A tárolt jelszó adatbázist hiába viszik, ha erős a master password, nem tudnak vele mit kezdeni. A Lastpass incidensnél is (amikor a felhős tárolójukból ellopták a valult állományokat) csak annak kellett cidrizni, aki valami banális, rövid, egyszerű master password-ot használt.
A 2FA ugye csak a szolgáltatás használatakor véd pluszban, annak a tárolt jelszavakhoz semmi köze, azokat a kellően erős master password védi.
A Bitwarden oldala szerint a lokálisan tárolt verzió is titkosított, dekódolva kizárólag a memóriában tárolja, kizárólag addig, amíg nincs lezárva a fiók. Tehát, ha beállítod, hogy pl. 5 perc tétlenség után zárjon le a széf (akár a browser ext-ben, akár a telepített appban), akkor törli a memóriából a visszafejtett verziót. Diszkre soha sehol nem ír ki titkosítatlan adatot, hálózaton soha nem küld titkosítatlan adatot. A master password-ot sehol nem tároljűk, tőlük, vagy a gépedről az nem szerezhető meg csak billenyűzet naplózó cuccal.
Androidon (legalábbis Chrome-ban) nincs browser plugin, csak natív app. Az ugyan így működik, mint a fenti dekstop-os leírás.
Természetesen, ha az adott gépre felkerül bárhogy a rosszindulatú szoftver, ami fel van készítve Bitwarden lopásra, akkor nyilván előbb-utóbb a hekkerek találnak módot a memóriában lévő dekódolt információ megszerzéséhez. A konkrét gépre felkerült, működő malware ellen nem igazán tud semmi jól védekezni (szerintem). De nyilván billentyűzetet naplózni, majd a titkosított vaultot ellopva a lenyúlt master passal kinyitni sokkal könnyebb, mint a memóriában kikeresni és hozzáférni a dekódolt verzióhoz.