Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Jak używać Bitwarden-a? Kompleksowy poradnik używania tego bezpłatnego menadżera haseł

25 marca 2021, 16:06 | Teksty | komentarzy 30

Ostatnio na sekuraku opublikowaliśmy poradnik dla początkujących użytkowników Signala oraz Tutanota. Tym razem pokażemy, jak zadbać o bezpieczeństwo danych uwierzytelniających z wykorzystaniem Bitwardena. W poradniku omówimy rejestrację, korzystanie z Bitwardena oraz instalowanie wtyczek i aplikacji na telefon. Jest to kontynuacja serii poradników dla osób nietechnicznych.

Czym jest Bitwarden?

Bitwarden to darmowy, otwartoźródłowy menedżer haseł i sejf umożliwiający posiadaczom konta internetowego w tym serwisie przechowywanie zaszyfrowanych danych. Platforma jest wyposażona w interfejs internetowy, udostępnia rozszerzenia dla różnych przeglądarek internetowych oraz aplikacje komputerowe i mobilne. Program współpracuje z najpopularniejszymi przeglądarkami internetowymi oraz umożliwia automatyczne wprowadzanie danych dostępu. Pozwala też na synchronizację danych między różnymi przeglądarkami i urządzeniami. Usługa oferuje również sejf na dodatkowe informacje i różne notatki oraz funkcję generatora haseł.

Zapraszam do przeglądu najważniejszych funkcji oraz na prezentację całej instalacji krok po kroku, zarówno w wersji na komputer, jak i na smartfon.

Tworzenie nowego konta

Wchodzimy na stronę bitwarden.com i klikamy “Get Started”. Zostaniemy poproszeni o utworzenie konta. 

Przypominamy, że na sekuraku zamieściliśmy już poradnik do szyfrowanej, bezpiecznej skrzynki e-mail – Tutanota. 

Po wypełnieniu wszystkich pól formularza, akceptujemy politykę prywatności i klikamy przycisk “Wyślij”:

Po udanej rejestracji zostaniemy przeniesieni na stronę logowania i logujemy się na właśnie utworzone konto:

Po zalogowaniu się uzyskamy dostęp do dedykowanego dla tego konta “sejfu”, który chwilowo jest pusty. 

Na początku jednak powinniśmy zweryfikować adres e-mail, klikając przycisk “Wyślij wiadomość”:

Przechodzimy na chwilę do skrzynki e-mail i potwierdzamy adres poczty elektronicznej, klikając przycisk “Verify Email Address Now”:

Po weryfikacji logujemy się ponownie do sejfu. Spróbujmy skorzystać z opcji “Dodaj element”.

Wprowadzanie nowych danych

Wystarczy wprowadzić dane logowania, które chcemy zapisać: pole “URI” to adres strony, dla której  hasło do logowania chcemy zachować. Gdy już wypełniliśmy poprawnie wymagane  pola, klikamy “Zapisz”:

Gotowe. Teraz w naszym sejfie możemy równocześnie skopiować powiązane ze sobą hasło i nazwę użytkownika:

Wtyczki – mała automatyzacja działań

Wprawdzie możliwość ręcznego dodawania haseł jest przyjemna,  jednak może być zbyt czasochłonna w przypadku, gdy korzystamy z wielu witryn jednocześnie. Z pomocą przychodzą tu wtyczki. Dzięki nim w trakcie tworzenia konta w danym serwisie możemy automatycznie wygenerować odpowiednio silne hasło, a po zakończeniu całego procesu nasz login i hasło zostaną zapisane w sejfie. Przy kolejnej próbie logowania hasło i login zostaną automatycznie uzupełnione. Aby pobrać taką wtyczkę, należy przejść na stronę bitwarden.com/download:

Autorzy serwisu zadbali o wsparcie dla  najpopularniejszych przeglądarek internetowych, takich jak Google Chrome, Firefox, Brave czy Opera. Teraz wystarczy kliknąć ikonkę używanej przeglądarki, np. Firefox:

… i przycisk “Dodaj do Firefoksa”. W przypadku Google Chrome –  przycisk “Dodaj do Chrome” itd.:

Gotowe, nasze rozszerzenie możemy teraz znaleźć na pasku przeglądarki:

Po zalogowaniu się po prostu korzystamy z wcześniej utworzonego konta w Bitwarden:

I po zalogowaniu:

Automatyczne uzupełnianie danych do logowania 

Spróbujmy teraz przejść na stronę z zapisanym hasłem. W naszym przypadku, będzie to Tutanota:

Przy ikonie wtyczki Bitwarden widnieje “jedynka”. Oznacza to, że rozszerzenie wykryło zapisane hasło dla naszej strony. Aby automatycznie uzupełnić login i hasło, wystarczy najechać myszką na dowolne pole w formularzu logowania, a następnie kliknąć prawy przycisk myszy i najechać na ikonę Bitwarden:

I gotowe, nasz login i hasło zostały automatycznie uzupełnione. To  bardzo wygodna forma dbania o nasze bezpieczeństwo. 

Przyjrzyjmy się teraz postępowaniu podczas rejestracji w nowym serwisie? 

Rejestracja połączona z zapamiętaniem danych w sejfie

W trakcie rejestracji możemy skorzystać z opcji “Generuj hasło”. Wystarczy wcisnąć kombinację CTRL+V lub przycisk “Wklej”:

Po rejestracji w danym serwisie, Bitwarden zapyta, czy chcemy zapisać podane dane logowania:

Po kliknięciu przycisku “Tak, zapisz” nowo utworzone dane logowania trafiają do sejfu:

Teraz przy każdym logowaniu do serwisu możemy skorzystać z opcji autouzupełniania hasła:

Urządzenia mobilne

Bitwardena możemy również pobrać na smartfony. Na potrzeby tej prezentacji  będę instalował aplikację na system iOS:

Odwiedzamy AppStore (dla systemu Android będzie to Google Play) i w polu wyszukiwania wpisujemy “bitwarden”. Następnie klikamy 

przycisk “Pobierz” przy odpowiedniej aplikacji:

Po pobraniu i uruchomieniu aplikacji Bitwarden poprosi o utworzenie nowego konta lub o zalogowanie się na istniejące:

Mamy już konto, więc wybieramy opcję “Zaloguj się”:

Po zalogowaniu mamy dostęp do naszego sejfu:

Jak widać, utworzone na komputerze loginy i hasła są dostępne teraz również na telefonie. Sejf i opcje są identyczne, jak w przypadku strony internetowej:

Jeśli chcemy jednak skorzystać z automatycznego uzupełniania, musimy wykonać kilka dodatkowych kroków:

Przechodzimy do ustawień. Interesują nas opcje: “Autouzupełniania haseł” i “Rozszerzenie aplikacji”:

Na tym etapie aplikacja sama podpowiada, jakie dalsze kroki należy wykonać:

Bitwarden opublikował także wideo poradniki nt. ustawiania autouzupełniania dla obu systemów:

  • Android:
  • iOS:

I gotowe! Wdrożenie wszystkiego zajmuje chwilę, jednak z dłuższej perspektywy, oszczędność dotyczy nie tylko czasu, ale także nerwów w wypadku wycieku czy pomyłek w źle zapamiętanym haśle . 

Dodatkowe zabezpieczenia

Na koniec warto poświęcić jeszcze kilka minut i wdrożyć dodatkowe zabezpieczenia. Logujemy się do Bitwardena i przechodzimy do “Ustawień”:

W ustawieniach przechodzimy do “Logowanie dwustopniowe”:

Tutaj do wyboru mamy kilka sprytnych opcji służących dodatkowemu zabezpieczeniu konta. Ponieważ opcje z YubiKey, SMS czy FIDO U2F są dostępne jedynie w wersji Premium, my skorzystamy z “Aplikacji uwierzytelniającej” – mobilnej aplikacji “Authy”. Po kliknięciu przycisku “Zarządzaj”należy podać hasło:

Następnie, po kliknięciu przycisku “Kontynuuj”, pojawi się takie okno:

W pierwszej kolejności pobieramy aplikację na telefon. Schemat postępowania jest taki sam jak w przypadku instalacji każdej aplikacji. Przechodzimy do AppStore / GooglePlay:

Pobieranie i instalacja:

Po uruchomieniu aplikacji, podajemy numer telefonu oraz kod SMS:

Po ustawieniu konta dochodzimy do takiego etapu:

Teraz wystarczy kliknąć “Add Account”:

Aplikacja poprosi o zeskanowanie kodu QR Bitwardena (tego z komunikatu), po czym będziemy mogli nadać nazwę dla dodanej właśnie aplikacji:

Po wybraniu “Save” dostaniemy kod, który musimy przepisać do 3-ciego pola w komunikacie na stronie Bitwardena:

I gotowe, teraz wystarczy zamknąć komunikat na stronie Bitwardena i jesteśmy dodatkowo zabezpieczeni:

Szyfrowane wiadomości

Na zakończenie jeszcze słowo o kilku ciekawych funkcjach…

  1. Ze strony pod adresem vault.bitwarden.com/#/sends możemy wysyłać notki chronione hasłem:

Klikamy “Utwórz nową wysyłkę”, wypełniamy formularz:

Takiej notatce możemy nadać tytuł, wpisujemy  treść oraz tworzymy hasło potrzebne do jej otworzenia i ustalamy czas, po którym zostanie ona usunięta. Gdy już wszystko jest gotowe, klikamy w “Zapisz”. 

Tak wygląda poprawnie utworzona notatka:

Możemy skopiować link do niej i  wysłać go:

Odbiorca takiego  linku będzie musiał podać hasło, aby mieć dostęp do tej wiadomości. Po wpisaniu hasła notatkę można odczytać 

To jeszcze nie koniec…

  1. Kolejną przydatną opcją jest “Raport naruszeń danych” dostępny pod adresem vault.bitwarden.com/#/tools/breach-report:
  1. Bitwarden udostępnia także dobry generator haseł. Swoją drogą, opcja “Hasła wyrazowe” to nic innego jak łańcuchy markowa, na temat których jakiś czas temu też powstał poradnik sekuraka:

  4.  W sejfie można przechowywać nie tylko loginy i hasła, ale np. dane karty    kredytowej lub inne personalia:

 Dodawanie tych danych wygląda tak samo jak w przypadku loginu i hasła:

5. Bitwarden wspiera w dość zaawansowany sposób “password sharing”:

Z podziałem na role:

 6. Jeśli nie ufasz Bitwardenowi, to możesz samodzielnie postawić swój sejf:

KeePassXC vs Bitwarden

Odpowiedź na pytanie: “który menadżer haseł jest lepszy” jest dość przewidywalna dla każdego z branży IT – to zależy. Bardzo dobre porównanie poszczególnych funkcji znajdziesz tutaj. W skrócie:

  • Bitwarden wygrywa prostotą, działającej funkcji “sync” bez dodatkowych kroków, oraz przejrzystym UI oraz dodatkowymi “ficzerami” np wysyłanie prywatnych notatek czy sprawdzanie twojego e-mail’a z wyciekami. Dodatkowo, projekt jest wspierany przez “korporacje” i posiada program bug bounty aby zapewnić maximum bezpieczeństwa. Minusem jest fakt, że w domyślnej konfiguracji, nasze zaszyfrowane dane są wysyłane do chmury. Oczywiście, możemy hostować Bitwarden’a samodzielnie, ale jest to czasochłonne. Dodatkowo, niektóre opcje są płatne, takie jak np dwuetapowe logowanie z YubiKey, lub większa ilość osób dodana do organizacji w ramach “password sharing”.
  • KeePassXC minimalnie wygrywa prywatnością, ponieważ nasze dane nie są wysyłane do chmury, tak jak się to dzieje w domyślnej konfiguracji Bitwarden. Minusem jest dość toporne, przestarzałe UI, synchronizacja między systemami wymaga dodatkowych kroków / konfiguracji. KeePassXC polega głównie na community, a więc użytkownik często jest zmuszony do radzenia sobie sam w przypadku wystąpienia jakiś błędów itp. Dodatkowo, darmowa wersja KeePassXC na system iOS jest fatalna.

Podsumowanie

Bitwarden to solidny wybór, a prostota i przejrzystość UI sprawi, że bez problemu zarówno użytkownik techniczny, jak i nietechniczny poradzi sobie z instalacją oraz użytkowaniem. Oczywiście, gdy pierwszy raz korzystamy z Bitwarden, to ustawienie wszystkiego zajmie nam chwilę czasu, ale z dłuższej perspektywy jest to warte zachodu – odpada stress związany z wyciekami haseł, oraz z ich zapominaniem.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Fajnie, że piszecie o tym programie, używam Bitwardena od ponad 3 lat na różnych urządzeniach i na prawdę super działa, wcześniej korzystałem z 1Password, ale kiedyś samodzielnie zapisał mi hasło do usługi mimo, że tego nie akceptowałem, co zakończyło moją współpracę z tym programem ;-)

    Odpowiedz
  2. KeepOffline

    Jak można w ogóle porównywać bazę haseł online z bazą offline – bez sensu, dwa różne od siebie filozofie i rozwiązania.

    KeePassXC może ma troszkę starzej wyglądające UI, ale:

    – domyślnie my jesteśmy właścicielami swojej bazy danych, niezależnie od chmury, która może „wyparować”, jak pokazał przykład serwerowni OVH
    – KeePassXC też ma raporty, czy hasła nie wyciekły (baza danych>Raporty bazy danych>HIBP), do tego ne przekazuje zewnętrznej usłudze pełnych hashy (jedynie 5 znaków)
    – „synchronizacja między systemami wymaga dodatkowych kroków”, albo bezpieczeństwo, albo wygoda, nie udostępniamy danych na serwery zewnętrzne, więc sami musimy wygenerować klucze/certyfikat dla usługi KeeShare, potem jednak działa to dobrze, do tego bazy danych są kompatybilne z większą ilością aplikacji wpierających KBDX 4 (np. Keepass2Android)
    – KeePassXC lepiej integruje się z desktopem, dzięki funkcji „Integracja usługi sekretnej” (przynajmniej pod Linuxem)
    – Bitwarden nie jest zarządzalny przez SSH – duży minus jeżeli chcesz go wykorzystać w przypadku swojego NAS, miniserwera lub czegoś, co jest display-less
    – Bitwarden nie ma możliwości programowania sekwencji wpisywania w oparciu o np. tytuł okna

    Odpowiedz
    • JanBucol

      A coz za argument: ze chmura moze wyparowac, tak samo jak dysk z keepassem. Dlatego stosuje sie backup najlepiej w systemie 3-2-1.

      Odpowiedz
    • Wadera

      Zgadzam się co tego, że oba rozwiązania różnią się w swojej filozofii i dobrze, że mamy możliwość wyboru, bo w niektórych przypadkach prosta i lokalna baza danych sprawdza się lepiej. Niemniej Twój komentarz jest pisany dość mocno z nastawieniem zdyskredytowania Bitwardena ;)

      Apropo SSH:
      https://bitwarden.com/help/article/cli/

      No i bycie OpenSource z możliwością postawienia sobie własnego serwera to dość fajna opcja, której nie dają inne firmy:
      https://bitwarden.com/open-source/

      Sam cennik premium nie zabija i bije na głowę rozwiązania konkurencji.

      Podsumowując – jako rozwiązanie „dla rodziny” ale też i „na codzień” sprawdza się świetnie i jest godne polecenia ;)

      Odpowiedz
    • Marek

      KeePass już mi nie raz i nie dwa rozwalił całą bazę danych po aktualizacji. Od paru lat korzystam z bitwarden i zero problemów. Całkowicie otwartoźrodłowy i jak chcesz to nic nie stoi na przeszkodzie używać własnego serwera do synchronizacji, a nie infrastruktury producenta.

      Odpowiedz
  3. ostrożny

    Napiszę trochę z przesadą, ale historia to potwierdza:

    jeśli masz coś tylko w chmurze, to tego nie masz.

    Dlatego mam pytanie:

    czy i jak można zrobić sobie kopię zawartości „sejfu”, aby nie być zdanym tylko na serwis, nad którym nie ma się kontroli?

