tin xác thực trên toàn bộ nhân viên và thiết bị
- Người dùng cá nhân giảm gánh nặng phải ghi nhớ mật khẩu và có thể dùng tính năng tự động điền đăng nhập trên nhiều thiết bị và trình duyệt
- Bảo vệ tài khoản cá nhân bao gồm cảnh báo rò rỉ
Nhóm tính năng của trình quản lý mật khẩu
-
Tạo, lưu trữ và tự động điền
- Bảo vệ mật khẩu và passkey mạnh, duy nhất cho từng tài khoản
- Có thể lưu trữ an toàn và tự động điền tức thì trên thiết bị không giới hạn
-
Quản lý tập trung
- Quản lý ở một nơi các kiểm soát truy cập, chính sách, quyền sở hữu mục tập trung và báo cáo bảo mật
-
Tích hợp công cụ
- Có thể tích hợp với nhà cung cấp SSO, dịch vụ thư mục, công cụ SIEM, AI agent và các công cụ mà doanh nghiệp phụ thuộc vào
-
Nhập dữ liệu
- Có thể chuyển mật khẩu từ trình duyệt hoặc trình quản lý mật khẩu khác trong vài phút
-
Chia sẻ
- Có thể chia sẻ với thành viên nhóm thông qua bộ sưu tập của tổ chức, hoặc gửi văn bản và tệp đã mã hóa bằng Bitwarden Send
-
Tự lưu trữ
- Có thể lưu trữ Bitwarden on-premises hoặc trên private cloud để đảm bảo chủ quyền dữ liệu
- Thêm tính năng: Bitwarden Features
Access Intelligence và phòng chống phishing
- Access Intelligence là tính năng xác định các ứng dụng AI đang được dùng trong tổ chức và giảm rủi ro thông tin xác thực
- Sản phẩm liên quan: Access Intelligence
- Mật khẩu yếu hoặc được tái sử dụng có thể trở thành đường dẫn tới xâm phạm tài khoản
- Bitwarden hỗ trợ tạo mật khẩu mạnh và duy nhất cho từng website và ứng dụng
- Trên các website giả mạo độc hại, Bitwarden không tự động điền, nhờ đó hỗ trợ phòng chống phishing
Gói giá
- Gói cá nhân
- Premium: $1,65/tháng, thanh toán $19,80/năm
- Cung cấp trình xác thực tích hợp, tệp đính kèm, truy cập khẩn cấp, báo cáo bảo mật, v.v.
- Có thể chia sẻ các mục trong vault với 1 người dùng khác
- Families: $3,99/tháng, tối đa 6 người, thanh toán $47,88/năm
- Cung cấp 6 tài khoản premium, chia sẻ không giới hạn, bộ sưu tập không giới hạn và kho lưu trữ của tổ chức
- Quản lý mật khẩu cơ bản luôn được cung cấp miễn phí
- Premium: $1,65/tháng, thanh toán $19,80/năm
- Gói doanh nghiệp
- Teams: $4/người dùng/tháng, thanh toán theo năm
- Ngoài các tính năng Premium, còn cung cấp chia sẻ thông tin xác thực, kiểm toán hoạt động dựa trên nhật ký sự kiện, đồng bộ thư mục hiện có và tự động hóa cấp phát SCIM
- Enterprise: $6/người dùng/tháng, thanh toán theo năm
- Ngoài các tính năng Premium và Teams, còn cung cấp kiểm soát truy cập chi tiết, tích hợp Passwordless SSO, khôi phục tài khoản, linh hoạt tự lưu trữ, giảm thiểu rủi ro bằng Access Intelligence và gói Families miễn phí cho mọi người dùng
- Các tổ chức quy mô lớn có thể trao đổi với bộ phận bán hàng để thảo luận gói tùy chỉnh
