Zamów książkę sekuraka o bezpieczeństwo aplikacji www!
Jak używać Bitwarden-a? Kompleksowy poradnik używania tego bezpłatnego menadżera haseł
Ostatnio na sekuraku opublikowaliśmy poradnik dla początkujących użytkowników Signala oraz Tutanota. Tym razem pokażemy, jak zadbać o bezpieczeństwo danych uwierzytelniających z wykorzystaniem Bitwardena. W poradniku omówimy rejestrację, korzystanie z Bitwardena oraz instalowanie wtyczek i aplikacji na telefon. Jest to kontynuacja serii poradników dla osób nietechnicznych.
Czym jest Bitwarden?
Bitwarden to darmowy, otwartoźródłowy menedżer haseł i sejf umożliwiający posiadaczom konta internetowego w tym serwisie przechowywanie zaszyfrowanych danych. Platforma jest wyposażona w interfejs internetowy, udostępnia rozszerzenia dla różnych przeglądarek internetowych oraz aplikacje komputerowe i mobilne. Program współpracuje z najpopularniejszymi przeglądarkami internetowymi oraz umożliwia automatyczne wprowadzanie danych dostępu. Pozwala też na synchronizację danych między różnymi przeglądarkami i urządzeniami. Usługa oferuje również sejf na dodatkowe informacje i różne notatki oraz funkcję generatora haseł.
Zapraszam do przeglądu najważniejszych funkcji oraz na prezentację całej instalacji krok po kroku, zarówno w wersji na komputer, jak i na smartfon.
Tworzenie nowego konta
Wchodzimy na stronę bitwarden.com i klikamy “Get Started”. Zostaniemy poproszeni o utworzenie konta.
Przypominamy, że na sekuraku zamieściliśmy już poradnik do szyfrowanej, bezpiecznej skrzynki e-mail – Tutanota.
Po wypełnieniu wszystkich pól formularza, akceptujemy politykę prywatności i klikamy przycisk “Wyślij”:
Po udanej rejestracji zostaniemy przeniesieni na stronę logowania i logujemy się na właśnie utworzone konto:
Po zalogowaniu się uzyskamy dostęp do dedykowanego dla tego konta “sejfu”, który chwilowo jest pusty.
Na początku jednak powinniśmy zweryfikować adres e-mail, klikając przycisk “Wyślij wiadomość”:
Przechodzimy na chwilę do skrzynki e-mail i potwierdzamy adres poczty elektronicznej, klikając przycisk “Verify Email Address Now”:
Po weryfikacji logujemy się ponownie do sejfu. Spróbujmy skorzystać z opcji “Dodaj element”.
Wprowadzanie nowych danych
Wystarczy wprowadzić dane logowania, które chcemy zapisać: pole “URI” to adres strony, dla której hasło do logowania chcemy zachować. Gdy już wypełniliśmy poprawnie wymagane pola, klikamy “Zapisz”:
Gotowe. Teraz w naszym sejfie możemy równocześnie skopiować powiązane ze sobą hasło i nazwę użytkownika:
Wtyczki – mała automatyzacja działań
Wprawdzie możliwość ręcznego dodawania haseł jest przyjemna, jednak może być zbyt czasochłonna w przypadku, gdy korzystamy z wielu witryn jednocześnie. Z pomocą przychodzą tu wtyczki. Dzięki nim w trakcie tworzenia konta w danym serwisie możemy automatycznie wygenerować odpowiednio silne hasło, a po zakończeniu całego procesu nasz login i hasło zostaną zapisane w sejfie. Przy kolejnej próbie logowania hasło i login zostaną automatycznie uzupełnione. Aby pobrać taką wtyczkę, należy przejść na stronę bitwarden.com/download:
Autorzy serwisu zadbali o wsparcie dla najpopularniejszych przeglądarek internetowych, takich jak Google Chrome, Firefox, Brave czy Opera. Teraz wystarczy kliknąć ikonkę używanej przeglądarki, np. Firefox:
… i przycisk “Dodaj do Firefoksa”. W przypadku Google Chrome – przycisk “Dodaj do Chrome” itd.:
Gotowe, nasze rozszerzenie możemy teraz znaleźć na pasku przeglądarki:
Po zalogowaniu się po prostu korzystamy z wcześniej utworzonego konta w Bitwarden:
I po zalogowaniu:
Automatyczne uzupełnianie danych do logowania
Spróbujmy teraz przejść na stronę z zapisanym hasłem. W naszym przypadku, będzie to Tutanota:
Przy ikonie wtyczki Bitwarden widnieje “jedynka”. Oznacza to, że rozszerzenie wykryło zapisane hasło dla naszej strony. Aby automatycznie uzupełnić login i hasło, wystarczy najechać myszką na dowolne pole w formularzu logowania, a następnie kliknąć prawy przycisk myszy i najechać na ikonę Bitwarden:
I gotowe, nasz login i hasło zostały automatycznie uzupełnione. To bardzo wygodna forma dbania o nasze bezpieczeństwo.
