本来是要发隔壁v站的,奈何触发了不知名关键字,改了半小时都不行,直接发这里吧。
我的密码保存在自己造的 vaultwarden ,因为 passkey 相关的需求,之前有想过迁移到官方服务器,但还在考虑。上周的一天下午,突然收到 bitwarden 发邮件说异地登录,最开始没在意(习惯性忽略,因为每次都是我自己),过了几分钟感觉不对,我摸鱼时候没上 bitwarden 啊,查了下是第三国的地址,我有固定的 sg ,jp ,us ,nz IP 地址,不可能也没渠道用第三国 ip 登录,意识到大事不妙,赶紧改了密码,之后想了下,事情经过大致如下:
bitwarden 的密码是我不同类型密码中强度最高的,但仍与其他大约十个网站共用,其中一个网站被脱库,导致密码泄露(对,这个该死的网站竟然明文保存密码),然后攻击者撞到并且撞开了我 bitwarden ,还好我里面没有保存任何密码,不然直接团灭。当然,这次事件是我好多失误导致的,还好有最后一道自部署防线生效了。
- bitwarden 密码需要单独一个。
- 两步验证或者 yubikey 是必须
- 除了超大企业,其他大型企业也不可信
- 自部署救命
密码没有被攻击者拿到,但为了稳妥,使用这个密码的网站都不再安全了,需要尽快修改,此时问题来了,只知道这些网站中有个被脱库,但不知道是谁,意味着修改密码之后,如果再次被脱库,还是有这个问题。目前采取的策略是,bitwarden 单独密码,超大厂密码换了个(被脱库可能性极低),其他中大厂不太重要的密码不改(反正没消费,大不了换个)。
至于说不同网站不同密码,这个有些难,我所使用的范围很广,不同国家的服务都有,如果设置不同密码太不方便了;使用随机密码并保存在自建 bitwarden 也不太行,这样对于 bitwarden 太过于依赖,比如在公司电脑,临时开会什么的场景就会很尴尬。
真的很庆幸用了自部署服务,没有单独为密码管理器设置独立密码,没有用两步验证,还好,自部署最后一道防线让我没有受到损失。
当时想着只要密码强度够,且没有在 password leak 里面找到,就应该是安全的,即便被脱库也是哈希过的。真没想到 2024 年真的有中大型网站明文保存密码。