- Teams: $4/người dùng/tháng, thanh toán theo năm
- Giá hiển thị là gói đăng ký hằng năm tính bằng USD và chưa bao gồm thuế
1 bình luận
Ý kiến trên Hacker News
Tôi đã muốn thích Bitwarden vì nó là mã nguồn mở, nhưng 1Password vẫn vượt xa
Điều trớ trêu là dù 1Password 8 đã được tái cấu trúc lớn sang UI nền Node mà nhiều người ghét, nó vẫn tốt hơn rất nhiều
Tôi từng thử hướng dẫn cha mình dùng Bitwarden vì có bản dịch sang tiếng mẹ đẻ của ông, nhưng khi dùng thực tế, những lỗi nhỏ tích tụ lại khiến nó gần như không dùng được: tự động điền thất bại, không phát hiện lưu đăng nhập, tài khoản bị đăng xuất, xác thực sinh trắc học trên trình duyệt thất bại do ứng dụng nền bị tắt, UI quản trị tệ hại
Gói cá nhân thì rẻ nhưng gói gia đình lại đắt, và dù có thể tự host nhưng vẫn tốn chi phí
Khi mọi người nói tự host, thường họ đang nói đến vaultwarden được viết lại bằng Rust, nhưng theo tôi biết thì nó chưa từng được audit, nên tôi không hiểu làm sao có thể tin vào khả năng không có lỗ hổng từ xa
Bitwarden cũng đã nhận vốn VC, và tôi hiểu là họ cần tăng trưởng, nhưng tôi nhớ những dự án thuộc sở hữu của một doanh nghiệp bền vững mà không bị áp lực tăng trưởng. 1Password cũng vậy, nhưng tôi vẫn lo liệu một startup đã nhận vốn VC có còn đáng tin sau 1 năm nữa hay không
Tôi cố bám lại V7 cho đến vài tuần trước, rồi vì hoàn cảnh phải nâng cấp nên đã xem xét lại, bao gồm cả Bitwarden, nhưng UX dường như không khá hơn; quan trọng hơn là nó từ chối toàn bộ quá trình nhập chỉ vì một ghi chú bảo mật lớn
Nó không chỉ bỏ qua ghi chú đó mà không nhập gì cả, cũng không có tùy chọn bỏ qua, khiến tôi phải làm rất nhiều việc thủ công; cuối cùng nó còn không đáp ứng được nhu cầu đưa ghi chú cần thiết đó vào vault
LastPass mà tôi từng dùng trước đây phát hiện trường biểu mẫu tốt hơn nhiều, và tôi cho rằng UI được dựng trên popup tạm thời là một lựa chọn tệ vì sau nhiều năm vẫn không được chuyển hẳn sang kiểu tab mới. Lẽ ra nên làm như LastPass, uBlock Origin, TreeStyleTabs
Tài khoản cá nhân và gia đình rẻ hơn 1Password, và trong thời gian dài làm khách hàng trả phí của Bitwarden, tôi chưa từng gặp các vấn đề như vậy
Nhân tiện, 1Password đã nhận gần 1 tỷ USD vốn VC, nên áp lực tăng trưởng hẳn sẽ rất lớn
Vốn VC nghĩa là đến một lúc nào đó họ sẽ tìm cách thu hồi tiền, và dịch vụ quản lý mật khẩu quá quan trọng để đặt dưới áp lực như vậy
Nhìn vào tiền lệ nhiều dịch vụ nhận vốn VC khác đã hỏng nặng, tôi thấy hoàn toàn có khả năng một ngày nào đó họ sẽ giữ mật khẩu làm con tin nếu không trả tiền, hoặc có hành động cực đoan tương tự
Máy chủ tại nhà của tôi tốn khoảng 3 euro tiền điện mỗi tháng, và ngoài Vaultwarden còn chạy nhiều dịch vụ như Home Assistant, Nextcloud, Jellyfin, Immich
