Стоит ли доверять облачным менеджерам паролей типа Bitwarden или лучше KeePass

[nina4389]

Давно использую блокнот (да, я знаю) для паролей, пора переходить на что-то нормальное. Смотрю на Bitwarden и KeePass — первый удобнее, второй хранит локально. Меня беспокоит: если Bitwarden взломают, мои пароли утекут? Или там всё зашифровано так что даже они не могут прочитать? И можно ли вообще доверять закрытому облаку чужих паролей?

[roman_js5]

Bitwarden использует end-to-end шифрование: хранилище шифруется на вашем устройстве до отправки на сервер. Ключ шифрования derives из мастер-пароля через PBKDF2 (или Argon2id в новых версиях) — сервер физически не может расшифровать ваши данные, он хранит только зашифрованный blob. Это подтверждено независимым аудитом (Cure53, 2020 и 2022). Код open source, можно проверить самому.

[hexcloud9151]

Главный риск облачного менеджера — это не взлом сервера, а компрометация вашего мастер-пароля или устройства. Если мастер-пароль утечёт или на устройстве будет кейлоггер, никакое шифрование не поможет. Поэтому мастер-пароль должен быть длинным и уникальным, и обязательно включи двухфакторку (TOTP или аппаратный ключ типа YubiKey).

[stas_stack90]

KeePass vs Bitwarden — это компромисс между контролем и удобством. KeePass: файл у тебя, никто другой не хранит твои данные, можно синхронизировать через свой Nextcloud или просто флешку. Bitwarden: автозаполнение работает везде из коробки, синхронизация между устройствами автоматическая. Лично я выбрал Vaultwarden (self-hosted Bitwarden-совместимый сервер на Rust) — получаю удобство Bitwarden при полном контроле над данными. Поднимается за 10 минут в Docker.

[danila_app9]

Для параноиков есть промежуточный вариант: KeePassXC с синхронизацией базы через зашифрованное облако (Cryptomator + любое облако). Тогда база зашифрована дважды — самим KeePass и Cryptomator. Но это неудобно на мобилке, там нужен KeePassDX и ручная синхронизация.

[semyon7320]

Если всё же выбираешь Bitwarden — настрой количество итераций KDF на максимум который не тормозит вход (рекомендуют минимум 600 000 для PBKDF2 или Argon2id с настройками по умолчанию). Это сильно усложняет брутфорс мастер-пароля. Настройка в аккаунте: Account Settings → Security → Keys.

[bytedocker1834]

Практически любой нормальный менеджер паролей лучше блокнота и уж точно лучше одного пароля на всё. Не ищи идеальное решение, начни с Bitwarden — бесплатного и опенсорсного. Потом разберёшься и переедешь если надо.