Przyjrzyjmy się teraz postępowaniu podczas rejestracji w nowym serwisie?
Rejestracja połączona z zapamiętaniem danych w sejfie
W trakcie rejestracji możemy skorzystać z opcji “Generuj hasło”. Wystarczy wcisnąć kombinację CTRL+V lub przycisk “Wklej”:
Po rejestracji w danym serwisie, Bitwarden zapyta, czy chcemy zapisać podane dane logowania:
Po kliknięciu przycisku “Tak, zapisz” nowo utworzone dane logowania trafiają do sejfu:
Teraz przy każdym logowaniu do serwisu możemy skorzystać z opcji autouzupełniania hasła:
Urządzenia mobilne
Bitwardena możemy również pobrać na smartfony. Na potrzeby tej prezentacji będę instalował aplikację na system iOS:
Odwiedzamy AppStore (dla systemu Android będzie to Google Play) i w polu wyszukiwania wpisujemy “bitwarden”. Następnie klikamy
przycisk “Pobierz” przy odpowiedniej aplikacji:
Po pobraniu i uruchomieniu aplikacji Bitwarden poprosi o utworzenie nowego konta lub o zalogowanie się na istniejące:
Mamy już konto, więc wybieramy opcję “Zaloguj się”:
Po zalogowaniu mamy dostęp do naszego sejfu:
Jak widać, utworzone na komputerze loginy i hasła są dostępne teraz również na telefonie. Sejf i opcje są identyczne, jak w przypadku strony internetowej:
Jeśli chcemy jednak skorzystać z automatycznego uzupełniania, musimy wykonać kilka dodatkowych kroków:
Przechodzimy do ustawień. Interesują nas opcje: “Autouzupełniania haseł” i “Rozszerzenie aplikacji”:
Na tym etapie aplikacja sama podpowiada, jakie dalsze kroki należy wykonać:
Bitwarden opublikował także wideo poradniki nt. ustawiania autouzupełniania dla obu systemów:
- Android:
- iOS:
I gotowe! Wdrożenie wszystkiego zajmuje chwilę, jednak z dłuższej perspektywy, oszczędność dotyczy nie tylko czasu, ale także nerwów w wypadku wycieku czy pomyłek w źle zapamiętanym haśle .
