Bitwarden introduceert Send-dienst voor versleuteld delen van tekst en bestanden

Bitwarden introduceert zijn Send-dienst. Hiermee kunnen gebruikers 'gevoelige informatie' zoals wachtwoorden of documenten versleuteld met elkaar delen. De dienst ondersteunt ook bestanden tot 100MB. Send komt gratis beschikbaar voor alle Bitwarden-gebruikers.

Bitwarden Send is vergelijkbaar met andere diensten voor het delen van bestanden, zoals Firefox Send, dat vorig jaar werd stopgezet door Mozilla. Bitwarden-gebruikers kunnen via de Send-functie tekst invullen of een bestand van maximaal 100MB uploaden, waarna deze wordt versleuteld en opgeslagen. De ontvanger krijgt een link waarmee hij of zij de inhoud kan bekijken. Om informatie via Send te versturen, dienen gebruikers een account aan te maken. De ontvanger heeft geen account nodig. De functie is beschikbaar via alle Bitwarden-clients.

De verzender kan onder andere een wachtwoord instellen om toegang tot de inhoud te beveiligen. Gebruikers kunnen daarnaast aangeven tot wanneer de Send-link bruikbaar moet zijn en op welk tijdstip de link permanent verwijderd dient te worden. Bitwarden-gebruikers kunnen gedeelde Send-url's na publicatie ook tijdelijk onbereikbaar maken en beperken hoe vaak de link geopend kan worden.

Volgens Bitwarden is de functie onder andere geschikt voor het delen van inloggegevens. In een begeleidende video toont Bitwarden hoe een bedrijf de Send-functie kan gebruiken om het wachtwoord van een zakelijk Twitter-account te delen met een medewerker. De functie is beschikbaar voor alle Bitwarden-gebruikers; ook gebruikers zonder abonnement kunnen de functie zonder beperkingen gebruiken.

Door Daan van Monsjou

Redacteur

12-03-2021 • 15:19

60 Linkedin

Reacties (60)

Wijzig sortering
Ben benieuwd of dit ook naar Bitwarden_RS komt voor diegene die bv. thuis hun eigen Bitwarden via docker draaien.
Als ik dit zo lees gaat de auteur van Bitwarden_RS het in ieder geval proberen: https://github.com/dani-g...46#issuecomment-796966385
Als het in de client zit zoals in het artikel staat, dan maakt het dus niet uit of je bij BW zit of self hosted.
Bitwarden_RS is alleen niet de officiele self-hosted client van Bitwarden. Maar een nagemaakte client, waarmee je gratis toegang krijgt tot de (meeste) premium features.
Bitwarden_RS is de herimplementatie van de server, niet de client.
Specifiek is het een implementatie van de backend server. Voor de webinterface (frontend, maar eigenlijk ook een client) wordt nog steeds code van Bitwarden gebruikt.
Tenzij je ook een onofficiele client gebruikt zoals de Rust CLI implementatie rbw https://github.com/doy/rbw
Bitwarden_RS is een herschreven versie van de server, niet van de client. De client die je gebruikt is de officiele versie.
Ja ik ook! Ook benieuwd hoe dat dan zou werken, gezien mijn bitwarden_rs intern draait en niet van buiten af benaderbaar is.
lijkt me duidelijk dat je dan op zijn minst een portal naar buiten toe toegankelijk moet maken
of via een vpn (en dan werkt het dus ook alleen voor andere vpn gebruikers)
De developer van bitwarden_rs heeft aangegeven dat hij er zelf interesse in heeft een gaat er aan werken. Met een beetje geluk na het weekend of anders die daarna zou het in de`testing` release kunnen zitten.
Deels gerelateerde vraag: ik heb sinds vorige week Bitwarden op PC en Android geinstalleerd. Op PC is de werking duidelijk; op smartphone snap ik het niet goed: als ik op een website wil inloggen, moet ik dan steeds de Bitwarden app openen, hier het paswoord copieren, en dan dit pasten in de website? Want da's wel héél wat extra werk.
Nee, waarschijnlijk staat de Automatisch aanvullen optie dan nog op Uitgeschakeld. Als je de bitwarden app opent en dan naar Instellingen gaat is dat bij mij de bovenste optie.
Op sommige toestellen is dit inderdaad standaard uitgeschakeld en moet je het handmatig toestaan. Dit kan via de instellingen.
als je het goed doet komt automatisch een bitwarden veldje zichtbaar als je begint te typen in een login of wachtwoord venster. Door er op te klikken start bitwarden en vult het de gegevens in.

Op Windows werkt het een stuk minder, als ik een toepassing start, moet ik manueel Bitwarden openen en daar de gegevens gaan zoeken en dan plakken, iets wat sommige andere wachtwoordbeheerders wel kunnen.
Instellingen>wachtwoorden>vul automatisch in, en dan de ww-app toevoegen, is het in iOS.

