“账户指纹短语”是如何工作的？

Question

在比特监狱长的账户指纹短语页面中，它写道：

指纹短语是一个重要的安全特性，当执行重要的与加密相关的操作(例如共享)时，它有助于唯一和安全地识别Bitwarden用户帐户。 一些Bitwarden过程(例如向一个组织添加一个新用户，为浏览器扩展启用生物识别解锁)可能要求您验证指纹短语是否与您自己的或其他用户的指纹短语相匹配。 验证指纹短语确保端到端加密安全启动，并且您正在与之通信的Bitwarden服务器(以及您的连接)没有被恶意篡改。

因此，我想这是一种更安全的机制来唯一地识别一个用户。但我不明白为什么它更安全，它是如何工作的。

请帮我理解一下。

Answer 1

关键是要注意的是指纹不是你输入的，而是你读到的

一些比特监狱长程序。可能会要求您验证指纹短语是否与您自己或其他用户的指纹短语相匹配。

从某种意义上说，这就像一个反向密码:它是你已经知道的东西，服务器必须发送给你。如果攻击者试图模拟Bitwarden服务器，他们将不知道要向您显示正确的指纹短语，您可以发现欺骗：

验证指纹短语确保..。与您通信的Bitwarden服务器(以及您的连接)没有被恶意篡改。

除了直接拦截通信之外，指纹还可以防止潜在的破坏性打字。你有没有收到过一封电子邮件，因为你的地址与你的地址类似，因为你的电子邮件是错误的？想象一下，不小心与用户"bobsmith“而不是"bob.smith”共享您的密码。如果你的朋友Bob可以告诉你或者确认他们帐户的指纹短语(例如，通过电话)，你可以更确定你选择了正确的帐户来分享。

在一个理想的世界里，指纹应该是长串随机数字，就像你真正的指纹一样独特。但这将是极其难以识别或分享的，因此，一串随机词更适合。