Việc bảo trì cũng đơn giản với Docker và Compose; tôi chạy trên mạng riêng và chỉ giới hạn truy cập bên ngoài qua VPN khi cần
Nếu chỉ host một dịch vụ thì đắt, nhưng chạy nhiều dịch vụ cùng nhau thì rẻ hơn nhiều
Cũng có vaultwarden, một bản triển khai máy chủ mã nguồn mở bằng Rust: https://github.com/dani-garcia/vaultwarden
Ngoài lần ban đầu không nhận được cơ sở dữ liệu từ Docker volume đã khôi phục khi chuyển sang máy chủ khác, thì không có vấn đề gì; việc đó cũng có khả năng là lỗi Docker hoặc do tôi làm sai gì đó ngang nhau
Tôi khá bất ngờ vì có nhiều phản ứng tiêu cực hơn mình nghĩ. Trong đầu tôi, Bitwarden vẫn là một sản phẩm được HN yêu thích
Tôi đang trả 10 đô la/năm cho gói Premium để dùng; thật ra cũng không rõ mình đang tận dụng những tính năng nào, nhưng tôi thích bản thân sản phẩm này
Tuy vậy tôi cũng chưa tìm hiểu nhiều sản phẩm cạnh tranh, nên tò mò không biết các trình quản lý khác có ưu điểm lớn nào không
Có nhiều câu kiểu “đi trước rất xa”, nhưng không thấy rõ cụ thể điều đó nghĩa là gì
Các công ty gần đây tôi làm dùng LastPass và 1Password, còn cá nhân tôi dùng Bitwarden, và tôi thấy Bitwarden tốt hơn nhiều
Plugin trình duyệt nhận biết việc nhập/đổi mật khẩu ổn định hơn và đề xuất lưu/cập nhật; phiên bản iOS cũng tích hợp mượt hơn với tính năng tự động điền mật khẩu của các ứng dụng native khác
Có thể nó thua ở tính năng chia sẻ cho nhóm, nhưng với dùng cá nhân thì không liên quan
Phần lớn Bitwarden là mã nguồn mở, nhưng có vẻ có kiểu phẫn nộ rất HN vì nó không phải 100% do có một số thành phần độc quyền; tôi khó hiểu thái độ cho rằng phần mềm phải từ trên trời rơi xuống như manna và không được duy trì bằng một mô hình kinh doanh
Cũng lạ là VS Code theo cùng cách lại ít bị oán trách như vậy; có lẽ nếu Bitwarden làm một giao diện dark mode trông thuyết phục hơn thì mọi chuyện sẽ khá hơn
Tôi cũng dùng Bitwarden Premium và thích nó. Tổ chức của chúng tôi dùng một trình quản lý mật khẩu cấp doanh nghiệp khác, phức tạp hơn nhiều và giao diện cũng chậm
Tôi có nguyên tắc rằng nếu có thể có được 80% tính năng tương tự bằng mã nguồn mở, thì dù nó không phải “tốt nhất” tôi vẫn sẽ dùng
Trước đây trên HN hầu như chỉ có bài khen Bitwarden, và khi tự dùng tôi gần như không gặp các vấn đề mọi người phàn nàn ở đây
Phàn nàn duy nhất của tôi là đăng nhập bằng sinh trắc học trong ứng dụng desktop hơi vụng về, nhưng đó không phải vấn đề mang tính quyết định
Nhân tiện, năm ngoái Bitwarden đã nhận 100 triệu đô la vốn VC
Rất có khả năng một lúc nào đó họ sẽ chịu áp lực phải kiếm tiền mạnh tay hơn
https://techcrunch.com/2022/09/06/open-source-password-manag...
