Správce hesel Bitwarden

25. května 2020

Bitwarden je nástroj, který umožňuje bezpečné centralizované řešení pro správu hesel a to vše pohodlně, což zaručuje, že uživatelé budou s hesly náležitě zacházet.
A jedině pokud bezpečnost nebude překážkou, například se používá nástroj, který ulehčuje práci, budou uživatelé bezpečně zacházet hesly.

správce hesel bitwarden

Obecný úvod

Ukládání hesel

Jak ukládat hesla? Hesla můžeme ukládat do souboru nebo k tomu použít i nějaký nástroj, který pomůže s organizací přihlašovacích účtu a hesel. Obvykle s rostoucím množstvím účtů a hesel zavádí každý uživatel nějakou organizaci těchto klíčových soukromých údajů.

Šifrování

Když se spousta hesel někde ukládá je dobré je ukládat šifrovaně, aby ten kdo se k nim dostane je nemohl použít. K šifrovaní takového souboru můžete dobře použít nástroj GNU Privacy Guard (GPG). Správné je však mít zároveň šifrován celý disk, protože hesla si často ukládají v čitelné podobě i samy programy. Například TotalComander se tímto neduhem nemile proslavil.

Na šifrování disku slouží různé nástroje například TrueCrypt, který sami autoři nedoporučují již používat a přejít na BitLocker nebo je možno použít fork nazvaný VeraCrypt.
Já doporučuji používat Linux a na něm šifrovat disky pomocí technologie LUKS

Více ve videích o šifrování

#PGP #GPG Šifrování emailů (Dobruška):

Jak funguje šifrování:

Šifrování dat/disků počítače:

Bezpečnost vs pohodlí

Bezpečnostní pravidla často uživatelům vytváří překážky a proto následně dělají úkony, které bezpečnost výrazně snižují. Proto, pokud jde o bezpečnost, musí být proces zabezpečení navržen tak, aby to pro uživatele bylo jednoduché na použití. Ideálně pokud to bude navrženo tak, že to uživatelům dokonce práci usnadní, pak budou sami od sebe nakládat s privátními údaji bezpečně a dodržovat bezpečnostní procesy.
A přesně k tomu slouží nástroje na správu hesel, které zajišťuji bezpečnost a zároveň pohodlné použití a i sdílení v rámci týmu.

Správce hesel

Správce hesel neboli trezoru je nástroj, který uživatelům umožňuje bezpečně ukládat a spravovat hesla. Uložení hesel může být lokální nebo centrální v nějakém online úložišti nebo cloudové aplikaci. Díky centralizaci je pohodlnější sdílení nejen v rámci různých zařízení jednoho uživatele, ale i mezi uživateli. Při práci v týmu pak je jednoduší změna hesla sdíleného účtu. (I když ideální je účty nesdílet)

Funkce manegera hesel

Co by měl umět dobrý správce hesel?

  • šifrování údajů, bezpečnost
  • centrální ukládání
  • dobrá použitelnost
  • vyhledávání v účtech
  • integrace
  • generování hesel
  • sdílení: moje zařízení, tým

Linux a správce hesel

Správce hesel je v Linuxu léta běžná věc. Pro prostředí KDE existuje KWallet a pro GNOME GNOME Keyring.

Sám jsem léta používal KWallet, ten používá lokální uložení, proto není možné sdílení mezi zařízeními. A právě sdílení mezi zařízeními se hodí, když dneska mám více počítačů a také telefon, který je dneska plnohodnotným pracovním zařízením.

Existující řešení pro správu hesel

LastPass

Správce hesel LastPass má tyto vlastnosti:

  • Úložiště online
  • Podpora různých prohlížečů
  • Různé OS
  • Licence: Freemium

Enpass

Správce hesel Enpass má tyto vlastnosti:

  • Ukládá šifrovaný soubor do cloudu. Cloud dle vlastní volby.
  • OS: Win, macOS, Linux, Android
  • Licence: Freemium

KeePass

Správce hesel KeePass má tyto vlastnosti:

  • Přístupové údajů jsou lokálně uložena v šifrované databázi
  • pro Windows, Portace: Linux, MacOS, Android
  • Licence: GPL

Opensource

Proč Opensource? Aplikace, která nemá zdrojový kódu se nedá zkontrolovat a tak u ní nikdy nebude jistota, že je bezpečná a dokonce v takovém softwaru může být tzv. backdoor (zadní vrátka). Čili jedinou možnou volnou je program, který je Opensource.