Dodatkowe zabezpieczenia
Na koniec warto poświęcić jeszcze kilka minut i wdrożyć dodatkowe zabezpieczenia. Logujemy się do Bitwardena i przechodzimy do “Ustawień”:
W ustawieniach przechodzimy do “Logowanie dwustopniowe”:
Tutaj do wyboru mamy kilka sprytnych opcji służących dodatkowemu zabezpieczeniu konta. Ponieważ opcje z YubiKey, SMS czy FIDO U2F są dostępne jedynie w wersji Premium, my skorzystamy z “Aplikacji uwierzytelniającej” – mobilnej aplikacji “Authy”. Po kliknięciu przycisku “Zarządzaj”należy podać hasło:
Następnie, po kliknięciu przycisku “Kontynuuj”, pojawi się takie okno:
W pierwszej kolejności pobieramy aplikację na telefon. Schemat postępowania jest taki sam jak w przypadku instalacji każdej aplikacji. Przechodzimy do AppStore / GooglePlay:
Pobieranie i instalacja:
Po uruchomieniu aplikacji, podajemy numer telefonu oraz kod SMS:
Po ustawieniu konta dochodzimy do takiego etapu:
Teraz wystarczy kliknąć “Add Account”:
Aplikacja poprosi o zeskanowanie kodu QR Bitwardena (tego z komunikatu), po czym będziemy mogli nadać nazwę dla dodanej właśnie aplikacji:
Po wybraniu “Save” dostaniemy kod, który musimy przepisać do 3-ciego pola w komunikacie na stronie Bitwardena:
I gotowe, teraz wystarczy zamknąć komunikat na stronie Bitwardena i jesteśmy dodatkowo zabezpieczeni:
Szyfrowane wiadomości
Na zakończenie jeszcze słowo o kilku ciekawych funkcjach…
- Ze strony pod adresem vault.bitwarden.com/#/sends możemy wysyłać notki chronione hasłem:
Klikamy “Utwórz nową wysyłkę”, wypełniamy formularz:
Takiej notatce możemy nadać tytuł, wpisujemy treść oraz tworzymy hasło potrzebne do jej otworzenia i ustalamy czas, po którym zostanie ona usunięta. Gdy już wszystko jest gotowe, klikamy w “Zapisz”.
Tak wygląda poprawnie utworzona notatka:
Możemy skopiować link do niej i wysłać go:
Odbiorca takiego linku będzie musiał podać hasło, aby mieć dostęp do tej wiadomości. Po wpisaniu hasła notatkę można odczytać
To jeszcze nie koniec…
- Kolejną przydatną opcją jest “Raport naruszeń danych” dostępny pod adresem vault.bitwarden.com/#/tools/breach-report:
- Bitwarden udostępnia także dobry generator haseł. Swoją drogą, opcja “Hasła wyrazowe” to nic innego jak łańcuchy markowa, na temat których jakiś czas temu też powstał poradnik sekuraka:
4. W sejfie można przechowywać nie tylko loginy i hasła, ale np. dane karty kredytowej lub inne personalia:
Dodawanie tych danych wygląda tak samo jak w przypadku loginu i hasła:
5. Bitwarden wspiera w dość zaawansowany sposób “password sharing”:
Z podziałem na role:
6. Jeśli nie ufasz Bitwardenowi, to możesz samodzielnie postawić swój sejf:
KeePassXC vs Bitwarden
Odpowiedź na pytanie: “który menadżer haseł jest lepszy” jest dość przewidywalna dla każdego z branży IT – to zależy. Bardzo dobre porównanie poszczególnych funkcji znajdziesz tutaj. W skrócie:
- Bitwarden wygrywa prostotą, działającej funkcji “sync” bez dodatkowych kroków, oraz przejrzystym UI oraz dodatkowymi “ficzerami” np wysyłanie prywatnych notatek czy sprawdzanie twojego e-mail’a z wyciekami. Dodatkowo, projekt jest wspierany przez “korporacje” i posiada program bug bounty aby zapewnić maximum bezpieczeństwa. Minusem jest fakt, że w domyślnej konfiguracji, nasze zaszyfrowane dane są wysyłane do chmury. Oczywiście, możemy hostować Bitwarden’a samodzielnie, ale jest to czasochłonne. Dodatkowo, niektóre opcje są płatne, takie jak np dwuetapowe logowanie z YubiKey, lub większa ilość osób dodana do organizacji w ramach “password sharing”.
- KeePassXC minimalnie wygrywa prywatnością, ponieważ nasze dane nie są wysyłane do chmury, tak jak się to dzieje w domyślnej konfiguracji Bitwarden. Minusem jest dość toporne, przestarzałe UI, synchronizacja między systemami wymaga dodatkowych kroków / konfiguracji. KeePassXC polega głównie na community, a więc użytkownik często jest zmuszony do radzenia sobie sam w przypadku wystąpienia jakiś błędów itp. Dodatkowo, darmowa wersja KeePassXC na system iOS jest fatalna.