Đến một lúc nào đó thì chỉ còn cách chấp nhận và sống chung với nó. Sản phẩm bạn dùng có thể thay đổi trong tương lai, và sau này bạn có thể phải chuyển sang thứ khác
Phương án thay thế là để thứ như KeePass trong USB và từ bỏ đồng bộ đám mây, tích hợp tự động điền trên trình duyệt và ứng dụng native; nhưng thật ra chính những tính năng đó mới là cốt lõi của các sản phẩm này
Nếu không có chúng, có khi ghi mật khẩu ra giấy để trong ngăn bàn còn tốt hơn
Tệ hơn nữa, họ định làm gì trong tương lai mà có thể thuyết phục VC rằng sẽ thu hồi được nhiều hơn số tiền đó
Nếu đã có một sản phẩm tăng trưởng và phổ biến như vậy, tôi thật sự tò mò lý do vì sao họ nhất thiết phải nhận chừng ấy tiền
Hơi đáng lo
Bitwarden tốt. Tôi dùng ở mọi nơi và nó quản lý mật khẩu rất ổn
Với tôi, tính năng cốt lõi là tính năng tổ chức dễ dùng, nhờ đó tôi có thể chia sẻ mật khẩu với vợ một cách dễ dàng
Các tài khoản liên quan đến tài chính hoặc con cái thường cần được chia sẻ, nên cả hai đều cần mật khẩu; Bitwarden làm việc này rất đơn giản
Các mục do chính tôi chia sẻ cũng vậy. Khi dùng được tự động điền thì không sao, nhưng không phải lúc nào nó cũng hoạt động hoặc khả dụng
Tiêu đề dễ gây hiểu nhầm. Cái này không hoàn toàn là “miễn phí nguồn mở”
Máy chủ Bitwarden có cấu trúc giấy phép kép
Một phần là nguồn mở AGPL, còn một số tính năng dùng giấy phép Bitwarden dạng công khai mã nguồn
Hơn nữa, ngay cả phần lõi nguồn mở cũng cần đăng ký để tự host; họ nói việc này là để cung cấp các dịch vụ bổ trợ như cập nhật bảo mật, máy chủ relay push, kiểm tra giấy phép
Tài liệu không nói, nhưng việc họ yêu cầu không chia sẻ khóa giấy phép giữa các lần cài đặt khiến có vẻ còn để cải thiện telemetry nữa
Tôi hiểu vì sao cần giấy phép dạng công khai mã nguồn, nhưng nếu sản phẩm cuối cùng không miễn phí như bia cũng không tự do như tự do ngôn luận, thì tôi không hiểu tại sao lại cấp phép một phần dưới dạng nguồn mở
Tôi thật sự tò mò các công ty được lợi gì khi marketing những sản phẩm hầu như không phải nguồn mở là nguồn mở
https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...
Phần còn lại của Bitwarden là phần mềm miễn phí/tự do cả về chi phí lẫn quyền tự do. Không hiểu vì sao lại nghĩ khác
Vaultwarden tồn tại và tương thích với các client Bitwarden
Nhìn qua website thì có vẻ việc công khai mã nguồn thiên về tính minh bạch hơn là tinh thần nguồn mở tự do
apicó bao gồm Commercial Core theo Bitwarden License, nhưng tài liệu nói có thể vô hiệu hóa khi build mô-đun bằng cách truyền tham số/p:DefineConstants="OSS"chodotnetKhá ngạc nhiên là Padloc vẫn chưa được nhắc đến
Có mã hóa đầu cuối, nguồn mở, tự host dễ, UI và UX tốt
Tôi đã cho cả gia đình dùng, dùng hơn một năm rồi cuối cùng còn trở thành người đóng góp tích cực
Cũng có ứng dụng desktop dựa trên Tauri
Công khai xung đột lợi ích: tôi có quyền đóng góp nhưng không nhận doanh thu bán hàng hay khoản tương tự
https://padloc.app
Nhìn thêm cả điểm đánh giá thì không thấy đáng tin
Đó hoàn toàn không phải ấn tượng tôi muốn có ở một trình quản lý mật khẩu. Nói thêm là tôi là designer UI/UX