Správce hesel Bitwarden

Bitwarden je opensource správce hesel, který splňuje všechny požadované funkce jak na pohodlí tak na bezpečnost.

správce hesel bitwarden

Bitwarden má tyto vlastnosti:

  • Centralizovaný
  • Client-server architektura
  • Můžete mít vlastní server
  • Opensource license: GNU GPLv3 a AGPLv3

Bitwarden má tyto funkce:

  • Generování hesel
  • Správa účty s hesly
  • Sdílení v rámci skupin (firmy)
  • Two-factor authentication (2FA)
  • Command-line tools (CLI)
  • Sdílení v rámci různých zařízení
  • End-to-end šifrování

Pokud jde o bezpečnost uložených hesel. Po ztrátě hesla nejde přístup obnovit, což napovídá, že data jsou uložena na serveru bezpečně. Jedná se totiž o End-to-end šifrování dat, kdy na serveru jsou data uložena šifrovaně a proto k datům se dostane pouze ten kdo zadá správné heslo. Bez master hesla, tak uložené přihlašovací údaje nezískáte.

Další funkce v rámci placené služby:

  • TOTP (Time-based One-time Password) přímo v Bitwardenu
  • Ověření přihlášení do trezoru pomocí HW klíče
  • Analýza slabých, pře-použitých a uniklých hesel

Jak probíhá analýza hesel?

Analýza hesel probíhá následujícím způsobem: Klientská aplikaci vypočítá hash hesla. Půlku hashe odešle na server a služba k němu dohledá z DB příslušné uniklé nebo prolomené hesla. Z bezpečnostních důvodů se nikdy nikam neposílá heslo ani celý hash. Výsledky, které služba vrátí zpět, pak klientská aplikace porovná a při shodě hlásí problém.

Je Bitwarden bezpečný?

Opensource umožňuje bezpečnost a to pomocí kontroly zdrojového kódu. Kód softwaru Bitwarden byl kompletně zkontrolován třetí stranou, ktrerá provádí bezpečnostní audity aplikací. Bitwarden Completes Third-party Security Audit

Platformy

Bitwarden je podporován v následujících aplikací a operačních systémech:

  • OS: Linux, macOS, Windows, Android a další
  • Klienti existují pro: Chrome, Firefox, Android a další

Obrázek s podporovanými platformami:
bitwarden podporované platformy

Sdílení

Jak funguje sdílení hesel? Heslo pro službu založíte na jednom PC a máte ho k dispozici na jiném PC s jiným prohlížečem a také na telefonu s Androidem nebo iOS. Pohodlně se tak můžete přihlašovat na všech zařízeních a používat pro každou službu unikátní velmi složití heslo aniž by jste si ho museli pamatovat.
A právě pokud budete používat složitá hesla a pro každou službu heslo jiní, předcházíte problémům, které vznikají při používání jednoduchého/predikovatelného hesla nebo použití stejného hesla pro různé služby. Když totiž bude mít jedna služba bezpečnostní problém, automaticky to tak je pro vás problém pro všechny vaše účty, kde používáte stejné heslo.

Export, zálohování

Zálohování je věc, která by měla být standardní pro kohokoli, obzvlášť pokud jde o pracovní data. I hesla by jste měli zálohovat!
Z Bitwardenu můžete hesla vyexportovat ve formátu json, což je i lidsky čitelný textový soubor, je tedy ideální k zálohování. V tomto formátu pak půjde i naimportovat do Bitwardenu, případně jej jinak strojově zpracovat.
Zálohu pak ještě zašifrujte pomocí např GnuPG! a uložte na bezpečné místo.

Bitwarden použití

Je možno použít veřejnou instalaci - základní použití je zdarma. A založení je jednoduché a rychlé.
Veřejná instalace je hostována v Microsoft Azure.

Pokud chcete provozovat instanci na vlastním serveru je to možné pomocí Docker kontejnerů.

Takto vypadá web login do Bitwardenu:
web login do Bitwardenu

Správa hesel ve webovém rozhraní Bitwardenu:
Správa hesel ve webovém rozhraní Bitwarden

Integrace Bitwardenu do prohlížeče

Bitwarden login:
bitwarden podporované platformy

Přihlášení do konkrétní aplikace pomocí správce hesel Bitwarden:
bitwarden podporované platformy

Vytvoření spravovaného účtu:
bitwarden podporované platformy

Genrátor hesla, nastavit můžete i požadavky na použité znaky:
bitwarden podporované platformy

Bezpečnost

Na bezpečnost je myšleno všude. Například při použití klientské aplikace na Androidu je blokováno dělání screenshotů.
Export hesel je možný jen po zadání master hesla. Čímž je bráněno zneužití pokud je trezor již odemčen.

Bitwarden přednáška

Další podrobnosti o Bitwardenu se dozvíte v tomto video záznamu přednášky o správci hesel Bitwarden:

Odkazy

bitwarden.com
github.com/bitwarden
haveibeenpwned.com - databáze uniklých účtů s hesly