对自建bitwarden的一些看法

自己一直在用自建的bitwarden已经一年多了，体验来说还是很好很方便的，特别是用rust重写的版本解锁了所有的高级功能，让我直接丢弃了第三方两步验证器

也经常看到mjj在讨论，之前一直在讨论的问题是，是不是一定要自建，使用别人搭建的bitwarden是否安全？
今天又看到一个新的讨论，如果服务器被黑，替换掉网站的SSL证书是不是能实现中间人攻击拦截明文密码，我想在这里说一点个人的看法，仅供参考

第一个问题是，看起来使用别人的bitwarden会把自己的密码全部储存到别人的数据库里面，是不是服务器的主人或者数据库被盗自己的密码就会被看个干干净净？
其实不会，bitwarden的官网写得很清楚，无论是官方还是自建，数据库保存的数据都会使用该帐号的“主密码”字段来加密，就是说只要你的主密码不被泄露，无论是服务器主人还是得到数据库的第三方，都无法得到你保存在数据库里的信息明文

第二个问题是，如果被中间人攻击，劫持了流量破解了ssl证书加密过的信息，是不是我在上传密码到bitwarden服务端过程中的流量会被破解成明文？
也不会，用过bitwarden网页端或者客户端的mjj可能注意过设置里的“指纹短语”，这是一串用于客户端和服务端交换信息使用的加密字符串，原理上就是端对端加密，本地客户端如果要上传一段新的密码到服务端，会在本地将信息使用“指纹短语”加密，服务端接收后使用相同的指纹短语解密，因此即便在流量传输的过程中被劫持被破解，拿到的也是被指纹短语加密的信息，不会造成明文密码泄露

综上所述，对于公司内部，家庭，个人来说，自建bitwarden绝对是一个好方案，你说bitwarden绝对是百分之百安全的，那肯定不是，不过破解难度很高，代价高昂，你可以思考思考自己是否有足够的价值值得被人攻击

自建bitwarden最应该担心的应该是灾难备份/恢复的问题，我自己是做了两个bitwarden服务器，十分钟自动备份一次，我自己模拟过，如果主服务器出现故障，用备份切换到备用服务器只需要十分钟即可恢复，这个方案也可以给大家参考

如果你一脸懵逼，不知道该做什么，使用信得过的别人的服务器，或者使用官方服务器也是OK的

这被和谐的是哪两个字？

官网好像不能用哪个2fa，就是二步验证动态码那个