[Reactie gewijzigd door Mel33 op 12 maart 2021 18:42]

Via mijn Samsung zit dat achter mijn vingerafdruk. Als Bitwarden de inlog herkent verschijnt er een pop up om Bitwarden te openen via vingerscan. Dan op de account klikken en het wordt ingevuld.
Ha ik heb ook een Samsung, dat moet ik eens bekijken dan. Bedankt!
Niet om een flame war te starten (verre van) maar man wat is face id in dit voorbeeld echt een toegevoegde waarde. je bent toch al naar het scherm aan het kijken, je klikt op automatisch aanvullen in de popup, face id, en je bent ingelogd.
Scherm ontgrendelen daarentegen had ik liever via vingerafdruk
Bij de opties moet je automatisch aanvullen nog aanzetten waarschijnlijk.
Wat nu precies de toegevoegde waarde van het voorbeeld in het filmpje?

Ipv het wachtwoord via de messenger stuur je nu een URL via die messenger die je dan kan openen zonder password.

Toegevoegde waarde zou kunnen zijn als je wel een password instelt en dat via een ander medium verstuurd maar dat maakt het weer minder gebruiksvriendelijk. Ik zie hem niet eigenlijk...
Ja het voorbeeld is echt totally useless.

Je stuurt nu nog steeds onveilig een wachtwoord maar dan via een URL die niet beveiligd is met een wachtwoord of 2de factor.
Het verstuurde wachtwoord wordt echter niet persistent weergegeven

in real time communicatie heb je hiermee echt een minimale attack vector, namelijk een link die maar 1 keer werkt
als de ontvanger in het voorbeeld had gereageerd met: ik kan het wachtwoord niet zien, weet je meteen dat er iets niet klopt.

Ik vind dit een sublieme toevoeging persoonlijk
En wanneer je dan ook nog eens niet weet voor wie en wat dat (hopelijk complexe) wachtwoord is kom je ook niet zo ver.
nee je kunt een wachtwoord instellen zodat indien je het linkje toegezonden krijgt nog altijd een wachtwoord nodig hebt.
De inhoud van de link zal na 1 uur gewist worden en kan maar 1 keer bekeken worden. Als je een wachtwoord via een chat of email stuurt blijft het daar sowieso langer, of zelfs voor altijd, staan.
Op deze manier is het maar beperkt toegankelijk.
De inhoud van de link zal na 1 uur gewist worden en kan maar 1 keer bekeken worden. Als je een wachtwoord via een chat of email stuurt blijft het daar sowieso langer, of zelfs voor altijd, staan.
In Signal (en ik geloof nu ook WhatsApp) kan je een tijdslimiet zetten op berichten. De client van de ontvanger verwijdert het bericht daarna.

En als de ontvanger een gemodificeerde client draait die het niet verwijdert... Dezelfde ontvanger kan ook het ontvangen wachtwoord in een tekstbestandje ergens opslaan.
Daar heb je zeker een punt, maar niet iedereen heeft signal, en op deze manier kan je mensen wachtwoorden veilig(er) doorsturen zonder dat ze er een speciale app voor moeten installeren of dergelijke.
Ik denk dat het voorbeeld misschien niet zo handig is gekozen om het product te promoten bij gebruikers die meer aandacht hebben voor gemak. Vanuit veiligheid zijn er verschillende omstandigheden te bedenken dat dit beter zou zijn om iets uit te versturen maar zelfs dat is speculeren zonder genoeg informatie.
Misschien val je niet binnen hun doelgroep?
Of dat de link maar éénmalig geopend kan worden en dat deze na een uurtje helemaal niet meer bestaat...
Zo is deze "breach" een kort leven beschoren.
Ik heb begrepen dat de clipboard soms ook uitgelezen kan worden op sommige platformen. Is dit dan nog wel zo veilig?
Hiermee wil ik niet zeggen dat bitwarden dit moet oplossen, maar is het bovenstaande niet de volgende zwakke schakel?
Dit hou je toch sowieso, met elke wachtwoord manager?
De meeste password managers overschrijven het clipboard na X seconde weer met een lege waarde. Het is niet helemaal waterdicht maar het helpt een hoop. Clipboard history in Windows is een ander verhaal, ik raad aan die sowieso uit te zetten.
Ja dat is wel een goede tip trouwens.
Zojuist even geprobeerd met KeePass. Mijn wachtwoord verschijnt niet in de clipboard history van Windows. Wel kan ik 'm een aantal seconden (12 bij mij, kan je instellen) gewoon plakken. Vervolgens wordt het klembord geleegd. De clipboard history wordt niet geleegd, maar daar staat het wachtwoord dus niet in.

Edit: Een kort Googlezoekje geeft aan dat dit sinds keepass 2.41 is ingebouwd.

[Reactie gewijzigd door e.dewaal op 12 maart 2021 16:45]

Nee want de meesten vullen het gewoon in via een browser-plugin.
iOS geeft tegenwoordig meldingen als een app je klembord leest, vind dat wel slim!
Uiteraard is dat een zwak punt, maar het is niet het punt dat hier opgelost wordt. Op deze manier heb je in elk geval niet je gevoelige data ook in de history van je chat staan.
Als het zo sensitief is dat het van je clipboard gestolen worden een reëel risico is kun je het altijd beveiligen met een wachtwoord en dat via een ander kanaal sturen.

