Jaki darmowy menedżer haseł zasługuje na uwagę? Zdecydowanie jest to Bitwarden.
Bitwarden występuje w wersji płatnej, ale też w bezpłatnej – jako Bitwarden Personal Free. Oferuje wtedy nielimitowaną ilość haseł na nielimitowanej liczbie urządzeń. Do tego zyskujemy wszystkie podstawowe funkcje. W wersji Premium kosztuje natomiast 10 dol. na rok – czyli bardzo mało. Wówczas otrzymujemy jeszcze zaawansowane uwierzytelnianie dwuetapowe (2FA), raporty ds. bezpieczeństwa oraz funkcję Bitwarden Authenticator.
Menedżer haseł Bitwarden jest bezpieczny
O tym, czy menedżer haseł Bitwarden jest bezpieczny, pisaliśmy już na Vault-Tech.pl kilka miesięcy temu. Podtrzymujemy tę opinię.
Bitwarden oferuje m.in. szyfrowanie typu end-to-end. W pełni szyfruje wszystkie dane, zanim opuszczą one twoje urządzenie.
Co więcej, tylko ty masz do nich dostęp – nawet specjaliści z Bitwarden nie są w stanie odblokować twoich chronionych danych. Jednocześnie menedżer haseł stosuje silne szyfrowanie AES-256 bit, a także zabezpieczenia PBKDF2 SHA-256 i salted hashing.
Salted hashing – co to takiego?
Salted hashing to technika kryptograficzna stosowana w celu zwiększenia bezpieczeństwa przechowywania haseł. Zasada działania tej metody polega na dodaniu losowego ciągu znaków, zwanego solą (ang. salt), do hasła przed jego zahashowaniem.
Jak to działa krok po kroku:
- Generowanie soli. Na początek generowany jest losowy ciąg znaków, zwany solą
- Łączenie hasła i soli. Następnie sól jest dodawana do hasła użytkownika. Może być ona dodana na początku, na końcu lub w jakimś innym miejscu hasła
- Hashowanie. Po połączeniu hasła z solą, wynikowy ciąg znaków jest przekształcany za pomocą funkcji hashującej w skróconą, niemożliwą do odwrócenia reprezentację oryginalnego hasła
- Przechowywanie hasła i soli. Skrócona postać hasła (hash) wraz z używaną solą jest przechowywana w bazie danych. Sól musi być przechowywana razem z hashem, aby można było później zweryfikować hasło podane przez użytkownika
Kiedy użytkownik próbuje się zalogować, wprowadza swoje hasło, które jest ponownie łączone z solą i hashowane tą samą funkcją hashującą. Jeśli wynikowy hash zgadza się z hashem przechowywanym w bazie danych, oznacza to, że użytkownik wprowadził poprawne hasło.
Salted hashing znacząco zwiększa bezpieczeństwo przechowywanych haseł, ponieważ nawet jeśli dwóch użytkowników używa tego samego hasła, ich hashe będą różne ze względu na różne sole.
PBKDF2 SHA-256 – co to takiego?
PBKDF2 to skrót od „Password-Based Key Derivation Function 2”, a SHA-256 to skrót od „Secure Hash Algorithm 256-bit”.
PBKDF2 jest funkcją kryptograficzną, która służy do wyprowadzania kluczy kryptograficznych z hasła. Jest to standard opisany w dokumencie RFC 2898. PBKDF2 jest często stosowany do bezpiecznego przechowywania haseł, ponieważ pozwala na wydłużenie czasu potrzebnego na wygenerowanie klucza, co pomaga chronić przed atakami brutalnej siły (brute-force attacks).
SHA-256 jest jednym z algorytmów hashujących z rodziny SHA-2 i produkuje hash o długości 256 bitów. Jest powszechnie stosowany ze względu na swoją odporność na ataki (tj. trudność w znalezieniu dwóch różnych wiadomości, które mają ten sam hash) oraz szybkość działania.
Kiedy mówimy o PBKDF2-SHA-256, mamy na myśli użycie PBKDF2 w połączeniu z algorytmem hashującym SHA-256. W praktyce oznacza to, że PBKDF2 używa funkcji hashującej SHA-256 w swoim procesie wyprowadzania klucza.
Bitwarden nie przechowuje twoich haseł
Gdzie Bitwarden przechowuje hasła? Okazuje się, że aplikajca wcale tego nie robi.
Bitwarden przechowuje jedynie zaszyfrowane wersje twoich haseł, które tylko ty możesz odblokować. Twoje poufne informacje są szyfrowane lokalnie na twoim urządzeniu osobistym, zanim zostaną przesłane na serwery w chmurze Bitwardena.
Możesz zaufać aplikacji. Jest używana przez miliony osób i firm. „Gdybyśmy zrobili coś wątpliwego lub ryzykownego, wypadlibyśmy z interesu!” – informuje firma w swojej dokumentacji technicznej.
Menedżer haseł Bitwarden jest też oprogramowaniem o otwartym źródle, co oznacza, że jego kod źródłowy jest dostępny publicznie. Dzięki temu niezależni eksperci i społeczność mają możliwość przeglądania i oceny kodu pod kątem bezpieczeństwa i jakości. Aplikacja regularnie przechodzi też audyty bezpieczeństwa realizowane przez niezależne firmy.
Sprawdź też: Co różni bazę danych od blockchain?