    Odpowiedz
    • Bit

      W Bitwarden wystarczy sobie wyeksportować sejf i zapisać na jakimś nośniku, można eksportować zaszyfrowany sejf a jak ktoś potrzebuje to i da radę do zwykłego pliku wszystko eksportować gdzie do oczytania wystarczy zwykły notatnik :)

      Odpowiedz
      • Czytelnik

        Akurat zaszyfrowana kopia sejfu to nie jest dobry pomysł w przypadku BW. Z tego co wiem, tak zaszyfrowaną kopię można zaimportować tylko na to konto, z którego została pobrana, o ile nie został zmieniony na nim klucz szyfrowania.

        Odpowiedz
  4. januszek

    Jestem ciekaw jak dokładnie Bitwarden ma się do Firefox Lockwise pod względem bezpieczeństwa i prywatności?

    Odpowiedz
    • bloud

      Działającą aplikację na telefon

      Odpowiedz
  5. Darek

    Używam keepass’a bo:
    +baza na lokalnej maszynie a nie na jakiejś chmurze.
    +plik klucza poza hasłem (można wgrać na pena)
    ++ wtyczki do obsługi innych algorytmów Twofish, Serpent, ChaCha20 które są mocniejsze niż Rijndael.
    +transformacja klucza Argon2 i własne ustawienia iteracji (dla mnie to nie problem że po podaniu klucza baza ładuje się ok 2 s, dla łamacza już tak ;)
    – problem z logowaniem na discord (mam dwa profile, dwa linki do pokoi wpisane w keepass, po wejściu w jeden link discorda keepass sugeruje mi oba loginy zamiast tylko jednego przypisanego do tego linku)
    – brak dwuczynnikowego logowania

    Przetestuje bitwardena w wolnej chwili, tylko zamiast authy, to google auth. bo nie lubię podawać numeru na lewo i prawo.
    P.s. Fajnie, że jest ten tutorial. Przyda się mniej technicznym.

    Odpowiedz
  6. miau

    Keepass xc jest dużo gorszy. jak zgubisz albo skasujesz baze z kopiami zapasowymi ,to się nigdzie nie dostaniesz.Hasło główne nic nie daje bo bazy nie będzie -taka to lepsza prywatność.

    Odpowiedz
    • JanBucol

      A wiesz ze jak skasujesz OS z lapka i backupy z danymi i obrazy dysku z backupow to nie uda Ci sie dostac do OS? Zadna technologia nie jest na to odporna – przykro mi.

      Odpowiedz
    • MariuszF

      „Keepass xc jest dużo gorszy. jak zgubisz albo skasujesz baze z kopiami zapasowymi ,to się nigdzie nie dostaniesz”

      To nie KeePass jest gorszy, tylko użytkownik dupa, skoro nie ma dostępu do pliku z bazą roboczą i jeszcze sobie usunie kopię zapasową. Ja mam robocze bazy haseł na 2 komputerach i telefonie, a backupy na zewnętrznym dysku w domu, drugim dysku USB w domu rodziców w innej części miasta i jeszcze w 2 niezależnych chmurach. Przed wysłaniem do chmury dodatkowo zaszyfrowane Serpentem.

      Równie dobrze mogę powiedzieć, że trzymanie haseł w Bitwardenie jest gorsze, bo jak im się spali serwerownia z serwisem i z backupami, to wszystko tracimy. Ja wybieram KeePassa na desktop i Androida. Wolę się z nikim nie dzielić moimi hasłami.

      Odpowiedz
  7. Bitwarden

    Hasła do bankowości w Bitwardenie – tak czy nie? Ciekawi mnie Wasz punkt widzenia.

    Odpowiedz
    • ostrożny

      Ja bym się bał. Ale się nie znam.

      Dodatkowy argument przeciwko jest z rodzaju ostrożności procesowej.

      W regulaminach banków są zakazy „ujawnienia” osobom trzecim (czy jakkolwiek to sformułowano) danych uwierzytelniających.

      Jeśli zdarzy się nieuprawniona operacja (pewnie nie z powodu menadżera haseł, ale co z tego), i wyjdzie na jaw, że zapisałeś poświadczenia w jakimś programie/systemie, to bank nie weźmie odpowiedzialności. A na pewno ma lepiej opłacanych prawników niż zwykły klient.

      Odpowiedz
    • prost

      Uważam, że konto bankowe jest zbyt ważne aby trzymać hasło w menadżerze. Jeśli ktoś bardzo się upiera to tylko używając poniższą metodę:
      Salting Passwords in Password Manager – How To Trust a Password Manager
      https://www.youtube.com/watch?v=wMvWL-sKu54
      hasło do bankowości = hasło z menadżera + 3-5 znaków, które pamiętasz

      Odpowiedz
  8. Adrian

    Czy któreś z tych narzędzi potrafi zaimportować zapisane hasła z przeglądarek?

    Odpowiedz
    • bloud

      Jak najbardziej

      Odpowiedz
  9. Paczor

    Jeszcze lepiej postawić bitwarden_rs na własnym nas-ie albo serwerze.

    Odpowiedz
  10. prost

    Jestem nietechniczny i postanowiłem w tym roku zacząć korzystać z menadżera haseł. Bardzo szybko przetestowałem kilka i wybrałem Bitwarden. Potem stwierdziłem, że sprawdzę jeszcze KeePassXC i przy nim zostałem. Udało mi się nawet zabezpieczyć bazę danych kluczem bezpieczeństwa :-) Sprawę ułatwia mi fakt, że korzystam z Internetu tylko na laptopie.
    Bitwarden bez problemu zwrócił mi 10$, które zdążyłem zapłacić (w ciągu 30 dni można zrezygnować z wersji premium).
    Jeśli ktoś chciałby się więcej dowiedzieć o Bitwarden to polecam ich webinary oraz grupę dyskusyjną:
    https://www.crowdcast.io/bitwarden
    https://www.reddit.com/r/Bitwarden/

    Odpowiedz
  11. ziom

    odpowiedź jest prosta. bitwarden i inne nie mają żadnej przewagi. lockwise jest wystarczająco prywaty i bezpieczny zarazem.

    Odpowiedz
  12. Gander

    Naciąłem się na Bitwarden, trzeba było dokładnie przeczytać instrukcję przed zakupem. Niby obsługuje YubiKey, ale tylko te z funkcją OTP. Obsługuje U2F FIDO, ale bez NFC. Mam klucz z NFC, mam telefon z NFC, i mam aplikację, która nie pozwala mi tego użyć.

    Odpowiedz
    • Marek

      To ciekawe co mówisz. Mam Bitwardena + premium + YubiKey 4 NFC i bez zająknięcia przyjęło na telefonie.

      Odpowiedz
  13. Roman

    A możliwy import „danych” z LastPass-a?

    Odpowiedz
  14. a

    Jest też pełna implementacja enterpriseowego bitwardena w wersji open source.

    https://github.com/dani-garcia/bitwarden_rs

    Można w ten sposób bezpłatnie mieć wszystko co oferuje płatny bitwarden, do tego na własnym środowisku, a nie w cloudzie.

    Odpowiedz
  15. Ktoś wie i jest w stanie potwierdzić na ile Bitwarden_RS jest licencyjne OK i faktycznie bezpieczny (pod względem prawnym).

    Odpowiedz
  16. Sławek

    Uzupełnienie dodatkowego pola…oprócz login i hasło.

    Czy rozwiązał ktoś ten problem?

    Odpowiedz
  17. Marcin

    Właśnie robię mały research w kwestii kupna menagera haseł dla firmy. Ma być na 5 userów by łatwo się dało dzielić hasła, tworzyć grupy haseł i by łatwo dało się robić backup. Ogólnie by była baza w chmurze i każdy miał do niej dostęp z telefonu. Łamię się między Dashlane a Bitwarden. Skłaniam się ku Dashlane bo ma oficjalne wsparcie… ale może się mylę. Może ktoś też stał przed podobnym dylematem i podpowie coś więcej ?

    Odpowiedz
    • JodaSroda

      Jak rozumiem kwestia transferu danych poza obszar gosp. UE a dokładnie do USA (na dzień dzisiejszy, imho, nie zgodny z prawem poza zgodą osoby, która może być tylko w przypadku incydentalnym) nie ma żadnego znaczenia?

      Co innego prywatne (twoje dane twoja sprawa – oraz wyjątek ze stosowania RODO) a co innego działania pracodawcy, czytaj „firma”

      https://bitwarden.com/privacy/

      Odpowiedz

Odpowiedz na KeepOffline