【请教】bitwarden 的 两步认证 和 安全性 的 一些问题

释迦牟尼

宝塔 docker 拉去的 Vaultwarden 的

映射了 data 到 网页目录 做计划备份

宝塔域名反向代理  可以使用。

看到大佬们的帖子 开启了两步认证  

用的 twilio 这个不错 基于时间的 可以离线  

添加环境变量-e ADMIN_TOKEN=XXXX  做了一些设置 关闭注册等

设置后 在宝塔里 /admin 重定向 到 / 需要设置时再打开


请教下大佬：

1 安卓手机 需要设置 bitwarden 后台自动运行 才能 自动填写密码么？

2 手机端为了方便 设置的 生物识别  安卓指纹 IOS 面部  这个有安全性的问题不？

3 看到官方的wiki 说支持 websocket ，可以实时自动多端同步。没看到具体的方法，请教下。

4 twilio的安全性如何 ？有更方便的 两步认证 推荐的？

4 PC 和 MAC 浏览器，想着方便 ，开启的 pin解锁 ，退出再验证。

但是        如果暂时离开 pin 没有锁定的话 点击插件就能看到所有密码 这个是不是有点 如何设置需要主密码才能看到呢？

（想到的理由是， pin 解锁 ，就算是 ***  可以明文显示，）


还有什么需要注意的不？谢谢

imswing

twilio是啥

炒土豆丝

我想知道拿反代的站点目录做映射会有数据泄露的风险么

W4ter

默认设置就很安全了
只要不泄漏主密码 就算天王老子来了 都没发解密

Tyqq

炒土豆丝 发表于 2022-4-12 14:36
我想知道拿反代的站点目录做映射会有数据泄露的风险么

可以放到N1里嘛

释迦牟尼

imswing 发表于 2022-4-12 14:32
twilio是啥

twilio authy

winwin50

你想太多了，你确定获得你的主密码有难度？？？

丶Silently

1 不需要，手机系统设置里设置bit位默认密码管理器。2，这个问题 你对比苹果用面部付款，安卓用指纹付款就理解了。3，websocket这个是检测到你某个网站登陆密码有变动会提醒你是否更新密码，实时同步的话没必要，你的密码是实时变动么？定期点进去同步就行。4，这个没用过，我用的是YubiKey，或者你设置电脑或者手机作为硬件密钥；提醒你注意后台做好加固和数据定期备份，其实可以关闭其他端口只开放80和443并且设置只允许cdn的IP访问

875

twilio authy和谷歌及巨婴的Authenticator是一样的  都可以通用