Podsumowanie
Bitwarden to solidny wybór, a prostota i przejrzystość UI sprawi, że bez problemu zarówno użytkownik techniczny, jak i nietechniczny poradzi sobie z instalacją oraz użytkowaniem. Oczywiście, gdy pierwszy raz korzystamy z Bitwarden, to ustawienie wszystkiego zajmie nam chwilę czasu, ale z dłuższej perspektywy jest to warte zachodu – odpada stress związany z wyciekami haseł, oraz z ich zapominaniem.
~ Jakub Bielaszewski
Fajnie, że piszecie o tym programie, używam Bitwardena od ponad 3 lat na różnych urządzeniach i na prawdę super działa, wcześniej korzystałem z 1Password, ale kiedyś samodzielnie zapisał mi hasło do usługi mimo, że tego nie akceptowałem, co zakończyło moją współpracę z tym programem ;-)
Jak można w ogóle porównywać bazę haseł online z bazą offline – bez sensu, dwa różne od siebie filozofie i rozwiązania.
KeePassXC może ma troszkę starzej wyglądające UI, ale:
– domyślnie my jesteśmy właścicielami swojej bazy danych, niezależnie od chmury, która może „wyparować”, jak pokazał przykład serwerowni OVH
– KeePassXC też ma raporty, czy hasła nie wyciekły (baza danych>Raporty bazy danych>HIBP), do tego ne przekazuje zewnętrznej usłudze pełnych hashy (jedynie 5 znaków)
– „synchronizacja między systemami wymaga dodatkowych kroków”, albo bezpieczeństwo, albo wygoda, nie udostępniamy danych na serwery zewnętrzne, więc sami musimy wygenerować klucze/certyfikat dla usługi KeeShare, potem jednak działa to dobrze, do tego bazy danych są kompatybilne z większą ilością aplikacji wpierających KBDX 4 (np. Keepass2Android)
– KeePassXC lepiej integruje się z desktopem, dzięki funkcji „Integracja usługi sekretnej” (przynajmniej pod Linuxem)
– Bitwarden nie jest zarządzalny przez SSH – duży minus jeżeli chcesz go wykorzystać w przypadku swojego NAS, miniserwera lub czegoś, co jest display-less
– Bitwarden nie ma możliwości programowania sekwencji wpisywania w oparciu o np. tytuł okna
A coz za argument: ze chmura moze wyparowac, tak samo jak dysk z keepassem. Dlatego stosuje sie backup najlepiej w systemie 3-2-1.
Zgadzam się co tego, że oba rozwiązania różnią się w swojej filozofii i dobrze, że mamy możliwość wyboru, bo w niektórych przypadkach prosta i lokalna baza danych sprawdza się lepiej. Niemniej Twój komentarz jest pisany dość mocno z nastawieniem zdyskredytowania Bitwardena ;)
Apropo SSH:
https://bitwarden.com/help/article/cli/
No i bycie OpenSource z możliwością postawienia sobie własnego serwera to dość fajna opcja, której nie dają inne firmy:
https://bitwarden.com/open-source/
Sam cennik premium nie zabija i bije na głowę rozwiązania konkurencji.
Podsumowując – jako rozwiązanie „dla rodziny” ale też i „na codzień” sprawdza się świetnie i jest godne polecenia ;)
KeePass już mi nie raz i nie dwa rozwalił całą bazę danych po aktualizacji. Od paru lat korzystam z bitwarden i zero problemów. Całkowicie otwartoźrodłowy i jak chcesz to nic nie stoi na przeszkodzie używać własnego serwera do synchronizacji, a nie infrastruktury producenta.
Napiszę trochę z przesadą, ale historia to potwierdza:
jeśli masz coś tylko w chmurze, to tego nie masz.
Dlatego mam pytanie:
czy i jak można zrobić sobie kopię zawartości „sejfu”, aby nie być zdanym tylko na serwis, nad którym nie ma się kontroli?
W Bitwarden wystarczy sobie wyeksportować sejf i zapisać na jakimś nośniku, można eksportować zaszyfrowany sejf a jak ktoś potrzebuje to i da radę do zwykłego pliku wszystko eksportować gdzie do oczytania wystarczy zwykły notatnik :)
Akurat zaszyfrowana kopia sejfu to nie jest dobry pomysł w przypadku BW. Z tego co wiem, tak zaszyfrowaną kopię można zaimportować tylko na to konto, z którego została pobrana, o ile nie został zmieniony na nim klucz szyfrowania.
