Über Bitwarden haben wir schon mehrfach berichtet in unserem Blog. Mit Bitwarden verwalten wir in der Satzkiste unsere Passwörter; sowohl die persönlichen als auch die, die die wir mit anderen teilen.
Was schreibt die Wikipedia:
„Bitwarden ist ein kostenloser Open-Source-Dienst zur Verwaltung von Passwörtern, der vertrauliche Informationen, wie z. B. Anmeldedaten für Websites, in einem verschlüsselten Tresor speichert. Die Plattform bietet eine Vielzahl von Client-Anwendungen, darunter eine Weboberfläche, Desktop-Anwendungen, Browser–Erweiterungen, mobile Anwendungen… . Bitwarden bietet einen kostenlosen US-amerikanischen oder europäischen Cloud-gehosteten Dienst sowie die Möglichkeit zum Selbst-Hosten.“
https://en.wikipedia.org/wiki/Bitwarden
Wir hosten unseren Tresor natürlich selbst, obwohl auch, wie beschrieben, eine europäische Cloud angeboten wird. Aber sicher ist sicher!
Was bedeutet das im Alltag?
Jeder Kollege und jede Kollegin hat mit dem Tresor die Möglichkeit, eigene Passwörter nicht mehr auf Zettel zu schreiben und zu verwalten. Stattdessen nutzen wir den Tresor unter einer eigens eingerichteten Domain. Das Passwort zu dieser Website ist somit das einzige, das man sich merken muss, alle anderen stehen in „Bitwarden“.
Unter dieser Website verwaltet man nun seine Passwörter zu Webseiten, Benutzerkonten oder ähnliches.
Man kann auch Kreditkarten-Informationen oder andere sensible Daten wie IBAN-Nummern sicher aufbewahren.
Der Zugriff auf diese meine Zugangsdaten ist auf viele Arten möglich. Am häufigsten nutze ich wahrscheinlich das Browser-PlugIn. Dieses stellt Bitwarden für alle gängigen Browser zur Verfügung.
Komme ich auf eine Website, für die Bitwarden Zugangsdaten kennt, wir dies im Browser angezeigt.
Damit Bitwarden weiß, zu welcher Website der jeweilige Eintrag gehört, bietet das Browser-PlugIn den Befehl „Auto-Ausfüllen und speichern“ an. Befindet man sich auf einer Website mit Anmeldemaske und hat im Browser-PlugIn den richtigen Eintrag gefunden, klickt man auf „Auto-Ausfüllen und speichern“ und Bitwarden macht zwei Dinge. Zum einen trägt es Benutzername und Passwort in Anmeldefelder ein und zum anderen merkt es sich diese URL für diese Anmeldedaten. Wenn du das nächste mal auf diese Website kommst, schlägt dir Bitwarden diese Anmeldedaten direkt vor.
Verifizierungscodes, Passkeys und der ganze Rest
Natürlich unterstützt Bitwarden alle neuen Verfahren zur Absicherung dieser Zugangsdaten.
„Verifizierungscodes“ oder „TOTP“: Das steht für „Time-based One-time Password“. Dabei handelt es sich um einen Verfahren für die Zwei-Faktor-Authentifizierung.
„Passkeys“ sind die neueste Methode, um sich sicher im Internet anzumelden. Sie schließen ein paar Sicherheitslücken, die mit Benutzername und Passwort entstehen. Noch unterstützt nicht jeder Dienst und jede Website dieses Verfahren; aber es kommen jeden Tag neue dazu. Mehr dazu gibts beim BSI nachzulesen.
Zugangsdaten mit anderen Personen teilen
Seinen besonderen Charme spielt Bitwarden aus, wenn es darum geht, Zugangsdaten zu teilen.
Es gibt innerhalb eines Teams immer wieder Zugangsdaten, die geteilt werden müssen. Zugriff auf zentrale Systeme, Dateien und so weiter. Klar, diese kann man in ein Word-Dokument speichern, und zentral ablegen. Aber was, wenn das Passwort geändert wurde? Denkst du daran, dieses auch im Word-Dokument zu aktualisieren? Hat jede Person zu jedem Zeitpunkt Zugang zu diesem Word-Dokument? Ist es sicher aufgehoben und ist nicht im Zugriff für die falschen Leute?
All diese Fragen beantwortet Bitwarden! Ändere Das Passwort zentral im Tresor, stelle feingranular ein, wer auf dieses Passwort zugriff hat und wer auf das andere. Und „TOTP“ können über ein Word-Dokument überhaupt nicht verwaltet werden.
Dateien und Informationen sicher versenden
Als kleines „Gutsle“ bietet Bitwarden noch die Funktion „Send“ an.
Dateien mit bis zu 500 MB Größe können damit „verschickt“ werden. In Wahrheit handelt es sich nur um einen Downloadlink, der zum Beispiel an Kunden verschickt wird. Das Besondere dabei ist, dass die Empfängerin einen sicheren, weil Passwort-gesicherten Zugang zum Download erhält. Das Passwort vergebe ich, als Versender und gebe es schlauerweise nicht per E-Mail sondern per Telefon weiter.
Zudem kann ich als Ersteller zwei Verfallsdaten angeben. Einmal, das Datum, an dem der Link nicht mehr funktioniert und einmal das Datum, an dem die Datei vom Server gelöscht wird. Zwei wichtige Sicherheitskriterien.
Und das kann ich alles machen, ohne einen FTP-Server betreiben zu müssen und mit wenigen Mausklicks.
Ich nehme an, dass man zwischen den Zeilen herauslesen kann, dass ich ein riesengroßer Fan von Passwortmanagern im Allgemeinen und Bitwarden im Besonderen bin. Die in einer sicheren europäischen Cloud liegenden Lösung ist für sehr kleine Teams eine tolle und sichere Lösung. Die Option des Selbst-Hostings ist für Firmen ideal.
Christoph Steffens
