(つ`ω´)つ => Ubuntu 台灣社群: 我不再推薦 Bitwarden （★ 45 分）作者回顧自己多年以 Vaultwarden（以 Rust 寫成、相容 Bitwarden 的非官方輕量後端）自架 Bitwarden（密碼管理器）的經驗後，結論是不再推薦 Bitwarden。文章指出，Bitwarden 一方面以 freemium（免費增值）與開放原始碼形象吸引使用者，另一方面在 2022 年取得 PSG 等投資者 1 億美元成長股權投資後，商業壓力可能使產品更偏向 SaaS（Software as a Service，軟體即服務）訂閱。作者批評官方自架後端採沉重的 C#／MSSQL Express 架構，常牽涉 Kubernetes 等企業級複雜度；相較之下，Vaultwarden 更容易部署、資源需求低，卻未被正式納入官方路線，而所謂 Bitwarden Lite 仍以 .NET 為核心且耗用更多 RAM。2024 年 @bitwarden/sdk-internal 授權條款一度限制與非官方實作搭配使用，雖後來改為 GPLv3（GNU General Public License 第 3 版，自由軟體授權條款），作者認為這顯示其開放原始碼承諾正變得曖昧。功能與使用體驗方面，作者列舉多個長期痛點：從其他密碼管理器匯入保管庫時可能失敗，官方卻把問題導向冗長的社群論壇流程；在個人保管庫與組織保管庫之間搬移大量項目時，官方建議匯出未加密 JSON 再匯入，不但有明文憑證外洩風險，還會遺失附件、密碼歷史與時間戳記等資訊。作者也批評客戶端更新可能造成保管庫突然無法開啟，Android 版本改寫後仍出現多次退化與當機；瀏覽器擴充功能與行動 App 的離線體驗差，解鎖時常等待同步，登入項目清單又把「開啟詳細內容」設為主要動作，而不是更常用的自動填入。命令列工具 bw 也被批評設計危險，list 指令會直接輸出密碼與 TOTP（Time-based One-Time Password，基於時間的一次性密碼）等敏感內容，且以 TypeScript／Node.js 生態系打造，使供應鏈風險更值得擔心。資安紀錄是文章另一個重點。作者整理 Bitwarden 近年事件，包括 2023 年 KDF（Key Derivation Function，金鑰衍生函式）設計問題，使保管庫實際保護強度低於宣稱；Windows Hello 繞過漏洞讓具備網域管理員權限的攻擊者可從 DPAPI（Windows 資料保護機制）取得解密金鑰；瀏覽器擴充功能曾允許跨來源 iframe（網頁內嵌框架）自動填入憑證；2025 年 DOM（Document Object Model，文件物件模型）型 clickjacking（點選劫持）又可能誘使使用者在惡意頁面洩漏信用卡與個人資料。2026 年官方 CLI（Command Line Interface，命令列介面）npm（Node.js 套件管理生態系）套件在 Checkmarx 供應鏈攻擊中遭植入惡意程式，約 19 小時內有 334 名開發者可能下載，攻擊目標包含 GitHub 與 npm 權杖（token）、SSH（Secure Shell，遠端登入協定）金鑰、主要雲端平台憑證與 CI/CD（持續整合／持續交付）祕密。Bitwarden 強調終端使用者保管庫資料未被存取，但作者認為問題在於一再被動修補、對外部研究者警訊反應慢，以及把高敏感度工具放在風險較大的 JavaScript 套件鏈上。作者最後主張不要再把所有憑證押在單一工具，而是依用途分艙：客戶與專業工作使用具備共享、SSO（Single Sign-On，單一登入）與稽核能力的 SaaS 密碼管理器；含 PII（Personally Identifiable Information，可識別個人資訊）的銀行、購物等帳號使用另一家雲端密碼管理器，搭配 TOTP 與 Passkeys（通行金鑰，一種免密碼登入憑證）；不含 PII 的一般帳號改用 KeePass 系列並以 Syncthing 同步；基礎設施祕密交給 HashiCorp Vault 或 Infisical；一次性 API key 與權杖則用 pass、GPG（GNU Privacy Guard，加密工具）與 Git 管理。Hacker News 討論呈現分歧：不少人認為 Bitwarden 低年費代管方案已很划算，自架複雜度不該成為否定產品的理由；也有人承認 Bitwarden 的 Android 自動填入、Chrome 擴充功能與介面流程確實笨重，1Password 體驗通常更順，但 1Password 也有網域辨識與 Windows 效能問題。另有留言力推 Vaultwarden、KeePass／Strongbox、pass 或 AliasVault；針對「第三方密碼管理器必然更危險」的說法，多位留言者補充主流雲端密碼庫通常採零知識端對端加密，服務商只同步加密 blob，並不持有明文密碼。整體討論較認同「依憑證類型分散風險」這項建議，但對文章是否過度放大 Bitwarden 缺點則看法不一。 👥 43 則討論、評論 💬 https://news.ycombinator.com/item?id=47989931 #69f684b9fd894d86ff4acf34