Jestem ciekaw jak dokładnie Bitwarden ma się do Firefox Lockwise pod względem bezpieczeństwa i prywatności?
Działającą aplikację na telefon
Używam keepass’a bo:
+baza na lokalnej maszynie a nie na jakiejś chmurze.
+plik klucza poza hasłem (można wgrać na pena)
++ wtyczki do obsługi innych algorytmów Twofish, Serpent, ChaCha20 które są mocniejsze niż Rijndael.
+transformacja klucza Argon2 i własne ustawienia iteracji (dla mnie to nie problem że po podaniu klucza baza ładuje się ok 2 s, dla łamacza już tak ;)
– problem z logowaniem na discord (mam dwa profile, dwa linki do pokoi wpisane w keepass, po wejściu w jeden link discorda keepass sugeruje mi oba loginy zamiast tylko jednego przypisanego do tego linku)
– brak dwuczynnikowego logowania
Przetestuje bitwardena w wolnej chwili, tylko zamiast authy, to google auth. bo nie lubię podawać numeru na lewo i prawo.
P.s. Fajnie, że jest ten tutorial. Przyda się mniej technicznym.
Keepass xc jest dużo gorszy. jak zgubisz albo skasujesz baze z kopiami zapasowymi ,to się nigdzie nie dostaniesz.Hasło główne nic nie daje bo bazy nie będzie -taka to lepsza prywatność.
A wiesz ze jak skasujesz OS z lapka i backupy z danymi i obrazy dysku z backupow to nie uda Ci sie dostac do OS? Zadna technologia nie jest na to odporna – przykro mi.
„Keepass xc jest dużo gorszy. jak zgubisz albo skasujesz baze z kopiami zapasowymi ,to się nigdzie nie dostaniesz”
To nie KeePass jest gorszy, tylko użytkownik dupa, skoro nie ma dostępu do pliku z bazą roboczą i jeszcze sobie usunie kopię zapasową. Ja mam robocze bazy haseł na 2 komputerach i telefonie, a backupy na zewnętrznym dysku w domu, drugim dysku USB w domu rodziców w innej części miasta i jeszcze w 2 niezależnych chmurach. Przed wysłaniem do chmury dodatkowo zaszyfrowane Serpentem.
Równie dobrze mogę powiedzieć, że trzymanie haseł w Bitwardenie jest gorsze, bo jak im się spali serwerownia z serwisem i z backupami, to wszystko tracimy. Ja wybieram KeePassa na desktop i Androida. Wolę się z nikim nie dzielić moimi hasłami.
Hasła do bankowości w Bitwardenie – tak czy nie? Ciekawi mnie Wasz punkt widzenia.
Ja bym się bał. Ale się nie znam.
Dodatkowy argument przeciwko jest z rodzaju ostrożności procesowej.
W regulaminach banków są zakazy „ujawnienia” osobom trzecim (czy jakkolwiek to sformułowano) danych uwierzytelniających.
Jeśli zdarzy się nieuprawniona operacja (pewnie nie z powodu menadżera haseł, ale co z tego), i wyjdzie na jaw, że zapisałeś poświadczenia w jakimś programie/systemie, to bank nie weźmie odpowiedzialności. A na pewno ma lepiej opłacanych prawników niż zwykły klient.
Uważam, że konto bankowe jest zbyt ważne aby trzymać hasło w menadżerze. Jeśli ktoś bardzo się upiera to tylko używając poniższą metodę:
Salting Passwords in Password Manager – How To Trust a Password Manager
https://www.youtube.com/watch?v=wMvWL-sKu54
hasło do bankowości = hasło z menadżera + 3-5 znaków, które pamiętasz
Czy któreś z tych narzędzi potrafi zaimportować zapisane hasła z przeglądarek?
Jak najbardziej
Jeszcze lepiej postawić bitwarden_rs na własnym nas-ie albo serwerze.
