密码管理

• 简介
• 主要功能与客户端
• 账户管理与数据安全
• eScience服务双重认证简明指南

简介

密码管理服务介绍

网址与定位

• 访问地址: https://pass.nju.edu.cn
• 服务定位: 本服务由南京大学eScience中心提供，作为eScience中心各服务两步认证功能的配套服务，用于增强中心各服务的安全防护能力。通过集中管理密码，鼓励使用高强度密码，助力师生便捷实现账户安全管理。

注: 当前服务处于测试阶段，功能持续优化中，欢迎师生通过反馈渠道提出建议。

数据存储与安全性

• 数据存放位置: 所有用户密码数据均存储于南京大学鼓楼校区唐仲英楼本地服务器，遵循相关数据管理规定，确保数据主权与隐私安全。
• 服务架构: 基于开源软件Vaultwarden（Bitwarden兼容实现）搭建，采用端到端加密技术，主密码仅用户掌握，系统管理员无法解密存储内容。也就是说，如果用户忘记主密码，管理员也无权解开该用户的密码。

---

注册与登录

注册流程

1. 注册资格: 仅限南京大学师生，需使用南京大学邮箱（@nju.edu.cn 或 @smail.nju.edu.cn）完成验证。
2. 步骤说明:
   • 访问https://pass.nju.edu.cn，点击“注册”按钮。
   • 输入南京大学邮箱，系统将发送验证邮件。
   • 通过邮件链接设置主密码（建议使用高强度密码，如上所述这个密码很重要，用户自己也不能忘记）。

推荐的主密码安全要求:

• 长度至少12位，包含大小写字母、数字及特殊符号。
• 切勿与其他平台密码重复，建议定期更换。
• 遗忘主密码将导致数据无法恢复，请妥善保管。

紧急访问

服务支持“紧急访问”功能，设置后可以在你无法登入该账户时，通过另一个被授权的账户紧急访问你的密码。开启位置在设置-紧急访问

主要功能与客户端

主要功能

复杂密码生成

内置生成器可创建符合各平台复杂度要求的密码。

自动填充

配合客户端或插件，支持便捷填写复杂密码。

安全检测

帮助用户对密码安全性进行检查，提高安全意识。

两步认证同步

绑定一次两步认证，在所有设备上同步使用，不再担心设备丢失或更新带来的两步认证丢失。

通行密钥（Passkey）

客户端、插件支持FIDO2安全密钥、生物识别等无密码登录方式。

组织与共享

可创建组织并分级授权，安全共享密码或其他密钥给课题组或协作团队。

客户端下载

桌面客户端

• 官方地址：https://bitwarden.com/download/
• Mac：https://apps.apple.com/us/app/bitwarden/id1352778147
• Windows：https://apps.microsoft.com/detail/9pjsdv0vpk04?hl=zh-CN&gl=CN
• 南京大学镜像站：https://mirrors.nju.edu.cn/github-release/bitwarden/clients/LatestRelease/ 与操作系统匹配的安装包。

移动端APP

• iOS官方商店：https://apps.apple.com/app/bitwarden/id1137397744
• Android官方商店：可在手机应用商店尝试搜索
• 南京大学镜像APK：https://mirrors.nju.edu.cn/github-release/bitwarden/android/LatestRelease/中的com.x8bit.bitwarden.apk或其他用户需要的版本。

浏览器插件

• Edge 扩展商店：https://microsoftedge.microsoft.com/addons/detail/jbkfoedolllekgbhcbcoahefnbanhhlh
• Safari 扩展商店：https://apps.apple.com/us/app/bitwarden/id1352778147
• Chrome扩展商店：https://chromewebstore.google.com/detail/bitwarden-%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8/nngceckbapebfimnlniiiahkandclblb
• Firefox扩展商店：https://addons.mozilla.org/zh-CN/firefox/addon/bitwarden-password-manager/

命令行工具

下载路径：

• 官方CLI工具：https://github.com/bitwarden/clients/releases
• 南京大学镜像：https://mirrors.nju.edu.cn/github-release/bitwarden/clients/LatestRelease/ CLI版本。

客户端登录

客户端的详细文档请参考相关软件的官方文档。下面仅简要说明如何使用https://pass.nju.edu.cn登入。

首先打开任意客户端/插件时，其初始界面均类似左图：

用户需要：

1. 点击“正在访问”切换到① “自托管”
2. 在弹出的界面中，设置②服务器URL为https://pass.nju.edu.cn并③保存
3. 之后会回到左侧界面，用户输入④电子邮件地址（即注册的账户使用的南京大学邮箱），登录输入主密码即可。

