मैं Bitwarden की सिफारिश नहीं करता

• कई वर्षों तक self-hosting के साथ इस्तेमाल करने के बाद Bitwarden अब आधिकारिक server की भारी संरचना, open source दिशा की बढ़ती अपारदर्शिता, कमज़ोर client quality, और बार-बार सामने आए security issues की वजह से ऐसा विकल्प बन गया है जिसकी सिफारिश करना मुश्किल है
• आधिकारिक Bitwarden server जहाँ C# backend और MSSQL Express केंद्रित भारी संरचना पर आधारित है, वहीं Rust-आधारित अनौपचारिक compatible server Vaultwarden अधिक सरल और हल्का है, इसलिए छोटे और मध्यम स्तर के deployments में इसे ज़्यादा पसंद किया जाता है
• 2024 में client में जोड़ा गया @bitwarden/sdk-internal का restrictive license विरोध के बाद GPLv3 में relicense किया गया, लेकिन इससे यह चिंता और बढ़ी कि उत्पाद free·open source हिस्से से अधिक SaaS subscription-केंद्रित दिशा में बढ़ रहा है
• Bitwarden client में vault import failure, organization vault और individual vault के बीच items move न कर पाना, plaintext JSON export workaround, auto update के कारण vault access बंद हो जाना, धीमा UI, और असुविधाजनक autofill UX जैसी समस्याएँ जमा होती गईं
• सभी credentials एक ही vault में रखने के बजाय specialist·client projects, PII accounts, non-PII accounts, infra, और one-time secrets को अलग-अलग बाँटकर SaaS password manager, KeePass परिवार, HashiCorp Vault, और pass जैसे tools के साथ compartmentalize करना अधिक उपयुक्त है

अब Bitwarden की सिफारिश न करने की पृष्ठभूमि

• लगभग 4 साल पहले hardened OpenBSD पर LastPass जैसा self-hosted सेटअप चलाने का तरीका साझा करते हुए OpenBSD instance या Raspberry Pi bare metal पर Vaultwarden चलाकर उसे Bitwarden client app के backend के रूप में उपयोग करने वाली संरचना पर चर्चा की गई थी
• कई वर्षों तक इसी तरह का तरीका स्वयं इस्तेमाल करने के बाद अब यह निष्कर्ष निकला है कि Bitwarden के उपयोग की सिफारिश नहीं की जाती
• मुख्य समस्याओं को आधिकारिक server की भारीपन, open source दिशा की अपारदर्शिता, client app की quality और UX, बार-बार आने वाले security issues, और एक ही password manager में सभी credentials सौंप देने वाली संरचना के जोखिम के रूप में समेटा जा सकता है

प्रीमियम dual-license password manager

• Wikipedia Bitwarden को संवेदनशील जानकारी सहेजने वाली premium open source password management service के रूप में वर्णित करता है, और बताता है कि इसे Bitwarden, Inc. own और develop करती है
• Bitwarden आधिकारिक server और अधिकांश platforms के लिए client apps विकसित करता है, और उन users के लिए SaaS product भी देता है जो खुद hosting नहीं करना चाहते
• hosted product की pricing competing products जैसी है, लेकिन features में फर्क है; hosting उपयोग करें या self-hosting, client app वही रहता है
• Bitwarden को 2022 में PSG growth equity की 100 million dollar investment मिली थी, जिसमें Battery Ventures ने भी भाग लिया
• open source बनाए रखने की कोशिश करने वाला password manager और 100 million dollar निवेश पर रिटर्न चाहने वाले investors के board में मौजूद password manager, दोनों अलग चीज़ें हैं; इस बिंदु से product का users की जगह investors की ओर मुड़ना आसान हो जाता है

आधिकारिक server और Vaultwarden का अंतर

• Bitwarden को self-host करने पर अपेक्षाकृत जल्दी enterprise software hell में पहुँचने जैसी स्थिति बनती है
• standard Bitwarden server deployment एक भारी C# backend है और इसके साथ MSSQL Express दिया जाता है; यह PostgreSQL या MariaDB जैसे Linux-friendly databases के साथ काम नहीं करता
• deployment scale और high availability requirements के अनुसार Kubernetes का उपयोग करना पड़ सकता है, जिससे अतिरिक्त overhead और complexity जुड़ती है
• छोटे और मध्यम स्तर के deployments में अक्सर Vaultwarden को प्राथमिकता दी जाती है
  • Vaultwarden, Rust में लिखा गया एक अनौपचारिक Bitwarden-compatible server है
  • यह आधिकारिक Bitwarden server की तुलना में अधिक सरल और हल्का है, जिससे administrators के लिए बड़ा फर्क पड़ता है
  • GitHub stars की संख्या आधिकारिक implementation से लगभग 3 गुना दिखना यह सोचने पर मजबूर करता है कि Bitwarden के तकनीकी users वर्तमान आधिकारिक stack की दिशा को कैसे देख रहे हैं
• यदि कोई कंपनी 100 million dollar Series B investment ले चुकी हो, तो वह अधिक सफल backend implementation बनाने वाले लोगों को आधिकारिक stack के optimization और acceleration में शामिल करने पर विचार कर सकती थी

Bitwarden lite और open source दिशा

• ऐसा लगता है कि Bitwarden ने Vaultwarden को आधिकारिक project के रूप में अपनाने के बजाय, Vaultwarden के प्रमुख developer को hire करने के बाद अपने मौजूदा backend के हल्के संस्करण Bitwarden lite को जारी किया
• Bitwarden lite अभी भी Microsoft की .NET आधारित service है, और आकलन यह है कि इसे सामान्य Vaultwarden instance की तुलना में 3 गुना से अधिक RAM चाहिए होती है
• पिछले लगभग एक साल में Bitwarden की open source प्रकृति और धुंधली हुई है
  • 2024 के अंत में users ने client में नई dependency @bitwarden/sdk-internal शामिल होने की खोज की
  • उस license में लिखा था कि इस SDK का उपयोग Bitwarden के अलावा किसी और software, Bitwarden-incompatible implementation, या दूसरे SDK development के लिए नहीं किया जा सकता
• open source होने का दावा करने वाले product में इस तरह की license language को एक बड़े turning point की तरह देखा गया
• community के काफ़ी विरोध के बाद Bitwarden ने इसे “packaging bug” कहा, और अंततः SDK को GPLv3 के तहत relicense किया
• तकनीकी रूप से समस्या हल हो गई, लेकिन दार्शनिक रूप से यह दिशा ऐसी दिखती है जहाँ free·open source हिस्सा चारे जैसा है, असली product SaaS subscription है, और community की भूमिका issues और translations देने तक सीमित रह जाती है
• इससे जुड़ी आलोचनाओं में The freeware parts are bait भी शामिल है

client app ही मुख्य समस्या है

• backend को अलग रख दें तब भी Bitwarden की सबसे बड़ी समस्या client applications को माना जाता है
• जो features विज्ञापित किए जाते हैं वे अपेक्षा के अनुसार काम नहीं करते, product को आए 10 साल हो चुके हैं फिर भी बुनियादी सुविधाएँ नहीं हैं, और समान कीमत वाले alternatives की तुलना में user interface कमज़ोर माना जाता है
• यदि Bitwarden पूरी तरह FOSS community effort होता, तो शायद इन कमियों को नज़रअंदाज़ किया जा सकता था, लेकिन venture capital पाने वाली कंपनी होने के कारण उसी मानक को लागू करना कठिन है
• community का bureaucratic processes में बँधा दिखना भी यह दर्शाता है कि Bitwarden एक community effort से अधिक एक company product है

vault migration समस्याएँ

• लगभग एक साल पहले, proprietary platform के बजाय annual subscription के माध्यम से open source software को support करने की सोच के साथ एक user को competing product से Bitwarden में migrate करने में मदद की गई
• पुराने password manager से नए Bitwarden account में vault import करते समय समस्या आई, और GitHub bug report के अनुसार कम-से-कम एक vault को import सफल कराने के लिए काफ़ी technical workaround की ज़रूरत पड़ी
• migration·import feature को Bitwarden के marketing materials और documentation में कई जगह प्रचारित किया गया था, और कई users पहले ही इसी समस्या का सामना कर चुके थे
• इसके बावजूद, यह महसूस हुआ कि Bitwarden ने issue को संभालने के बजाय community forum में एक और चर्चा खोलने को कहा
• इस तरह की corporate bureaucracy open source software की भावना से मेल नहीं खाती, और जब open source software और paid product दोनों में विज्ञापित feature वास्तव में काम न करे, तो इसे उचित ठहराना कठिन है
• यही import जब Bitwarden के proprietary alternatives में test किया गया, तो वह बिना समस्या के काम कर गया

वॉल्ट्स के बीच आइटम स्थानांतरित करने की सुविधा का अभाव

• माइग्रेशन की समस्या केवल शुरुआती import तक सीमित नहीं है
• Bitwarden के भीतर भी organization वॉल्ट और individual वॉल्ट के बीच आइटम ले जाने की कोशिश करें, तब भी अभी तक चुने गए आइटम को किसी दूसरी जगह ले जाने की कोई ठीक-ठाक सुविधा नहीं है
• अगर login आइटम कुछ ही हों तो उन्हें duplicate करके edit किया जा सकता है, लेकिन सैकड़ों आइटम व्यवस्थित करने, किसी organization को छोड़ने, या कई organizations को merge करने जैसी स्थिति में यह दोहराव वाला काम हद से ज़्यादा बढ़ जाता है
• Bitwarden support और community thread द्वारा सुझाया गया आधिकारिक workaround यह है कि source वॉल्ट को unencrypted JSON के रूप में export करें, फ़ाइल में बदलाव करें, और फिर उसे target वॉल्ट में दोबारा import करें
• यह प्रक्रिया ऐसा सुरक्षा जोखिम पैदा करती है जिसमें 500 से अधिक credentials ~/Downloads या Dropbox, OneDrive, iCloud जैसे cloud sync directory में plain text के रूप में पड़े रह सकते हैं
• export में file attachments शामिल नहीं होते, और trash items, password history, timestamps भी छूट जाते हैं
• जिन organizations की निर्भरता SSH key files, license keys, image के रूप में recovery codes जैसे attachments, या compliance और audit के लिए password history पर होती है, उनके लिए यह तरीका स्वीकार करना मुश्किल है
• जिस प्रोडक्ट को credentials के लिए single source of truth होना चाहिए, वह 10वें साल में भी 500 आइटम को पूरी तरह किसी दूसरे वॉल्ट में ले जाने वाला एक बटन नहीं देता, यह उसकी engineering priorities को दिखाता है

client updates से फीचर टूटने की समस्या

• Bitwarden बिना पहले से बताए users तक client updates पहुँचाता है, और ये updates कभी-कभी client side पर वॉल्ट access को असंभव बना सकते हैं
• यात्रा के दौरान रात भर फ़ोन connected रहा, उसी बीच F-Droid ने Bitwarden को update कर दिया, और अगली सुबह बैंक login के लिए ज़रूरी Bitwarden app में वॉल्ट खोला नहीं जा सका
• कारण समझने में समय लगा, और bitwarden/android issue तथा Vaultwarden discussion के ज़रिए स्थिति की पुष्टि हुई
• क्योंकि मेरे पास Bitwarden backend host करने वाला UPDC था, इसलिए मैं इससे भी खराब स्थिति से बच सका
• client और backend के बीच प्रोटोकॉल तोड़ देने वाला बदलाव जैसा लगने वाला update इस तरह push करना गैर-जिम्मेदाराना लगा, और इससे यह निष्कर्ष निकला कि offline mode में password manager पर निर्भर रहने वाले users के लिए Bitwarden भरोसेमंद नहीं है
• इसके बाद Bitwarden client auto-update बंद कर दिया, और सभी passwords का ताज़ा snapshot KeePassChi, KeePassXC, KeePassDX आधारित local backup में export किया
• मुझे नहीं लगता कि Bitwarden कर्मचारियों के दावे के उलट यह सिर्फ Vaultwarden की समस्या है
  • bitwarden/android repository में ऐसे कई मिलते-जुलते reports हैं
  • 2025.12.x release regression में report है कि login के बाद master password दो बार माँगा गया और app crash हो गया
  • 2025.6.0 release के बारे में report है कि कई users के लिए startup के तुरंत बाद crash हुआ
• Android app को 2024 में .NET MAUI से native Kotlin में पूरी तरह rewrite किया गया, और v2024.10.1 के बाद से लगभग हर quarterly release में regressions आते रहने की बात कही जाती है

user experience और desktop·mobile app की quality

• Bitwarden को फ़ोन और desktop दोनों पर UI के लिहाज़ से व्यक्तिपरक तौर पर सबसे खराब apps में से एक माना गया
• कई साल इस्तेमाल करने के बाद भी ungoogled-chromium extension या desktop·mobile apps खोलने से हिचकिचाहट होती थी
• Electron आधारित desktop app को source से build करना बहुत झंझट भरा है, और prebuilt Flatpak Wayland पर ठीक से काम नहीं करता
• client और extension offline use को support करते हैं, लेकिन ऐसा नहीं लगता कि उन्हें offline use को केंद्र में रखकर design किया गया है
  • mobile app या browser extension खोलते समय backend से connect करने की कोशिश जैसी delay होती है
  • ऐसे setup में जहाँ backend public internet पर exposed नहीं है, यह delay कुछ seconds से लेकर कुछ minutes तक जा सकती है
  • वॉल्ट unlock करते समय sync बंद करके अनावश्यक इंतज़ार रोकने का कोई तरीका नहीं दिखता
• browser extension की Vault login list भी असुविधाजनक है
  • आम तौर पर दूसरे password managers में list item पर click करने से login form भर जाता है
  • Bitwarden में पूरे list item पर click करने से detail screen खुलती है, और autofill के लिए दाईं ओर के छोटे Fill button को दबाना पड़ता है
  • mouse hover करने पर बड़ा list item highlight होता है, लेकिन असली autofill सिर्फ छोटे button से जुड़ा है, इसलिए इसे चलाना मुश्किल लगता है
  • ऐसा कोई setting भी नहीं दिखता जिसमें list item click को autofill और छोटे button को detail open करने के लिए बदला जा सके
• Hacker News और community में भी ऐसे मिलते-जुलते मुद्दे बार-बार सामने आते हैं
  • desktop app खुलते समय ठीक से focus नहीं लेता
  • password दिखाने से पहले 5 मिनट से ज़्यादा loading
  • browser extension पहले से saved password को फिर से save करने का सुझाव देता है
  • iOS biometric login समस्याएँ, धीमा mobile app, login suggestions का न दिखना
• 2021 से community forum में मौजूद per-item simple edit history जैसी feature requests भी अब तक पूरी नहीं हुईं, और MSP resellers ने भी सार्वजनिक रूप से इसे “ग्लेशियर जैसी धीमी feature development” कहकर आलोचना की

Bitwarden CLI का खतरनाक interface

• Bitwarden CLI को भी खराब user interface वाला माना गया
• bw tool के list command में --show-credentials जैसे अतिरिक्त flag के बिना भी passwords और TOTP codes सहित सभी आइटम का detail output हो जाता है
• आलोचना यह है कि bw list को गलती से कहीं और pipe करके सभी credentials अनजाने में उजागर हो सकते हैं, और design ने इस स्थिति पर पर्याप्त विचार नहीं किया
• Bitwarden CLI का TypeScript में बना terminal tool होना भी एक समस्या माना गया
  • runtime और dependencies बहुत हैं
  • JavaScript stack को CI environment में यूँ ही निश्चिंत होकर चला देना अब हल्का विकल्प नहीं माना जाता

सुरक्षा इतिहास

• पासवर्ड मैनेजर की मुख्य भूमिका उपयोगकर्ता को सुरक्षित रखना और credentials को सुरक्षित रूप से संग्रहीत करना है
• 2016 से जारी एक प्रोडक्ट के रूप में Bitwarden को इस आकलन का सामना करना पड़ा है कि उसने वास्तविक production में deploy होने के बाद कम नहीं, बल्कि कई security issues झेले हैं
• इसका मतलब यह नहीं कि हर एक घटना अपने-आप में घातक थी, लेकिन घटना के बाद प्रतिक्रिया-केंद्रित security रुख, चौंकाने वाली खोजों पर “intended behavior” जैसी प्रतिक्रिया, security-critical CLI का Node.js toolchain पर निर्भर होना, और बाहरी researchers द्वारा पहले से इंगित समस्याओं का देर से निपटाया जाना — ये सभी समस्याएं मानी जाती हैं