Có vẻ các hãng lớn đều muốn bỏ tính năng đó, trong khi điều duy nhất tôi muốn ở trình quản lý mật khẩu là không lưu toàn bộ mật khẩu của mình trên cloud
Bitwarden không hoàn hảo, nhưng gọi
passlà “dễ” thì buồn cườiNhất là khi phải chia sẻ mật khẩu với gia đình ít rành công nghệ hơn nhiều; còn 1Password thì UI quá cố chấp nên nhiều khi lại cản trở
Tôi thấy Bitwarden đạt được cân bằng tốt giữa bảo mật, giá cả và thiết kế
Tuy vậy, tôi đồng cảm với lo ngại về việc gọi vốn và thay đổi trong ban lãnh đạo
Tôi dùng khá hài lòng và thấy tiện, nhưng cũng tự hỏi việc gom mọi thứ quan trọng, kể cả 2FA, vào một nơi trên cloud thật sự an toàn đến mức nào
Trông nó như một mục tiêu quá giá trị
Mặt khác, đồng bộ mọi thứ thủ công thì phiền phức, và cuối cùng tôi vẫn mã hóa trên máy tính rồi đồng bộ qua cloud, nên cũng tự hỏi khác biệt là gì
Ở quy mô lớn, những người không dùng trình quản lý mật khẩu sẽ tái sử dụng mật khẩu. Hết chuyện
Cách thực tế cải thiện bảo mật tài khoản cho công chúng nhiều nhất là khiến họ dùng trình quản lý mật khẩu, ngay cả khi tính đến rủi ro két mật khẩu bị đánh cắp và giải mã
Với đa số người, quản lý mật khẩu trên cloud gần như không thể thỏa hiệp. Chuyện “két nằm trên máy tính, rồi làm rơi máy khiến ổ đĩa hỏng” sẽ tiếp tục xảy ra, và việc khiến mọi người sao lưu đúng cách là không khả thi ở quy mô lớn
Nếu bản thân bạn có thể tạo mật khẩu riêng biệt và đủ mạnh cho mọi tài khoản, bạn có thể tránh trình quản lý mật khẩu để giảm một rủi ro nhỏ
Nếu tập trung cả hai bí mật vào một chỗ thì về thực chất không còn là xác thực hai bước nữa
Trên di động tôi dùng Aegis, trên máy tính dùng
passcùng tiện ích mở rộng OTP, với một mật khẩu hoàn toàn khác BitwardenNếu lo về két Bitwarden trên cloud, bạn có thể chạy một instance vaultwarden, triển khai máy chủ tự do nguồn mở dựa trên Rust, rồi kết nối client vào. Tôi chưa tự thử nhưng nghe nói hoạt động tốt
File nằm trên Dropbox, và trước khi mở ứng dụng trên thiết bị khác thì nó luôn đã được đồng bộ
Sao lưu database cũng dễ như copy-paste file
Với người dùng trung bình, dùng trình quản lý mật khẩu vẫn tốt hơn áp đảo so với dùng
hunter42cho mọi tài khoảnTôi cũng thường xuyên sao lưu database. Với tôi như vậy hoạt động đủ tốt, và tôi không cần lưu dữ liệu của mình trên cloud của một công ty
Mã nguồn mở và dễ dùng: https://www.passwordstore.org/
prsđể giải quyết nhiều bất tiện từng gặp vớipassvà các client khácTương thích với
passvà dùng cùng kho lưu trữhttps://github.com/timvisee/prs
~/.password-storeCũng có nhiều GUI client xử lý mật khẩu và các công cụ nhập từ những trình quản lý khác
Nghe có vẻ là ý tưởng hay, nhưng tôi lo rằng client có thể bị phơi nhiễm trước các cuộc tấn công chuỗi cung ứng phần mềm. Có lẽ tôi không đủ chuyên môn để đánh giá từng phiên bản mới mỗi lần
Hãy thử giới thiệu
passcho gia đình bạn. Với người dùng phổ thông, ngay cả 1Password cũng không dễ thiết lậpCòn một chặng đường dài trước khi mọi người đều dùng trình quản lý mật khẩu, và phương án thực tế hơn có lẽ là passkey
passlàm lộ toàn bộ metadata lịch sử của các website đã thiết lập và từng bản ghiĐiều đó có thể phù hợp hoặc không phù hợp với threat model của bạn