Jestem nietechniczny i postanowiłem w tym roku zacząć korzystać z menadżera haseł. Bardzo szybko przetestowałem kilka i wybrałem Bitwarden. Potem stwierdziłem, że sprawdzę jeszcze KeePassXC i przy nim zostałem. Udało mi się nawet zabezpieczyć bazę danych kluczem bezpieczeństwa :-) Sprawę ułatwia mi fakt, że korzystam z Internetu tylko na laptopie.
Bitwarden bez problemu zwrócił mi 10$, które zdążyłem zapłacić (w ciągu 30 dni można zrezygnować z wersji premium).
Jeśli ktoś chciałby się więcej dowiedzieć o Bitwarden to polecam ich webinary oraz grupę dyskusyjną:
https://www.crowdcast.io/bitwarden
https://www.reddit.com/r/Bitwarden/
odpowiedź jest prosta. bitwarden i inne nie mają żadnej przewagi. lockwise jest wystarczająco prywaty i bezpieczny zarazem.
Naciąłem się na Bitwarden, trzeba było dokładnie przeczytać instrukcję przed zakupem. Niby obsługuje YubiKey, ale tylko te z funkcją OTP. Obsługuje U2F FIDO, ale bez NFC. Mam klucz z NFC, mam telefon z NFC, i mam aplikację, która nie pozwala mi tego użyć.
To ciekawe co mówisz. Mam Bitwardena + premium + YubiKey 4 NFC i bez zająknięcia przyjęło na telefonie.
A możliwy import „danych” z LastPass-a?
Jest też pełna implementacja enterpriseowego bitwardena w wersji open source.
https://github.com/dani-garcia/bitwarden_rs
Można w ten sposób bezpłatnie mieć wszystko co oferuje płatny bitwarden, do tego na własnym środowisku, a nie w cloudzie.
Ktoś wie i jest w stanie potwierdzić na ile Bitwarden_RS jest licencyjne OK i faktycznie bezpieczny (pod względem prawnym).
Uzupełnienie dodatkowego pola…oprócz login i hasło.
Czy rozwiązał ktoś ten problem?
Właśnie robię mały research w kwestii kupna menagera haseł dla firmy. Ma być na 5 userów by łatwo się dało dzielić hasła, tworzyć grupy haseł i by łatwo dało się robić backup. Ogólnie by była baza w chmurze i każdy miał do niej dostęp z telefonu. Łamię się między Dashlane a Bitwarden. Skłaniam się ku Dashlane bo ma oficjalne wsparcie… ale może się mylę. Może ktoś też stał przed podobnym dylematem i podpowie coś więcej ?
Jak rozumiem kwestia transferu danych poza obszar gosp. UE a dokładnie do USA (na dzień dzisiejszy, imho, nie zgodny z prawem poza zgodą osoby, która może być tylko w przypadku incydentalnym) nie ma żadnego znaczenia?
Co innego prywatne (twoje dane twoja sprawa – oraz wyjątek ze stosowania RODO) a co innego działania pracodawcy, czytaj „firma”
https://bitwarden.com/privacy/
Ja też robię research bo Keepass XC gubi mi hasła. Po prostu niektóre znikają, tak jakby czasem baza była nadpisywana starszą kopią. Myślałem że to może coś z synchronizacją, próbowałem Meganz, Nextcloud, Dropbox. To samo, więc sądzę że po prostu problem jest w samym Keepasie.
Świetny poradnik -Dziękuje – przesiadłem się z Keepass i jestem zadowolony chmura dla mnie jest świetnym rozwiązaniem
bo pracując na kilku komputerach +mobile rozwiązanie tego typu jest bardzo „poreczne”
PS. Nie jestem paranoikiem, a menadzer haseł ma być dla mnie a nie ja dla niego :)
Czy za kazdym razem po wylaczniu przegladarki musze wpisywac długie hasło ?
W softincloud mozna bylo skrocic sobie to do 4 znakow, a tutaj jak jest ?
Możesz użyć pinu
Czy z bitwarden’a można wyeksportować czytelne dane dla klienta? Np. klient chciałby mieć taką 'bazę’, wszelkie przeze mnie wpisane informacje, wraz z hasłami (które schowa do sejfu) w postaci np. excela?