Bitwarden – darmowy menedżer haseł. Poradnik jak zacząć korzystać

Bitwarden to darmowy i wieloplatformowy menedżer haseł. Ten wpis to szybki poradnik, jak krok po kroku rozpocząć korzystanie z programu.

I – część teoretyczna

Co to jest menedżer haseł i jak działa?

Menedżer haseł to aplikacja, która pozwala trzymać wszystkie hasła w jednym miejscu. Działa jak cyfrowy sejf dla Twoich haseł. Po wpisaniu hasła głównego baza zostanie odblokowana. „Do głównych funkcji menedżerów haseł należą:

• stworzenie bazy loginów i haseł pod jednym hasłem głównym. Baza danych jest zaszyfrowana silnym algorytmem
• generowanie losowych i silnych haseł, każdego unikatowego do danego serwisu
• automatyczne uzupełnianie haseł podczas logowania się do serwisów
• zwiększenie wygody korzystania z Internetu – wystarczy pamiętać tylko jedno hasło

Dlaczego warto używać menedżerów haseł?

Ponieważ Twoje dane prędzej czy później wyciekną z jakiegoś serwisu, na którym założyłeś konto.

Żyjemy w czasach, gdzie zakładanie konta na przeróżnych serwisach jest codziennością.

Od poczty mailowej, banku i platform społecznościowych, po sklepy internetowe, fora dyskusyjne czy strony na których bez założenia konta nie da się pobrać treści cyfrowych. Do tego jeszcze serwisy streamingowe, gry on-line, programy typu Skype…

To wszystko powoduje, że nie jesteśmy w stanie spamiętać tylu haseł. Intuicyjnie w takiej sytuacji zaczynamy zakładać konta, korzystając z jednego lub kilku samodzielnie wymyślonych haseł.

Stosowanie jednego hasła podczas rejestracji na różnych serwisach to proszenie się o kłopoty. Jeśli w wyniku ataku uda się włamywaczowi wykraść bazę danych, odszyfrowanie haseł to już tylko kwestia czasu. Czy Twoje dane już wyciekły możesz sprawdzić np. za pomocą strony Have I Been Pwned. Wystarczy podać swój adres mailowy,

Pamiętacie aferę Morele.net z końca 2018 roku? Wtedy wyciekła im baza 2.5 miliona danych zarejestrowanych tam klientów, wraz z ich mailem i zaszyfrowanym hasłem. Kwestią czasu jest to, kiedy te hasła zostaną przez włamywaczy rozszyfrowane.

Jednak osoby, które korzystały z menedżera haseł podczas rejestracji w tym sklepie internetowym nie muszą się martwić takimi wyciekami.

W jaki sposób wyciekają hasła?

W wielkim skrócie wygląda to tak:

• atakujący pozyskuje bazę danych serwisu czy sklepu internetowego, gdzie wcześniej się zarejestrowałeś i są w niej Twoje dane
• za pomocą programu do deszyfrowania i specjalnie przygotowanego słownika (lub np. metodą „Brute-Force”) rozpoczyna łamać hashe (szyfry) wszystkich haseł z bazy. Czym prostsze i krótsze jest hasło, tym szybciej uda się je złamać
• gdy uda mu się złamać zabezpieczenie kryptograficzne (hash) i pozyskać Twoje hasło, ma już całkiem duże pole do popisu. Może sprawdzić między innymi:
  • czy masz ustawione takie samo hasło na skrzynkę mailową. Jeśli tak, pobiera całą zawartość skrzynki mailowej wraz z załącznikami, która da mu dostęp do kolejnych serwisów gdzie zakładałeś konta
  • sprawdza czy użytkownik o takim loginie i haśle istnieje na portalach społecznościowych (np. Facebook, Instagram) lub np. PayPal, Allegro czy Aliexpress z przypiętą do konta kartą kredytową. Jeśli ma już dostęp do poczty, swobodnie może resetować hasła.
  • może przeszukać Internet pod takim samym loginem w poszukiwaniu serwisów, na których się rejestrowałeś

Jak widzisz, gdyby włamywacz pozyskał hasło, które wcześniej wygenerowałeś przez menedżer haseł Bitwarden, pasowałoby tylko do serwisu, z którego wyciekło. Na nic zdałoby się włamywaczowi. Tutaj właśnie dochodzimy do głównej zalety korzystania z menedżera haseł – Twojego bezpieczeństwa.

Bitwarden: wady i zalety

Zalety programu Bitwarden:

• jest wieloplatformowy – aplikacja działa między innymi na Windowsa, Mac, Linux oraz na smartfonach: Android i iOS
• jest darmowy, a jego kod jest otwartoźródłowy (Open Source)
• automatycznie synchronizuje hasła między urządzeniami
• interfejs jest w pełni spolszczony
• pozwala zalogować się też poprzez stronę internetową
• hasła trzymane są w platformie chmurowej Microsoft Azure
• posiada wtyczki do wszystkich popularnych przeglądarek
• szyfruje hasła silnym algorytmem AES-256 z PBKDF2 SHA-256

Wady programu Bitwarden:

• brak szybkiego skrótu do automatycznego wywołania uzupełnienia hasła
• wymagane są dodatkowe wtyczki do desktopowych przeglądarek
• brak dwuskładnikowego logowania w bezpłatnej wersji
• baza danych przechowywana jest w chmurze, co zwiększa wygodę kosztem prywatności
• płatna wersja kosztuje 10 dolarów rocznie (co i tak czyni go najtańszym z płatnych menedżerów haseł)

Główne zasady korzystania z menedżera haseł Bitwarden

Jeśli postanowisz powierzyć swoje hasła menedżerowi, będziesz musiał wyrobić w sobie kilka nowych nawyków.

Pierwszym z nich jest to, że podczas rejestracji nie wypełniasz hasła z głowy, tylko pozwalasz wygenerować je programowi. Drugi nawyk to nowy sposób logowania już wcześniej zapisanymi w bazie hasłami. Wyrobienie nawyku zasięgania do Bitwardena, który za Ciebie wypełni hasło potrwa kilka dni. Pierwsze 20 logowań może być ciężkie. Później będziesz się zastanawiać: Dlaczego tak późno zacząłem korzystać z menedżera haseł? przecież to takie wygodne! ;-)

Synchronizacja między urządzeniami w Bitwardenie jest bardzo wygodna. Nie ma się co obawiać o utratę pliku, który jest bazą danych – wszystko przechowywane jest w chmurze programu. Ważne, by hasło główne było odpowiednio długie i bezpieczne. O tym w dalszej części poradnika.

II – CZĘŚĆ PRAKTYCZNA – Bitwarden w praktyce

Pobieranie i instalacja Bitwarden na urządzenia stacjonarne (desktop)

Program polecam pobrać wprost z oficjalnej strony projektu. Mamy pewność, że jest to oryginalna, niezmodyfikowana aplikacja.

Program jest wieloplatformowy: działa na Windowsie, Lunuxie i MacOS. W tej części poradnika pokażę pierwsze kroki na aplikacji dla Windows.

Po uruchomieniu wyświetli nam się ekran powitalny:

Zakładanie konta w Bitwarden

Możemy teraz przejść do zakładania konta. Wybieramy w tym celu „Utwórz konto„. Na kolejnej podstronie wypełniamy zgodnie z prośbą programu:

• adres e-mail – będzie Twoim loginem do konta. Używać go będziesz zawsze, gdy chcesz się zalogować. Gdy zapomnisz hasła, będzie niezbędny przy jego odzyskaniu.
• hasło główne – najważniejsze hasło, którym będziesz logować się do bazy wszystkich haseł. Zadbaj o to, by hasło nigdy nie było wcześniej używane oraz było odpowiednio długie.
• podpowiedź do hasła głównego – nie jest wymagana, choć opcjonalna.

Po wypełnieniu prostego formularza program jest gotowy do działania. By zacząć korzystać z programu nie jest wymagane kliknięcie w odnośnik z maila. Jednak by korzystać ze wszystkich funkcji bezpieczeństwa Bitwarden, powinieneś zalogować się przez stronę www i w sekcji „Zweryfikuj adres e-mail” poprosić o wysłanie wiadomości.

Zalecenia odnośnie wyboru hasła głównego

Według zaleceń FBI z początku 2020 roku (źródło tutaj), bezpieczne hasło to takie, które ma minimum 15 znaków.

Najlepiej, gdyby hasło było niesłownikowe, czyli zawierało dowolny ciąg znaków z wykorzystaniem cyfr, wielkich liter i znaków specjalnych, np. „e$Xv63,F[a!?.Qx”. Oczywiście takie hasło jest trudno zapamiętać – trzeba je wykuć na blachę. Pozwala jednak omijać słownikowe metody łamania hashy.

Z pomocą przychodzi inna metoda, dużo prostsza dla naszych mózgów. Wystarczy, że złączysz 4-5 słów, które razem stworzą długie hasło. Na przykład „WokółGrafikiToFajnyBlog”. Takie hasło jest znacznie bardziej proste do zapamiętania, a równie bezpieczne.

Dla porównania entriopia dwóch wyżej zaproponowanych haseł (wyższa – silniejsze hasło):
e$Xv63,F[a!?.Qx – entriopia 93.91 bitów
WokółGrafikiToFajnyBlog – entriopia 103.60 bitów

Jak widzisz na powyższym przykładzie, trudniejsze do złamania będą hasła które są po prostu dłuższe, niż bardziej skomplikowane, ale krótsze.

Pamiętaj, by ze względów bezpieczeństwa mieć w głowie minimum 2 hasła: do swojej poczty e-mail oraz do menedżera haseł.

Bitwarden: omówienie ustawień programu

Przygodę z menedżerem haseł warto zacząć od zerknięcia w ustawienia. Wywołujemy je z górnego menu „Plik” -> „Ustawienia”. Zmiana standardowych ustawień jest bardzo istotna ze względów bezpieczeństwa dostępu oraz komfortu korzystania na co dzień z programu.

Omówmy najważniejsze z ustawień:

• Czas automatycznego blokowania – to ważne ustawienie, które decyduje o tym, kiedy baza danych zostanie zablokowana. Zalecam wybrać jakiś czas, w zależności od otoczenia w jakim się znajdujemy. Jeśli pracujesz w domu na komputerze stacjonarnym, do którego dostęp masz tylko Ty, możesz wydłużyć czas blokowania. Zwiększy to komfort i wygodę korzystania z programu.
  Logując się w pracy na laptopie lub w miejscach gdzie rotacja jest duża, zalecam ustawienie opcji „1 minuta” lub „po bezczynności przez 5 minut”. Pamiętaj, by odchodząc od komputera po krótszym czasie, zablokować program (skrót Ctrl + L). Odchodząc od komputera warto również wywołać blokadę ekranu skrótem Windows (klawisz flagą) + L.
• Odblokuj kodem PIN – jeśli aktywujesz tę opcję to po pierwszym zalogowaniu się do programu, gdy minie okres ustawiony w „Czas automatycznego logowania” wystarczy, że podasz PIN, by odblokować aplikację. PIN-u możesz używać tak długo, aż nie wyłączysz aplikacji. Jest to bardzo wygodna opcja, jeśli na danym stanowisku pracujesz tylko Ty.
• Wyczyść schowek – domyślnie login użytkownika lub hasło kopiowane są do systemowego schowka. W celu zachowania bezpieczeństwa zalecam ustawienie limitu, po którym schowek się wyczyści. Optymalną wartością będzie 10 lub 20 sekund.
• Wyłącz ikony stron – program pobiera miniaturki stron, by wzrokowcy szybciej znaleźli w bazie poszukiwany serwis. Konfiguracja wedle uznania.
• Włącz ikonę w zasobniku systemowym – po zaznaczeniu tej opcji program Bitwarden zacznie pojawiać się w tzw. trayu (małe ikonki koło zegara). Zalecam włączenie tej opcji, razem z „Minimalizuj do zasobnika systemowego” oraz „Zamknij do zasobnika systemowego”. To pozwoli na ciągłą pracę aplikacji.
• Motyw – można zmienić motyw z jasnego na ciemny lub „nord”, czyli ciemno-granatowy. Wedle uznania.

Pamiętaj, by po instalacji kolejnej wersji aplikacji zawsze zacząć od konfiguracji ustawień na takie, które według Ciebie są bezpieczne i komfortowe w użytkowaniu.

Interfejs programu Bitwarden

Interfejs programu można podzielić na 3 części. Podczas używania przemieszczamy się od sekcji A do C.

• Sekcje kategorii (A) – znajdują się w niej kategorie wpisów. Można dzielić je na rodzaje oraz foldery. Przykład jak może to wyglądać jest na powyższym zrzucie ekranu. Polecam rozpocząć od utworzenia kilku kategorii, by wygodniej katalogować swoje hasła.
• Sekcja wpisów (B) – wyświetla się w niej lista dodanych wpisów wraz z wyszukiwarką
• Sekcja edycji i informacji o elemencie (C) – wyświetla szczegółowe dane na temat wybranego wpisu lub formularz dodania nowego

Jak możesz zauważyć, program wyróżnia 4 rodzaje elementów, które można zapisać:

• Dane logowania – czyli pole do zapisywania loginów i haseł. Omówimy je w kolejnym rozdziale.
• Karta – umożliwia zapisanie danych kart kredytowych różnych wydawców,
• Tożsamość – służy do zapisywania informacji o danych osobowych, np. swoich danych czy członków rodziny. Prezentowane są one w przejrzysty sposób.
• Bezpieczna notatka – to miejsce na dowolne notatki, które program zaszyfruje

Dodawanie nowego wpisu do bazy Bitwarden

Proces dodawania hasła za pomocą aplikacji desktopowej przedstawiam na poniższym filmie:

WIDEO: Tworzenie nowego wpisu w bazie Bitwarden

Po wybraniu opcji Plik -> Synchronizuj sejf baza zostanie zaszyfrowana i wysłana na serwery Bitwarden w celu współdzielenia na inne urządzenia.

Integracja Bitwarden z przeglądarką internetową

Znacznie wygodniejszą opcją niż używanie aplikacji systemowej będzie zintegrowanie menedżera haseł z Twoją przeglądarką na laptopie. Przecież to właśnie za jej pomocą wprowadzasz prawie wszystkie hasła oraz zakładasz nowe loginy w sieci.

Po zainstalowaniu wtyczki nie będziesz musiał używać zewnętrznej aplikacji Bitwarden na komputery stacjonarne. Możesz być jednocześnie zalogowany na wielu urządzeniach – nie ma to znaczenia dla funkcjonalności. Wszystko jest synchronizowane w chmurze menedżera haseł.

Bitwarden w swoją wtyczkę zaopatrzył najpopularniejsze przeglądarki. Oto nazwy przeglądarek, wraz z odnośnikiem kierującym wprost do wtyczki:

• Google Chrome
• Mozilla Firefox
• Opera
• Microsoft Edge

Wszystkie wtyczki mają niemal identyczny interfejs i sposób działania. W Google Chrome wystarczy po przejściu na stronę wtyczki wybrać „Dodaj do Chrome” a następnie „Dodaj rozszerzenie”. Od teraz z prawej strony pasku adresu będzie pojawiać się ikonka z tarczą – sygnetem Bitwarden. Wystarczy w nią kliknąć i się zalogować.

Zakładanie nowych kont z bezpiecznym hasłem oraz logowanie się

Wtyczkę w akcji przedstawię na dwóch kolejnych filmach.

WIDEO: Logowanie się na stronę za pomocą wtyczki Bitwarden dla Google Chrome

W tym przykładzie wpis w bazie danych został już wcześniej utworzony. Wtyczka automatycznie rozpoznaje czy w bazie jest już założone konto dla takiej witryny, analizując adres strony internetowej.

Jest to też swego rodzaju zabezpieczenie przez phishingiem, czyli np. fałszywymi stronami udającymi bramki płatności jak PayU czy Przelewy24. Jeśli dodasz do bazy Bitwarden swój login i hasło do banku, a chcąc zalogować się nie zobaczysz go w sekcji Autouzupełnianie, prawdopodobnie trafiłeś na stronę podającą się fałszywie za Twój bank.

WIDEO: Automatyczne generowanie hasła i dodanie wpisu do bazy podczas rejestracji w serwisie www

Opis tekstowy procedury podczas rejestracji:

1. Przed wypełnianiem formularza zaloguj się we wtyczce Bitwarden podając hasło lub PIN, w zależności od skonfigurowanych przez Ciebie ustawień bezpieczeństwa
2. Podczas wypełniania pola z hasłem kliknij prawym przyciskiem myszy. Z menu wybierz Bitwarden -> Generuj hasło (do schowka). Wtyczka wygeneruje bezpieczne hasło i automatycznie je skopiuje do schowka.
3. Wklej hasło w formularz (skrót Ctrl + V lub prawy przycisk myszy -> wklej)
4. Po wysłaniu formularza z danymi rejestrującymi, na górze strony Bitwarden zapyta, czy zapisać ten login i hasło w bazie. Kliknij „Tak, zapisz” by dodać nowy wpis. Następnie upewnij się, że został dodany poprawnie.
5. Od tej pory możesz się już logować na dowolnym urządzeniu.

Bitwarden na smartfonie

W czasach w których żyjemy coraz częściej się zdarza, że smartfona używamy więcej niż laptopa. Programiści pracujący nad Bitwarden przygotowali aplikację na Androida oraz iOS. Są one bardzo przyjemne w obsłudze.

• Aplikacja dla Androida do pobrania z Google Play
• Aplikacja dla iOS do pobrania z App Store

W dalszej części pokażę jak skonfigurować aplikację dla systemu Android.

Konfiguracja Bitwarden dla Android

Aktywujemy autouzupełnianie

Po uruchomieniu aplikacji widzimy podział na 3 bloki: Sejf, Generator i Ustawienia.

Aby w pełni wygodnie korzystać z aplikacji, należy aktywować usługę automatycznego wypełniania formularzy logowania. Aktywację tej opcji znajdziesz w sekcji Ustawienia -> Usługa autouzupełniania. Następnie wybieramy na dole Otwórz ustawienia autouzupełniania i wybieramy z listy Bitwarden.

Następnym krokiem jest aktywacja Usługi ułatwienia dostępu. W sekcji Ustawienia -> Usługa ułatwiania dostępu wybieramy Otwórz ustawienia ułatwienia dostępu. Przejdź do okna Zainstalowane usługi i aktywuj je dla Bitwarden.

Aby powiadomienia programu wyświetlały się „nad aplikacjami” należy aktywować ułatwienia dostępu. Wybierz Otwórz uprawnienia aplikacji i w sekcji ustawień Aplikacje na wierzchu zezwól na uprawnienie dla Bitwarden.

Usługa autouzupełniania Bitwarden wykorzystuje funkcje Androida, aby wypełniać dane logowania np. podczas surfowania po przeglądarkach internetowych na smartfonie. Aplikacja będzie widzieć zawartość Twojego ekranu we wszystkich aplikacjach, w celu określenia co można wypełnić automatycznie.

Po aktywowaniu tych opcji, gdy wejdziesz na stronę WWW i wybierzesz pole formularza, zobaczysz usługę autouzupełniania Bitwarden. Tapnij w okienko „Autouzupełnij z Bitwarden”, aby otworzyć Twój sejf.

WIDEO: Logowanie się na stronę za pomocą aplikacji Bitwarden dla systemu Android