這個蠻可以追蹤的
Encryption suggestions (including Argon2)
目前 bitwarden 支援的是 pbkdf2_sha256,預設疊代十萬次,上傳到伺服器會加鹽再疊代十萬次。
不過 pbkdf2 沒有防止 gpu 暴力算的機構,逐漸用 argon2(包含 d、id 的變體)等其他 kdf 替換。
而現階段的 pbkdf2 也可以用拉長主密碼長度(強烈推薦 5 個以上的 passphrase)+增加疊代次數來處理。
下收
Encryption suggestions (including Argon2)目前 bitwarden 支援的是 pbkdf2_sha256,預設疊代十萬次,上傳到伺服器會加鹽再疊代十萬次。
不過 pbkdf2 沒有防止 gpu 暴力算的機構,逐漸用 argon2(包含 d、id 的變體)等其他 kdf 替換。
而現階段的 pbkdf2 也可以用拉長主密碼長度(強烈推薦 5 個以上的 passphrase)+增加疊代次數來處理。
下收
作法
1. 先匯出密碼做備份(當然是在安全性更新都有更、沒有隨意授權、沒有任何破解版軟體、破解器的私人電腦上。如果不知道或不確定,請詢問專業人士)
1_1. 確定記得登入用的信箱、主密碼, 2fa 道具在手邊
2. 登入網頁版 bitwarden,在右上角頭貼的 account setting
3. 選 Security 的 Keys
4. 在 KDF Iterations 把數字換成六十萬以上(以 Snapdragon 870 為例,換成 100 萬次大概只多 1~2 秒左右)
5. 點 change kdf,並登出所有登入的裝置
6. 再登入
1. 先匯出密碼做備份(當然是在安全性更新都有更、沒有隨意授權、沒有任何破解版軟體、破解器的私人電腦上。如果不知道或不確定,請詢問專業人士)
1_1. 確定記得登入用的信箱、主密碼, 2fa 道具在手邊
2. 登入網頁版 bitwarden,在右上角頭貼的 account setting
3. 選 Security 的 Keys
4. 在 KDF Iterations 把數字換成六十萬以上(以 Snapdragon 870 為例,換成 100 萬次大概只多 1~2 秒左右)
5. 點 change kdf,並登出所有登入的裝置
6. 再登入
但是夠長(隨機密碼大於 18 位、passphrase 大於 5 組),夠高的密碼熵值才是重點
然後絕對絕對不要把密碼存在各種沒有正確實作 e2ee 的軟體,當然也不要存在任何筆記軟體上,除非尼確切知道在做什麼事
而 bitwarden 仍然是鵝用過在方便性、安全性、開源、價格都非常棒的密碼管理軟體。 pbkdf2 也是相較最安全來說沒那麼安全,實際上強度也是很強。
在密碼管理器之外,人往往才是隱私問題的缺口
在密碼管理器之外,人往往才是隱私問題的缺口
不過為啥大部分的密碼管理軟體都沒有實作新的ㄋ,可以參考這個的討論
Argon2i cross-platform reference implementation avai...
Argon2i cross-platform reference implementation avai...
然後 luks → luks2 其中一項更新就是 pbkdf2 改成 Argon2 喔
最新進度:
2023/01/25 mobile/伺服器已經 merge 到 master 了,剩下 web/桌面/瀏覽器擴充/cli
開發團隊跟發起人都積極參與開發,匯出密碼庫的 kdf 也快要可以用 argon2id ㄌ
真不錯
2023/01/25 mobile/伺服器已經 merge 到 master 了,剩下 web/桌面/瀏覽器擴充/cli
開發團隊跟發起人都積極參與開發,匯出密碼庫的 kdf 也快要可以用 argon2id ㄌ
真不錯
[PS-2358] Add kdf configuration options by quexten ·...
[PS-2365] Kdf Configuration Options for Argon2 by qu...