V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
veni
V2EX  ›  问与答

网络传输明文密码安全吗?

  •  
  •   veni · 2021-02-16 14:15:49 +08:00 · 1613 次点击
    这是一个创建于 1376 天前的主题,其中的信息可能已经有所发展或是发生改变。

    各位老哥,请教一个问题。 打算把目前的密码迁移到 Bitwarden 里,他的数据导入功能只有网页版才有。

    所以导入的步骤如下:

    1.从原来 keepass 中导出 xml 文件(这个文件是明文的,未加密);

    2.从 Bitwarden 网页上导入这个 xml 文件,网站用的是 https,网络走的是代理;

    3.导入后 Bitwarden 自己把网页、本地、手机 三个版本进行了同步,算是导入完成。

    请问步骤 2 的这个过程,xml 文件可能会发生泄露吗?比如被截取或是怎样? 有没有懂网络的老哥来讲讲,单纯比较好奇。

    谢谢。

    7 条回复    2021-02-17 13:10:17 +08:00
    Aoang
        1
    Aoang  
       2021-02-16 14:18:41 +08:00 via Android
    你应该看看 https
    crab
        2
    crab  
       2021-02-16 14:19:28 +08:00
    这里的被截取是指被谁?
    chenluo0429
        3
    chenluo0429  
       2021-02-16 14:27:07 +08:00 via Android
    https 或者干脆在部署 bitwarden 的服务器上用网页导入
    ruixue
        4
    ruixue  
       2021-02-16 14:30:18 +08:00
    电脑上没有安装深信服之类的木马,在根证书安全的情况下,使用 tls1.2 版本以上的 https 传输数据,传输过程都是安全的

    薄弱环节在于本机的文件系统,浏览器(插件)以及数据到服务器之后的处理过程。服务器那端无法控制,且相信 bitwarden 会做的很好;本地这里,需要确保电脑上没有恶意扫描硬盘的软件,没有使用会上传浏览隐私监控用户活动的浏览器,没有安装会访问浏览数据的恶意插件
    redtea
        5
    redtea  
       2021-02-16 14:33:10 +08:00
    为什么要导入?手工一个个输入不就可以了,乘此机会还可以修改一下密码,更可以检查一下网站可用性,相信很多网站已经倒了,或者再也不会访问的。
    Jirajine
        6
    Jirajine  
       2021-02-16 14:37:20 +08:00 via Android
    警告一下,bitwarden 网页端(默认)开启 favicon 功能以后,是从服务端拉取的。
    也就是说,如果你的 bitwarden 服务端不是自建,那么服务商可以明文取得你所有记录过密码的网站的域名。
    xlui
        7
    xlui  
       2021-02-17 13:10:17 +08:00 via Android
    @redtea #5 我这儿二百多个密码,怕是要搞一下午…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1428 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 17:28 · PVG 01:28 · LAX 09:28 · JFK 12:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.