如果您之前就在用BitWarden官方或其他第三方托管的服务，您可以点击账户头像，并添加账户，这样可以多个账户切换。

账户管理与数据安全

再次提醒，如果用户忘记主密码，管理员也无权解开该用户的密码。

紧急访问

服务支持“紧急访问”功能，设置后可以在你无法登入该账户时，通过另一个被授权的账户紧急访问你的密码。紧急访问有两种权限：查看和接管。这两种权限的区别在于：

• 查看：被授权用户（紧急联系人）有权限查看你的密码库
• 接管：被授权用户（紧急联系人）可以直接修改你的密码，从而登录你的账户

紧急访问的设置流程如下：

1. A在“紧急访问”向B发起设置为紧急联系人的邀请并设置权限和自动批准时长n天。
2. B收到邮件同意邀请。
3. A在“紧急访问”确认B为紧急联系人。
4. B在紧急情况下发起申请访问。
5. A在“紧急访问”手动批准，或者请求发起后A设定的n天后，被自动批准。期间A可以取消或不批准。
6. B在获得批准之后，拥有查看和接管的权限。使用“查看”时，可以直接看见密码库内容。使用“接管”时，可以在不知道原始密码的情况下，为A设置新密码。此时A的两步认证会被关闭。

以上过程会在账号邮箱内通知。

注：网站管理员没有被授权，授权完全由用户控制，因此如果用户忘记密码，那么管理员也无法帮用户找回账号。

数据迁移与安全

• 从其他软件迁移: 支持LastPass、1Password等主流密码管理器和Chrome、Edge等主流浏览器导出的数据，通过“工具-导入数据”完成。
• 备份与导出: “工具-导出密码库”提供密码库导出选项，可选加密。

更改邮箱

“设置-我的账户”可修改邮箱（仍然要求是南京大学邮箱），可以用于本校读研等情况直接更换新邮箱。

数据清除

若您完全不需要本服务，您可以在我的账户主动选择删除账户或清空密码库。

eScience服务双重认证简明指南

在eScience的服务中，不少是带有“双重认证”功能的。

“双重认证”是什么？

双重认证 （英语：Two-factor authentication，缩写为2FA），又译为双重验证、双因素认证、二元认证，又称两步骤验证 （2-Step Verification，又译“两步验证”） ，是一种认证方法，使用两种不同的元素合并在一起，来确认用户的身份，是多因素验证中的一个特例。（摘自百度百科词条）

常见的输入密码后再微信扫码，网购支付前用密码、人脸或指纹确认，都属于不同手段的双重认证。

支持双重认证的服务

目前，eScience的如下服务均支持双重认证：

一般来说开关藏在账户设置内。

支持双重认证的APP

特别地，eScience服务矩阵中，第一重认证一般是用户帐号密码，第二重认证则用到的是TOTP（基于时间的一次性密码）算法。因此，需要用户使用各类支持RFC6238的TOTP客户端APP。

由于不同软件对双重认证的安全性考虑不同，有些软件在设备丢失、软件卸载、系统重置之后，是无法找回账户信息的，有的却支持本地备份导出乃至云端同步。因此，我们整理了一份常用的TOTP软件名单：

双重认证使用须知：以协同表格为例

大多数应用不会默认开启此服务需要手动开启。

打开开关

在协同表格账户的两步认证选项中：

点击即可开启。

使用验证器APP或插件扫码

点击开启后会弹出一个有二维码的界面以及一个验证码输入窗口：

以eScience密码管理服务使用的 BitWarden 浏览器插件为例（建议先注册密码管理服务登录后使用），点击新增一个账号信息，或点击一个已有账号编辑：

此时，可以点击验证器秘钥一栏旁边的小相机（对于移动端，则是扫码按钮调用摄像头）：

插件将识别屏幕上的双重认证二维码，识别成功将会自动填写，保存后就可以看见数字：

这些数字是一个定期刷新的代码。这个代码就是验证码。在验证码过期刷新前，上边的开启界面输入此验证码，点击下一步：

这个界面的备用验证码必须全部保存，以防不小心丢失了前面的验证器扫码账户或者丢失了该设备比如手机，导致无法获知验证码。

需要注意，只有在上步输入验证码验证通过后，双重认证才真正开启。因此如果此功能被开启，那么用户必然是已经扫码、输入过验证码了。这个账户一定要妥善保存。

双重认证登录

在开启双重认证登录之后

在通常的账户密码登录界面以外还会多出上边这样的双重认证界面。此时：

1. 输入验证器内账号对应的验证码
2. 如果丢失了设备或者账户，必须要输入备用码来登录

如果使用上文的BitWarden，正确保存后可以直接点击插件自动填充或复制：

如果确实无法想起备用码，请联系yaoge@nju.edu.cn姚老师说明情况处理。