有没有老哥讲下 Vaultwarden

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 366 天前的主题，其中的信息可能已经有所发展或是发生改变。

首页密码管理器贴看见的，说是很好用的自建工具。

我现在是用 1password ，目前使用体验上我是满意的，缺陷有两点：

印象里年费几十刀，记不太清，相对服务而言是合理的收费，但是如果能自建省了何乐而不为。
1password 似乎是个小公司，并不具有 FLAG 级别的公信力，说实话，如果可以的话我并不想将密码托管在对方服务器。

目前我有的条件：7*24 运行的 nas ，有公网 IP 。

Vaultwarden 大概看了下项目页面，但是由于不是商业项目，还是太简陋了，很多信息无法获得，有没有用过的老哥来分享一下以下几点：

整体使用上易用性体验如何，有无 Vaultwarden 和 1password 都用过的老哥对比一下。
我个人使用的三点刚需：Chrome 上能高质量自动补全登录信息、Windows 上能方便保存新密码、安卓上至少能查看，不知道该项目对这三个级别的易用性完成度如何。
项目页面没有留一个 Demo 地址，我甚至无法登入进去看该项目的真实运行情况是如何的。1password 主要是基于浏览器插件运行，但 Vaultwarden 似乎没有插件，那如何补全其他页面的密码？
该项目的备份恢复情况如何，将物理存储映射到硬盘并备份后，如果出现损坏可以直接从硬盘导入吗？
该项目说支持 2FA ，我目前 github 的 2FA 是保存在密码管理器里的，它列举的所有 2FA 机构中是否包含 Github 使用的机构？
有无老哥分享分享公网 IP 挂带证书域名的方法，我个人使用体验上只用过 acme.sh 签 let'sencrypt 证书，我对其稳定性非常不满意。。。

拜谢

vaultwarden

1Password

自建

22 条回复 • 2024-03-31 18:58:36 +08:00

qweruiop

2024-03-10 11:45:27 +08:00

易用性上比 1p 差的不要太多。。。不过想着安全性上面，忍忍也就过了。。。

biu7

2024-03-10 11:55:05 +08:00

app 和扩展都用的 bitwarden ，所以你下个 bitwarden 体验一下就知道了

0o0O0o0O0o

2024-03-10 11:55:54 +08:00 via iPhone

3. 它只是 bitwarden 的第三方开源后端，你的 1 2 3 5 可以在 bitwarden 那边找到答案
4. 可以，我选的 sqlite ，你可以备份整个目录

Noicdi

2024-03-10 11:58:04 +08:00 via iPhone

平常说的自建 bitwarden ，后端就是 vaultwarden 。所以客户端和浏览器插件用的都是 bitwarden ，登录时设置为自建服务器即可。
1. 不清楚
2. 浏览器插件的功能上有自动补全功能，但是有时候不太灵敏；我认为挺方便；可以用 bitwarden 的软件查看
3. vaultwarden 提供 docker 部署，整一个然后在用 bitwarden 的插件测试一下
4. 可以导出密码，生存一个明文的 json ，我都是把这个文件存在 icloud 里
5. 不清楚
6.不清楚

Noicdi

2024-03-10 12:00:38 +08:00 via iPhone

@Noicdi #4
4. 除了导出密码外，还可以选择将 docker 的数据目录保存下来。我尝试过这种恢复方案，可行

mohumohu

2024-03-10 12:02:51 +08:00

2FA 是通用算法，跟平台没有啥关系。
至于证书，套个 caddy 就完事了。

mschultz

2024-03-10 12:11:10 +08:00

3. Bitwarden 官方本身就有开源服务端自建方案（ https://bitwarden.com/help/install-on-premise-linux/ ），不过对 Server 的性能要求较高。一般使用小内存 VPS 的玩家会选择 Vaultwarden 。Vaultwarden 是官方服务端自建方案的「平替」，占用资源较小，兼容 Bitwarden 官方的 API 。所以 Vaultwarden 用户在各平台客户端（包括浏览器插件）方面都是用 Bitwarden 官方的。Bitwarden 官方客户端在登录的时候可以选择连接官方服务（ bitwarden.com ）还是 Self-Hosted 服务（自己的域名）。

原来项目叫 Bitwarden_RS ，顾名思义就是 Bitwarden 服务端的一个第三方 Rust 实现，后来为避免商标争议和误导改名 Vaultwarden 。

4. Vaultwarden 的数据存储文件组织结构比较简单，主要就是一个 SQLite 和一个附件文件夹（如无附件可忽略），文档里有关于备份策略的详细说明： https://github.com/dani-garcia/vaultwarden/wiki/Backing-up-your-vault 多个月前我试过一次直接导入我备份的 sqlite 文件到新部署的 Vaultwarden 中，似乎没啥问题，数据都在。

totoro625

2024-03-10 12:13:46 +08:00

0. Vaultwarden Demo 可以简单粗暴认为是商业化运行的 bitwarden 付费版： https://bitwarden.com
当讨论 Vaultwarden 时，默认就是 bitwarden = Vaultwarden
1. Vaultwarden 能用，但是细节体验上不如 1password 流畅，但是 bitwarden 官方发文正在重构所有客户端及插件，值得期待
2. 都可以，安卓也能自动填充，包括 App ，如 QQ 等，易用性 OK 的，浏览器插件上 Vaultwarden 不够优雅，但是足够用
3. 直接去 bitwarden 官方体验： https://vault.bitwarden.com
插件在： https://bitwarden.com/download/
4. 非常 easy ，就一个文件，当然整个文件夹备份也是 OK 的
推荐备份命令：sqlite3 /data/vault/db.sqlite3 ".backup '/data/vault/backups/db-$(date '+%Y%m%d-%H%M').sqlite3'"
5. 通用密码管理器支持的都支持，Github 也支持，Steam 这些不支持，如需 Steam 请去 KeePass ，需要额外插件
6. let'sencrypt 和 zerossl 都很烂，目前推荐用 GTS 证书，Google 关键词“使用 ACME.SH 申请 Google CA SSL 证书”
我的做法是，用 GCP 免费小鸡每月强制生成一份证书，再推送到本地 NAS 。
使用境外服务器生成证书可以避免网络干扰导致的证书签发失败。
签发方式使用 DNS mode + DNS alias mode （多个域名），而不是 HTTP 验证

mschultz

2024-03-10 12:30:06 +08:00

5. 2FA 字面意义上是一种安全机制，不是一个具体的方法/算法。这里假定你指的是常见的 TOTP 算法（就是一般 6 位数字，30 秒变一次），这个算法是标准化的（ RFC6238 ），基本原理就是一个函数 HOTP(K, T)，其中 K 是密钥，T 是一个随着时间递增的整数，然后这个函数通过一些内部 Hash 之类的运算最后输出 6 位数字。

一个密码管理器所谓支持保存 TOTP 两步验证码，其实就是帮你保存那个密钥（在网站上设置 2FA 时生成的，经常以二维码的形式给你展示一次，让你用密码管理器去扫），然后支持在任意时刻把这个函数计算的 6 位数字显示出来。由于是标准化的，相当多的密码管理器（包括 Bitwarden 客户端 + Vaultwarden 服务端的组合）都支持这个功能，通用的，你自己写点代码也能实现这么一个输出 6 位验证码的函数出来。

另 Vaultwarden, 1Password 这些服务近年来也开始支持 Passkey 。