• 2023: KDF

  • जनवरी 2023 में, LastPass breach के तुरंत बाद security researcher Wladimir Palant ने यह analysis प्रकाशित की कि Bitwarden द्वारा विज्ञापित 200,001 PBKDF2 iterations वास्तव में 100,000 के अधिक करीब थे
  • कारण यह था कि अतिरिक्त server-side iterations केवल login में उपयोग होने वाले master password hash पर लागू किए गए थे, vault data की रक्षा करने वाली encryption key पर नहीं
  • यह आकलन सामने आया कि लीक हुए vault तक पहुंचने वाला attacker server को पूरी तरह bypass कर सकता है, और प्रभावी security स्तर LastPass के बराबर हो जाता है
  • उस समय default client-side iteration count भी OWASP की सिफारिश से कम, 100,000 था, और यह चिंता 2020 से उठाई जा रही थी
  • Bitwarden ने अंततः default को 600,000 तक बढ़ाया और Argon2 support जोड़ा, लेकिन शुरुआती बदलाव केवल नए accounts पर लागू हुए, इसलिए मौजूदा users को KDF settings खुद बदलनी पड़ीं

• 2023: Windows Hello bypass

  • 2023 में RedTeam Pentesting ने Windows desktop client की vulnerability “Bitwarden Heist” सार्वजनिक की
  • यह vulnerability CVE-2023-27706 के रूप में दर्ज हुई, जिसमें domain administrator अधिकार वाला attacker Windows Hello या master password prompt के बिना स्थानीय DPAPI storage से vault decryption key निकाल सकता था
  • researchers ने कहा कि कम-privilege user session में चलने वाली कोई भी process DPAPI से vault unlock credentials मांग सकती थी
  • fix शुरुआती disclosure के कई महीनों बाद 2023.4.0 version में शामिल किया गया

• 2023: cross-origin auto-fill

  • उसी वर्ष CVE-2023-27974 सार्वजनिक हुई
  • Bitwarden browser extension trusted page में शामिल cross-domain iframe को भी, यदि base domain मेल खाता हो, credentials भरने की पेशकश करता था
  • उदाहरण के लिए, यदि trusted.com में attacker.trusted.com iframe शामिल हो और उस subdomain पर किसी तीसरे पक्ष का नियंत्रण हो, तो credentials चोरी किए जा सकते थे
  • Bitwarden ने जवाब दिया कि compatibility के कारण iframe को इस तरह handle करना जरूरी है, और “Auto-fill on page load” default रूप से enabled नहीं है
  • यह उस विकल्प को enabled करने वाले users के लिए बहुत कम सांत्वना थी

• 2025: DOM-based clickjacking

  • अगस्त 2025 में, security researcher Marek Tóth ने DOM-based clickjacking attack का एक प्रकार सार्वजनिक किया, जो malicious page पर एक ही click से Bitwarden browser extension को credit card जानकारी और personal data auto-fill करने पर मजबूर कर सकता था
  • vulnerability अप्रैल 2025 में, सार्वजनिक होने से 4 महीने पहले, report की गई थी, लेकिन Bitwarden ने इसे “moderate severity” के रूप में वर्गीकृत किया
  • patch researcher के embargo समाप्त होने वाले उसी दिन जारी 2025.8.2 version में शामिल किया गया

• 2026: Shai-Hulud

  • यह लेख लिखे जाने से कुछ दिन पहले, आधिकारिक Bitwarden CLI client 2026.4.0 चल रहे Checkmarx supply-chain attack में compromise हो गया
  • प्रभावित package version @bitwarden/cli2026.4.0 प्रतीत होता है, और malicious code package में शामिल bw1.js में publish किया गया था
  • ऐसा लगता है कि attack ने Bitwarden CI/CD pipeline में compromise किए गए GitHub Action का उपयोग किया, और यह इस campaign में अन्य repositories पर हुए नुकसान के pattern से मेल खाता है
  • जिन organizations ने malicious Bitwarden npm package install किया, उन्हें इसे credential exposure और CI/CD compromise incident के रूप में संभालना चाहिए
  • payload Bun runtime डाउनलोड करता है, दूसरे चरण के Shai-Hulud worm को decrypt करता है, और GitHub व npm tokens, SSH keys, shell history, AWS, GCP, Azure credentials, GitHub Actions secrets, यहां तक कि AI tools द्वारा उपयोग की जाने वाली MCP config files भी एकत्र करता है
  • चुराया गया data पीड़ित के अपने GitHub account में public repository अपने-आप बनाकर upload करके बाहर निकाला गया
  • Bitwarden की npm deployment pipeline लगभग 19 घंटे तक compromised रही, और 334 developers के पास malicious package डाउनलोड करने का समय था
  • Bitwarden के आधिकारिक बयान ने इस बात पर जोर दिया कि end-user vault data तक पहुंच नहीं हुई, लेकिन जिन users ने CI pipeline में bw चलाया, उन्होंने उस machine पर मौजूद अन्य secrets हमलावर को सौंप दिए
  • यह आकलन सामने आया कि यदि bw Go या Rust ecosystem में आम single statically linked binary होता, तो npm रूप वाले blast radius का अस्तित्व नहीं होता
  • Go और Rust ecosystem में भी supply-chain attacks बढ़ रहे हैं, लेकिन सफल हमलों की बाधा अब भी तुलनात्मक रूप से अधिक मानी जाती है