(つ`ω´)つ says to Ubuntu 台灣社群

我不再推薦 Bitwarden （★ 45 分）作者回顧自己多年以 Vaultwarden（以 Rust 寫成、相容 Bitwarden 的非官方輕量後端）自架 Bitwarden（密碼管理器）的經驗後，結論是不再推薦 Bitwarden。文章指出，Bitwarden 一方面以 freemium（免費增值）與開放原始碼形象吸引使用者，另一方面在 2022 年取得 PSG 等投資者 1 億美元成長股權投資後，商業壓力可能使產品更偏向 SaaS（Software as a Service，軟體即服務）訂閱。作者批評官方自架後端採沉重的 C#／MSSQL Express 架構，常牽涉 Kubernetes 等企業級複雜度；相較之下，Vaultwarden 更容易部署、資源需求低，卻未被正式納入官方路線，而所謂 Bitwarden Lite 仍以 .NET 為核心且耗用更多 RAM。2024 年 @bitwarden/sdk-internal 授權條款一度限制與非官方實作搭配使用，雖後來改為 GPLv3（GNU General Public License 第 3 版，自由軟體授權條款），作者認為這顯示其開放原始碼承諾正變得曖昧。功能與使用體驗方面，作者列舉多個長期痛點：從其他密碼管理器匯入保管庫時可能失敗，官方卻把問題導向冗長的社群論壇流程；在個人保管庫與組織保管庫之間搬移大量項目時，官方建議匯出未加密 JSON 再匯入，不但有明文憑證外洩風險，還會遺失附件、密碼歷史與時間戳記等資訊。作者也批評客戶端更新可能造成保管庫突然無法開啟，Android 版本改寫後仍出現多次退化與當機；瀏覽器擴充功能與行動 App 的離線體驗差，解鎖時常等待同步，登入項目清單又把「開啟詳細內容」設為主要動作，而不是更常用的自動填入。命令列工具 bw 也被批評設計危險，list 指令會直接輸出密碼與 TOTP（Time-based One-Time Password，基於時間的一次性密碼）等敏感內容，且以 TypeScript／Node.js 生態系打造，使供應鏈風險更值得擔心。資安紀錄是文章另一個重點。作者整理 Bitwarden 近年事件，包括 2023 年 KDF（Key Derivation Function，金鑰衍生函式）設計問題，使保管庫實際保護強度低於宣稱；Windows Hello 繞過漏洞讓具備網域管理員權限的攻擊者可從 DPAPI（Windows 資料保護機制）取得解密金鑰；瀏覽器擴充功能曾允許跨來源 iframe（網頁內嵌框架）自動填入憑證；2025 年 DOM（Document Object Model，文件物件模型）型 clickjacking（點選劫持）又可能誘使使用者在惡意頁面洩漏信用卡與個人資料。2026 年官方 CLI（Command Line Interface，命令列介面）npm（Node.js 套件管理生態系）套件在 Checkmarx 供應鏈攻擊中遭植入惡意程式，約 19 小時內有 334 名開發者可能下載，攻擊目標包含 GitHub 與 npm 權杖（token）、SSH（Secure Shell，遠端登入協定）金鑰、主要雲端平台憑證與 CI/CD（持續整合／持續交付）祕密。Bitwarden 強調終端使用者保管庫資料未被存取，但作者認為問題在於一再被動修補、對外部研究者警訊反應慢，以及把高敏感度工具放在風險較大的 JavaScript 套件鏈上。作者最後主張不要再把所有憑證押在單一工具，而是依用途分艙：客戶與專業工作使用具備共享、SSO（Single Sign-On，單一登入）與稽核能力的 SaaS 密碼管理器；含 PII（Personally Identifiable Information，可識別個人資訊）的銀行、購物等帳號使用另一家雲端密碼管理器，搭配 TOTP 與 Passkeys（通行金鑰，一種免密碼登入憑證）；不含 PII 的一般帳號改用 KeePass 系列並以 Syncthing 同步；基礎設施祕密交給 HashiCorp Vault 或 Infisical；一次性 API key 與權杖則用 pass、GPG（GNU Privacy Guard，加密工具）與 Git 管理。Hacker News 討論呈現分歧：不少人認為 Bitwarden 低年費代管方案已很划算，自架複雜度不該成為否定產品的理由；也有人承認 Bitwarden 的 Android 自動填入、Chrome 擴充功能與介面流程確實笨重，1Password 體驗通常更順，但 1Password 也有網域辨識與 Windows 效能問題。另有留言力推 Vaultwarden、KeePass／Strongbox、pass 或 AliasVault；針對「第三方密碼管理器必然更危險」的說法，多位留言者補充主流雲端密碼庫通常採零知識端對端加密，服務商只同步加密 blob，並不持有明文密碼。整體討論較認同「依憑證類型分散風險」這項建議，但對文章是否過度放大 Bitwarden 缺點則看法不一。 👥 43 則討論、評論 💬 https://news.ycombinator.com/item?id=47989931

at Sun, May 3, 2026 7:11 AM