Jak używać Bitwarden-a? Kompleksowy poradnik używania tego bezpłatnego menadżera haseł

Ostatnio na sekuraku opublikowaliśmy poradnik dla początkujących użytkowników Signala oraz Tutanota. Tym razem pokażemy, jak zadbać o bezpieczeństwo danych uwierzytelniających z wykorzystaniem Bitwardena. W poradniku omówimy rejestrację, korzystanie z Bitwardena oraz instalowanie wtyczek i aplikacji na telefon. Jest to kontynuacja serii poradników dla osób nietechnicznych.

Czym jest Bitwarden?

Bitwarden to darmowy, otwartoźródłowy menedżer haseł i sejf umożliwiający posiadaczom konta internetowego w tym serwisie przechowywanie zaszyfrowanych danych. Platforma jest wyposażona w interfejs internetowy, udostępnia rozszerzenia dla różnych przeglądarek internetowych oraz aplikacje komputerowe i mobilne. Program współpracuje z najpopularniejszymi przeglądarkami internetowymi oraz umożliwia automatyczne wprowadzanie danych dostępu. Pozwala też na synchronizację danych między różnymi przeglądarkami i urządzeniami. Usługa oferuje również sejf na dodatkowe informacje i różne notatki oraz funkcję generatora haseł.

Zapraszam do przeglądu najważniejszych funkcji oraz na prezentację całej instalacji krok po kroku, zarówno w wersji na komputer, jak i na smartfon.

Tworzenie nowego konta

Wchodzimy na stronę bitwarden.com i klikamy “Get Started”. Zostaniemy poproszeni o utworzenie konta. 

Przypominamy, że na sekuraku zamieściliśmy już poradnik do szyfrowanej, bezpiecznej skrzynki e-mail – Tutanota. 

Po wypełnieniu wszystkich pól formularza, akceptujemy politykę prywatności i klikamy przycisk “Wyślij”:

Po udanej rejestracji zostaniemy przeniesieni na stronę logowania i logujemy się na właśnie utworzone konto:

Po zalogowaniu się uzyskamy dostęp do dedykowanego dla tego konta “sejfu”, który chwilowo jest pusty. 

Na początku jednak powinniśmy zweryfikować adres e-mail, klikając przycisk “Wyślij wiadomość”:

Przechodzimy na chwilę do skrzynki e-mail i potwierdzamy adres poczty elektronicznej, klikając przycisk “Verify Email Address Now”:

Po weryfikacji logujemy się ponownie do sejfu. Spróbujmy skorzystać z opcji “Dodaj element”.

Wprowadzanie nowych danych

Wystarczy wprowadzić dane logowania, które chcemy zapisać: pole “URI” to adres strony, dla której  hasło do logowania chcemy zachować. Gdy już wypełniliśmy poprawnie wymagane  pola, klikamy “Zapisz”:

Gotowe. Teraz w naszym sejfie możemy równocześnie skopiować powiązane ze sobą hasło i nazwę użytkownika:

Wtyczki – mała automatyzacja działań

Wprawdzie możliwość ręcznego dodawania haseł jest przyjemna,  jednak może być zbyt czasochłonna w przypadku, gdy korzystamy z wielu witryn jednocześnie. Z pomocą przychodzą tu wtyczki. Dzięki nim w trakcie tworzenia konta w danym serwisie możemy automatycznie wygenerować odpowiednio silne hasło, a po zakończeniu całego procesu nasz login i hasło zostaną zapisane w sejfie. Przy kolejnej próbie logowania hasło i login zostaną automatycznie uzupełnione. Aby pobrać taką wtyczkę, należy przejść na stronę bitwarden.com/download:

Autorzy serwisu zadbali o wsparcie dla  najpopularniejszych przeglądarek internetowych, takich jak Google Chrome, Firefox, Brave czy Opera. Teraz wystarczy kliknąć ikonkę używanej przeglądarki, np. Firefox:

… i przycisk “Dodaj do Firefoksa”. W przypadku Google Chrome –  przycisk “Dodaj do Chrome” itd.:

Gotowe, nasze rozszerzenie możemy teraz znaleźć na pasku przeglądarki:

Po zalogowaniu się po prostu korzystamy z wcześniej utworzonego konta w Bitwarden:

I po zalogowaniu:

Automatyczne uzupełnianie danych do logowania 

Spróbujmy teraz przejść na stronę z zapisanym hasłem. W naszym przypadku, będzie to Tutanota:

Przy ikonie wtyczki Bitwarden widnieje “jedynka”. Oznacza to, że rozszerzenie wykryło zapisane hasło dla naszej strony. Aby automatycznie uzupełnić login i hasło, wystarczy najechać myszką na dowolne pole w formularzu logowania, a następnie kliknąć prawy przycisk myszy i najechać na ikonę Bitwarden:

I gotowe, nasz login i hasło zostały automatycznie uzupełnione. To  bardzo wygodna forma dbania o nasze bezpieczeństwo. 

Przyjrzyjmy się teraz postępowaniu podczas rejestracji w nowym serwisie? 

Rejestracja połączona z zapamiętaniem danych w sejfie

W trakcie rejestracji możemy skorzystać z opcji “Generuj hasło”. Wystarczy wcisnąć kombinację CTRL+V lub przycisk “Wklej”:

Po rejestracji w danym serwisie, Bitwarden zapyta, czy chcemy zapisać podane dane logowania:

Po kliknięciu przycisku “Tak, zapisz” nowo utworzone dane logowania trafiają do sejfu:

Teraz przy każdym logowaniu do serwisu możemy skorzystać z opcji autouzupełniania hasła:

Urządzenia mobilne

Bitwardena możemy również pobrać na smartfony. Na potrzeby tej prezentacji  będę instalował aplikację na system iOS:

Odwiedzamy AppStore (dla systemu Android będzie to Google Play) i w polu wyszukiwania wpisujemy “bitwarden”. Następnie klikamy 

przycisk “Pobierz” przy odpowiedniej aplikacji:

Po pobraniu i uruchomieniu aplikacji Bitwarden poprosi o utworzenie nowego konta lub o zalogowanie się na istniejące:

Mamy już konto, więc wybieramy opcję “Zaloguj się”:

Po zalogowaniu mamy dostęp do naszego sejfu:

Jak widać, utworzone na komputerze loginy i hasła są dostępne teraz również na telefonie. Sejf i opcje są identyczne, jak w przypadku strony internetowej:

Jeśli chcemy jednak skorzystać z automatycznego uzupełniania, musimy wykonać kilka dodatkowych kroków:

Przechodzimy do ustawień. Interesują nas opcje: “Autouzupełniania haseł” i “Rozszerzenie aplikacji”:

Na tym etapie aplikacja sama podpowiada, jakie dalsze kroki należy wykonać:

Bitwarden opublikował także wideo poradniki nt. ustawiania autouzupełniania dla obu systemów:

• Android:

• iOS:

I gotowe! Wdrożenie wszystkiego zajmuje chwilę, jednak z dłuższej perspektywy, oszczędność dotyczy nie tylko czasu, ale także nerwów w wypadku wycieku czy pomyłek w źle zapamiętanym haśle . 

Dodatkowe zabezpieczenia

Na koniec warto poświęcić jeszcze kilka minut i wdrożyć dodatkowe zabezpieczenia. Logujemy się do Bitwardena i przechodzimy do “Ustawień”:

W ustawieniach przechodzimy do “Logowanie dwustopniowe”:

Tutaj do wyboru mamy kilka sprytnych opcji służących dodatkowemu zabezpieczeniu konta. Ponieważ opcje z YubiKey, SMS czy FIDO U2F są dostępne jedynie w wersji Premium, my skorzystamy z “Aplikacji uwierzytelniającej” – mobilnej aplikacji “Authy”. Po kliknięciu przycisku “Zarządzaj”należy podać hasło:

Następnie, po kliknięciu przycisku “Kontynuuj”, pojawi się takie okno:

W pierwszej kolejności pobieramy aplikację na telefon. Schemat postępowania jest taki sam jak w przypadku instalacji każdej aplikacji. Przechodzimy do AppStore / GooglePlay:

Pobieranie i instalacja:

Po uruchomieniu aplikacji, podajemy numer telefonu oraz kod SMS:

Po ustawieniu konta dochodzimy do takiego etapu:

Teraz wystarczy kliknąć “Add Account”:

Aplikacja poprosi o zeskanowanie kodu QR Bitwardena (tego z komunikatu), po czym będziemy mogli nadać nazwę dla dodanej właśnie aplikacji:

Po wybraniu “Save” dostaniemy kod, który musimy przepisać do 3-ciego pola w komunikacie na stronie Bitwardena:

I gotowe, teraz wystarczy zamknąć komunikat na stronie Bitwardena i jesteśmy dodatkowo zabezpieczeni:

Szyfrowane wiadomości

Na zakończenie jeszcze słowo o kilku ciekawych funkcjach…

1. Ze strony pod adresem vault.bitwarden.com/#/sends możemy wysyłać notki chronione hasłem:

Klikamy “Utwórz nową wysyłkę”, wypełniamy formularz:

Takiej notatce możemy nadać tytuł, wpisujemy  treść oraz tworzymy hasło potrzebne do jej otworzenia i ustalamy czas, po którym zostanie ona usunięta. Gdy już wszystko jest gotowe, klikamy w “Zapisz”. 

Tak wygląda poprawnie utworzona notatka:

Możemy skopiować link do niej i  wysłać go:

Odbiorca takiego  linku będzie musiał podać hasło, aby mieć dostęp do tej wiadomości. Po wpisaniu hasła notatkę można odczytać 

To jeszcze nie koniec…

2. Kolejną przydatną opcją jest “Raport naruszeń danych” dostępny pod adresem vault.bitwarden.com/#/tools/breach-report:

3. Bitwarden udostępnia także dobry generator haseł. Swoją drogą, opcja “Hasła wyrazowe” to nic innego jak łańcuchy markowa, na temat których jakiś czas temu też powstał poradnik sekuraka:

  4.  W sejfie można przechowywać nie tylko loginy i hasła, ale np. dane karty    kredytowej lub inne personalia:

 Dodawanie tych danych wygląda tak samo jak w przypadku loginu i hasła:

5. Bitwarden wspiera w dość zaawansowany sposób “password sharing”:

Z podziałem na role:

 6. Jeśli nie ufasz Bitwardenowi, to możesz samodzielnie postawić swój sejf:

KeePassXC vs Bitwarden

Odpowiedź na pytanie: “który menadżer haseł jest lepszy” jest dość przewidywalna dla każdego z branży IT – to zależy. Bardzo dobre porównanie poszczególnych funkcji znajdziesz tutaj. W skrócie:

• Bitwarden wygrywa prostotą, działającej funkcji “sync” bez dodatkowych kroków, oraz przejrzystym UI oraz dodatkowymi “ficzerami” np wysyłanie prywatnych notatek czy sprawdzanie twojego e-mail’a z wyciekami. Dodatkowo, projekt jest wspierany przez “korporacje” i posiada program bug bounty aby zapewnić maximum bezpieczeństwa. Minusem jest fakt, że w domyślnej konfiguracji, nasze zaszyfrowane dane są wysyłane do chmury. Oczywiście, możemy hostować Bitwarden’a samodzielnie, ale jest to czasochłonne. Dodatkowo, niektóre opcje są płatne, takie jak np dwuetapowe logowanie z YubiKey, lub większa ilość osób dodana do organizacji w ramach “password sharing”.

• KeePassXC minimalnie wygrywa prywatnością, ponieważ nasze dane nie są wysyłane do chmury, tak jak się to dzieje w domyślnej konfiguracji Bitwarden. Minusem jest dość toporne, przestarzałe UI, synchronizacja między systemami wymaga dodatkowych kroków / konfiguracji. KeePassXC polega głównie na community, a więc użytkownik często jest zmuszony do radzenia sobie sam w przypadku wystąpienia jakiś błędów itp. Dodatkowo, darmowa wersja KeePassXC na system iOS jest fatalna.

Podsumowanie

Bitwarden to solidny wybór, a prostota i przejrzystość UI sprawi, że bez problemu zarówno użytkownik techniczny, jak i nietechniczny poradzi sobie z instalacją oraz użytkowaniem. Oczywiście, gdy pierwszy raz korzystamy z Bitwarden, to ustawienie wszystkiego zajmie nam chwilę czasu, ale z dłuższej perspektywy jest to warte zachodu – odpada stress związany z wyciekami haseł, oraz z ich zapominaniem.

~ Jakub Bielaszewski