आगे का दृष्टिकोण: विभाजित करें और अलग-थलग रखें

• मैं इस निष्कर्ष पर पहुंचा हूं कि कोई एक अकेला password manager हर use case और हर setup के लिए पूरी तरह उपयुक्त नहीं होता
• निजी जीवन में दूसरे लोगों के साथ vault या individual passwords साझा करने की जरूरत नहीं होती, लेकिन कामकाज में यह आम बात है
• बैंक खाते या insurance portal logins का CLI tool में उपयोग जरूरी नहीं है, लेकिन वे कई devices से सुलभ होने चाहिए
• cloud storage secrets या deployment के लिए SSH private keys को phone पर sync होने की जरूरत नहीं है, लेकिन वे programmatically callable command-line tool से सुलभ होने चाहिए
• सब कुछ एक ही software या platform से हल करने के बजाय, credential bundles को बेहतर तरीके से compartmentalize करना अधिक तर्कसंगत है
• security के दृष्टिकोण से भी, password groups को अलग-अलग software और services में बांटने से data breach की स्थिति में impact radius कम किया जा सकता है

क्रेडेंशियल वर्गीकरण और टूल का चयन

• समूह A: प्रोफेशनल·क्लाइंट प्रोजेक्ट्स

  • समूह A में प्लेटफ़ॉर्म लॉगिन जैसी प्रोफेशनल·क्लाइंट प्रोजेक्ट क्रेडेंशियल्स शामिल हैं
  • ऐसे SaaS password manager का उपयोग किया जाता है जो उचित vault sharing, क्लाइंट वास्तव में जिन टूल्स का उपयोग करते हैं उनके साथ integration, SSO, कॉर्पोरेट डिवाइसों पर browser extension, audit logs देता हो और hosting का बोझ हटा दे
  • प्लेटफ़ॉर्म proprietary product है, इसलिए सामान्यतः यह पसंद नहीं होता, लेकिन क्योंकि इस समूह का दायरा केवल क्लाइंट काम तक सीमित है, इसलिए इस trade-off को स्वीकार किया जाता है

• समूह B: PII शामिल करने वाले अकाउंट्स

  • समूह B में bank account, online shopping mall जैसे PII रखने वाले अकाउंट्स की क्रेडेंशियल्स शामिल हैं
  • इन अकाउंट्स में पहले से ही नाम, पता, जन्मतिथि, payment information जैसी निजी जानकारी होती है, और ये सेवाएँ खुद भी नियमित रूप से leak होती रहती हैं, जिसे Have I Been Pwned पर भी देखा जा सकता है
  • माना जाता है कि password manager का breach होने पर भी attacker को पहले से ज्ञात जानकारी में कोई अर्थपूर्ण विस्तार नहीं मिलेगा
  • TOTP और Passkeys मौजूद होने पर यहाँ महत्वपूर्ण चीज़ cross-device availability, reliability, और offline functionality है
  • समूह A के साथ अपने-आप compromise न हो जाए, इसके लिए किसी दूसरे vendor का दूसरा अलग cloud-based password manager इस्तेमाल किया जाता है, और उसका master password व recovery mechanism भी अलग रखा जाता है
  • कम से कम एक GrapheneOS डिवाइस पर mobile app चलाने की योजना है, इसलिए ऐसी solution को प्राथमिकता दी जाती है जो Google Play Services पर निर्भर न हो और संभव हो तो open source या source-available client प्रदान करे

• समूह C: PII रहित अकाउंट्स

  • समूह C में internet forums, websites, privacy का सम्मान करने वाली सेवाएँ, और ऐसे अकाउंट्स शामिल हैं जिनमें PII नहीं होता
  • इस समूह के लिए cloud service की न ज़रूरत है और न ही इच्छा
  • KeePassChi, KeePassXC, और KeePassDX का उपयोग किया जाता है, और database file को ऐसे folder में रखा जाता है जो Syncthing के ज़रिए डिवाइसों के बीच sync होता है
  • इस approach पर पहले Syncthing से decentralized Dropbox बनाने वाले लेख में भी चर्चा की गई थी
  • क्योंकि .kdbx file स्वयं encrypted होती है, इसलिए अगर Syncthing compromise हो जाए और attacker file हासिल कर ले, तब भी उपयोगी जानकारी पाने के लिए उसे KeePassChi/KeePassXC encryption तोड़नी होगी
  • mobile पर Android का KeePassDX वही file बिना समस्या पढ़ लेता है

• समूह D: इन्फ्रास्ट्रक्चर

  • समूह D में server login और SSH keys जैसी infrastructure credentials शामिल हैं
  • व्यक्तिगत क्रेडेंशियल्स को समूह C की तरह ही store किया जाता है
  • scripts, CI jobs, और remote servers जिन क्रेडेंशियल्स का वास्तव में उपयोग करते हैं, उनके लिए HashiCorp Vault का उपयोग किया जाता है
  • HashiCorp Vault वह टूल है जिसे OpenBSD setup में PKI के लिए पहले से चलाया जा रहा था
  • एक single user के लिए यह कुछ ज़्यादा हो सकता है, लेकिन यह access policies, automation agents के लिए token-based authentication, जहाँ समर्थित हो वहाँ short-lived credentials, और audit logs प्रदान करता है
  • Infisical पर भी विचार किया जा रहा है

• समूह E: one-time क्रेडेंशियल्स

  • समूह E में API keys, personal access tokens, और केवल command line पर इस्तेमाल होने वाले arbitrary secrets शामिल हैं
  • पुराने pass utility का उपयोग किया जाता है
  • pass हर secret को Git repository के भीतर अलग-अलग GPG encrypted file के रूप में store करता है
  • इसकी संरचना सरल है, audit करना आसान है, और यह shell scripts तथा dotfiles के साथ अच्छी तरह मेल खाती है
  • Git repository GitHub पर नहीं बल्कि अपनी infrastructure में है, और manual sync केवल तब किया जाता है जब किसी दूसरी machine से वास्तव में access की ज़रूरत हो

single vault से multiple tools में बदलाव पर निष्कर्ष

• single vault की दुनिया से आने वाले users को यह बहुत सारे moving parts वाला और overengineered setup लग सकता है
• कई वर्षों तक Bitwarden को all-purpose solution की तरह इस्तेमाल करने के बाद, निष्कर्ष यह निकला कि one size fits all वास्तव में one size fits poorly था
• क्रेडेंशियल्स को कई टूल्स में बाँटना, शुरुआती उम्मीद की तुलना में कहीं कम पीड़ादायक निकला, क्योंकि हर टूल एक खास काम के लिए बेहतर fit था
• यदि कोई एक टूल compromise भी हो जाए, तो blast radius पूरे credential set तक नहीं बल्कि केवल एक secret category तक सीमित रहता है

अंतिम निर्णय

• कई वर्षों तक Bitwarden को self-host करने के बाद, यह माना गया कि product धीरे-धीरे उस दिशा से दूर चला गया जिसकी शुरुआत में उम्मीद थी
• Raspberry Pi में मुश्किल से फिट होने वाली enterprise-first architecture, आधा-अधूरा lightweight backend प्रयास, SDK licensing विवाद, फीचर्स पर धीमी प्रगति, वर्षों से अनसुलझी UX समस्याएँ, और ऐसे security issues जिन्हें शुरू में deploy ही नहीं किया जाना चाहिए था — ये सब मिलकर “सभी के लिए open source password manager” वाली कहानी से मेल नहीं खाते
• इसका अर्थ यह नहीं है कि alternatives हर जगह बेहतर हैं या उनमें कोई समस्या नहीं है
• password managers स्वभाव से कठिन होते हैं, और इस क्षेत्र के हर player की अपनी समस्याएँ हैं
• यह सख़्ती से देखना चाहिए कि सभी क्रेडेंशियल्स के लिए किसी एक software पर कितना भरोसा किया जा रहा है, और क्या वह दाँव अभी भी सही है; इस मामले में निष्कर्ष यह था कि अब यह सही विकल्प नहीं रहा

संबंधित चर्चा

• Ask HN: Alternatives to Bitwarden?
• Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
• Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
• Concerns Over Bitwarden Moving Away from Open Source