如果你还在用”一个密码走天下”或者 Chrome 自带的密码管理器,那你可能需要了解一下 Bitwarden。
简单说,Bitwarden 是一个开源的密码管理器。你把所有网站的账号密码存进去,它帮你端到端加密保管,需要登录的时候自动填充。从此你只需要记住一个主密码,剩下的全交给它。
但 Bitwarden 官网托管免费版有个让人难受的限制——不能使用 TOTP 二步验证自动填充。想用?得花钱升级 Premium,每年 10 美元。
你可能会想:那就不开 TOTP 呗,反正有密码就够了。
从长远来看,这并不安全。密码泄露这种事情,你永远不知道什么时候会发生。TOTP 就是你的第二道锁,少了它,账号就只剩一层壳。
那有没有办法不花钱用上 TOTP?还真有。
一、原理
如果你曾经用过其他密码管理器(比如 KeePass、LastPass、1Password ),并且把里面的 TOTP 数据导出、导入到 Bitwarden,你会发现一件神奇的事——它导入成功了。
没错,Bitwarden 官网托管免费版并没有在服务端封禁 TOTP 的存储。TOTP 种子安安稳稳地躺在你的密码库里,加密得好好的。
它只是在前端阻止了免费用户”自动填充”TOTP。
既然是在前端拦的,那就好办了。我们绕过去就行。
二、Android 端
安卓用户是最省心的。直接装一个第三方客户端就行。
GitHub 上有个开源项目叫 KeyGuard,它是 Bitwarden 的替代客户端,界面比官方还舒服,而且不区分免费/Premium,TOTP 自动填充直接可用。
Github下载链接:KeyGuard - Github
找到最顶上带绿色LATEST标识展开,找到androidApp-none-release.apk下载安装
安装后登录你的 Bitwarden 账号
开启自动填充服务,搞定
注意:不要去 Google Play 下载。Google Play 版本阉割了部分功能,只有 GitHub 发布的版本是完整的。
登录之后,你的 TOTP 就跟 Premium 用户一样——打开网站登录页,KeyGuard 自动弹出,填完密码再填验证码,一气呵成。
KeyGuard 和通行密钥
KeyGuard 对通行密钥(Passkey)的支持偶尔会有小问题,在部分网站(比如 Cloudflare)上可能无法自动填充。
我的建议是:优先用 TOTP,别用通行密钥。TOTP 兼容性更好,哪都能用,而且 KeyGuard 对 TOTP 的支持是稳的。
三、电脑端
暂时没找到Bitwarden的插件,那么我们就用电脑端的KeyGuard手动复制TOTP、密码等即可
Github下载链接:KeyGuard - Github
Windows端找到Keyguard-2.11.0.msi下载下来安装
登录你Bitwarden的账号
当你需要登录某个开启了 TOTP 的网站时:
- 网站跳到验证码输入框时,打开 KeyGuard
- 找到对应的网站条目,点击展开,TOTP 验证码就显示在那里
- 手动复制验证码,粘贴到网页的输入框里
就这么简单,多花 3 秒钟的事。
网上有一些修改版浏览器插件(如 Sunsetvault),原理是给官方扩展打补丁,让它”误以为”你是 Premium 用户。这类方案能用,但不稳定,每次官方更新插件都可能失效。我更建议老老实实用桌面客户端手动复制,稳当、不折腾。。
五、安全提醒
这个方法是非官方的绕过方案,不保证永远能用,仅供学习和测试。
另外还有几条,请一定记住:
主密码无法通过”忘记密码”找回。Bitwarden 的设计决定了,只有你自己知道主密码。忘了就是真忘了,只能清空账号重来。
有一台设备登录着就不用怕。只要你有任意一台设备还登录着 Bitwarden,就可以用它导出所有密码。所以只要 Bitwarden.com 和登录设备二者有其一可用,你的密码就不会丢。
总结
Bitwarden 免费版不能自动填充 TOTP,本质上是前端的一个限制,不是服务端真的封了。
- Android:装 KeyGuard,TOTP 自动填充直接起飞
- 电脑端:桌面客户端手动复制验证码,多花 3 秒,稳当不折腾
说到底,二步验证是你账号安全的重要防线。既然有免费的办法用上,就别因为怕麻烦而放弃它。