Bitwarden ondersteunt wel het clearen van je clipboard na ingestelde tijd voor het kopiëren van wachtwoorden :)
En waarom kan ik deze dienst blind vertrouwen? Dat vraag ik mij altijd af met dit soort online diensten.
Omdat je ervoor betaalt én omdat hun code open source is en ook audited.
Open source kan ook een reden zijn dat het minder veilig is. Ook hackers kunnen de broncode bekijken volgens mij. Misschien kunnen ze er dan niks mee.
Security by obsecurity heeft nooit, maar dan ook nooit gewerkt.

Laat me uitleggen: De kans dat je een exploit vind is groter, want het is makkelijker. Maar, omdat het makkelijk is zullen veel meer mensen het ontdekken, en zal het dus gepatched worden. Bij iets als MS Windows, zat een exploit van XP tot Win10 (eternal blue / wannacry) simpelweg omdat de NSA het ontdekt had, en het toen niet gerapporteerd had. Toen werd de NSA "gehacked", en daar was de exploit publiek
Geen enkele dienst(of mens) moet je 'blind vertrouwen'.
Je hebt ogen en hersens om te lezen en te onderzoeken of het veilig is.
Blind vertrouwen moet je natuurlijk nooit doen. Maar Bitwarden doet een aantal dingen erg goed, waardoor je ze helemaal niet hoeft te vertrouwen! De server zelf weet namelijk nooit wat er in je bestand staat. Dit kan je zelfs zelf controleren. De source-code van zowel hun apps als server side software staat namelijk online. Je kan in de source-code van de apps controleren dat jouw data op jouw eigen computer goed wordt versleuteld, en dat de sleutels nooit je computer verlaten. Daarna kan je deze apps vanaf de source bouwen en zo zeker weten dat je app alleen geproduceerd is met de code die je hebt ingezien.

Mocht je dit nog steeds niet goed genoeg vinden dan kan je ook vrij eenvoudig zelf de Bitwarden vault hosten, je verliest dan wat gemak, maar je kan (zo goed als) zeker zijn dat niemand aan je data komt!
Heb ook de hele boel overgeheveld naar Bitwarden. Ik vind het top. En nu met dit erbij is het een blijvertje.
Heeft de send functie ook nog genoeg waarde als je moet gaan betalen, of doe je dat al? Want het zal niet voor het eerst zijn dat we iets top vinden omdat het gratis lijkt.
Ik vind MFA en TOTP reden genoeg om te betalen voor Bitwarden.
Voor $ 1,- per maand heb ik het ook gedaan.
Zelfde ervsring, met 1 'maar' ten opzichte van LastPass: bij Android apps is de autofill detectie niet optimaal. LastPass detecteerde en vulde velden volledig automatisch, waar ik bij Biwarden altijd nog los aan moet geven welk account het om gaat (ook al is er maar 1 account voor het betreffende domein). 1 tik extra, dus maar een klein minpunt.

[Reactie gewijzigd door the_shadow op 13 maart 2021 09:07]

Ik heb vaak het idee dat afwijken van de originele missie het begin van (het einde) groeien om het groeien is... Waarom zou een password manager hierin moeten voorzien?
Functionele (groeps)afhankelijkheid creëren, en dan hou/koop je hem misschien wel
De website legt uit dat het bedrijf zich niet richt op alleen password manager zijn maar geld verdienen aan mogelijkheden bieden voor veilige communicatie. Misschien is het handig om dus rekening te houden dat het doel van gratis features aanbieden dan ook al aangepast is. Als een bedrijf commercieler gaat kan het dus zijn dat meer features gratis aanbieden ook meer het doel kan hebben om dat later in geld om te zetten door in te spelen op gemak en afhankelijkheid van die gratis features.
Omdat de paswoorden hierin opgeslagen zijn en je hiermee makkelijk en veilig je wachtwoord kan delen.
Ik vroeg me af of de tekst die je verstuurd end-to-end encrypted is. In het filmpje is dat aan de URL niet te zien, maar heb zojuist even een test send gemaakt. Daar zit een code in de URL achter # (hash) die dus niet naar de server wordt verstuurd. Ik denk dat dat de end-to-end key is. (aanname, verder niet in de code gekeken)

Op een andere client kun je je sends ook terugzien, dus in ieder geval die end-to-end key en misschien ook de text zullen veilig in je password database worden opgeslagen. (ook aanname)
Klinkt oprecht goed. Ik ben wél een beetje bang dat ik meer abbonementsvormen aan voel komen waardoor ook de premium omhoog zal gaan. Niet om negatieviteit te ventileren. Maar ja, er wordt écht ontwikkeld. En waar écht ontwikkeld wordt worden kosten gemaakt.
Goed dat er meer keus komt om email beveiligd te kunnen versturen. Zakelijk wordt dit deels al gedaan als de privacy van belang is. Email is niet direct versleuteld.

Een programma als Proton mail kan zover ik me heb ingelezen hetzelfde. In de praktijk wil het versturen een een zip bestand met sleutel ook afdoende zijn om gegevens redelijkerwijs te beschermen.

Een usb stick heen en weer fietsen is ook een optie trouwens😉.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee