Bitwarden maakt gebruik van fysieke beveiligingssleutels niet langer betaald

Bitwarden maakt het gebruik van tweetrapsauthenticatie via fysieke beveiligingssleutels gratis voor alle gebruikers. Alle beveiliging via FIDO2's WebAuthn-protocol is voor alle gebruikers beschikbaar, terwijl dat eerst deels alleen een betaalde feature was.

Wachtwoordmanager Bitwarden zegt in een blogpost dat alle beveiliging via WebAuthn voortaan 'voor alle gebruikers die inloggen bij Bitwarden beschikbaar is'. Dat houdt ook in dat ondersteuning voor de meeste fysieke beveilgingssleutels, waaronder de Yubikey, voortaan geen premiumfunctie meer is. Bitwarden zegt daarvoor ook het abonnementsmodel te hebben aangepast.

Aanvankelijk moesten gebruikers die een fysieke beveiligingssleutel of een andere hardwaretoken wilden gebruiken een Premium-abonnement hebben op Bitwarden. Dat kost tien euro per jaar. Bitwarden zegt dat het geen enkele restrictie meer wil opleggen aan gebruikers als het gaat om beveiligingsfuncties. Wel blijft de Time-Based One-time Password- of totp-authenticatiecodegenerator een Premium-functie.

Bitwarden verwijst naar alle WebAuthn-authenticatiemogelijkheden. WebAuthn is een beveiligingsstandaard die onder authenticatiemethode FIDO2 valt. De FIDO Alliance wil met WebAuthn een standaard inlogmethode opzetten waarbij hardware kan worden gebruikt voor tweetrapsauthenticatie. Daarvan is de Yubikey de bekendste, maar er zijn er meer, zoals Tweakers in 2020 al testte.

securitykeys

Door Tijs Hofmans

Nieuwscoördinator

28-09-2023 • 18:21

65

Reacties (65)

65
65
45
2
0
18
Wijzig sortering
rens-br Forum Admin IN & Moderator Mobile 28 september 2023 18:25
10 euro per jaar is prima te overzien. Ik gebruik bitwarden al een hele tijd met veel plezier. Dus betaal er graag voor.

Gebruikte eerst LastPass, maar door de prijs verhogingen en de diverse lekken ben ik naar een alternatief gaan kijken.

[Reactie gewijzigd door rens-br op 22 juli 2024 13:53]

Dat tientje per jaar heb ik er ook graag voor over.
TOTP werkt super. Na het invullen van je wachtwoorden staat die code op het klembord. Kun je meteen plakken.
Misschien niet het veiligst, maar wel het meest praktisch totdat passkeys beter uitgerold is.
Grootste probleem van TOTP in een password manager is natuurlijk dat als iemand toegang krijgt tot de vault diegene niet alleen toegang heeft tot de wachtwoorden maar ook tot de TOTP codes. Een password manager waarin ook de TOTP tokens gegenereerd worden levert effectief dus weer "one factor authentication" op. De enige factor is dan de toegang tot de vault.
Niet helemaal one factor toch? Als mijn wachtwoord gecompromitteerd wordt, kan er nog steeds niet op mijn account worden ingelogd.
Hoe men in je vault geraakt is minder belangrijk. Van zodra iemand toegang heeft tot je vault hebben ze toegang tot zowel je tokens als je wachtwoorden. Wanneer je alle twee in 1 en dezelfde kluis steekt kan en mag je niet meer spreken van MFA, je gebruikt namelijk maar 1 enkele factor op dat moment om jezelf te authenticeren.

Mijn wachtwoorden staan in Bitwarden welke ik raadpleeg op de PC. Mijn tokens staan in de MS Authenticator op mijn telefoon die ik ontgrendel met een vingerafdruk
Nou, als ze toegang tot m'n vault hebben, dan is er weinig lol meer aan allemaal.

Wat @evanraalte wellicht probeert over te brengen is dat wanneer het wachtwoord met brute force is gekraakt tot een bepaalde site, zeg tweakers.net, er nog steeds valide bescherming is dmv de '2 factor' totp code.
Dat is wat ik bedoelde indd! :)
Tja twee dingen... MITM attacks en brute force attacks zijn hoe de meeste wachtwoorden lekken, niet omdat vaults gekraakt worden (Er zullen altijd high profile uitzonderingen zijn)

Tweede, je bitwarden vault kan beveiligd zijn met een hardware key. Dan heb je enorm sterke MFA die je credentials en andere MFA beschermd. En uit punt 1 volgt dat MFA vooral beschermd tegen MITM en brute force, dus dan heb je eigenlijk 3 factor tegen dat soort aanvallen.
Ik ben nooit zo bang dat mijn wachtwoord en mfa niet sterk genoeg zullen zijn om in mijn Bitwarden te komen. Mijn grootste zorgen liggen nog altijd in kwetsbaarheden in de webapplicatie van Bitwarden zelf.
Je wachtwoord kan dan super sterk zijn, maar een gaatje is voldoende om de hele webapplicatie te compromiteren.
De web app, of je PC of telefoon zelf natuurlijk. Als iemand gewoon kan meekijken met wat je doet en je keystrokes kan loggen dan houdt alle beveiliging wel op.
De meeste lekken ontstaan nog altijd door menselijke fouten, waar ook het meekijken onder valt.
De hardware key is een 2FA voor toegang tot de vault, toch? Maar niet een 2e factor voor de encryptie van de vault. Lastpass is volgens mij gehacked door social engineering/phising van een medewerker en toen waren alle vaults gekopieerd door een hacker (als ik het me goed herinner)…. Mijn lastpass 2FA had toen weinig waarde meer. Ik hou mijn totp en backup codes buiten de password manager. KeepassX staat volgens mijn wel een yubikey toe als 2e factor in de encryptie.
Ik doe exact hetzelfde haha. Goed uitgelegd!
De tweede factor definitie (2FA of MFA) heeft niet betrekking op waar je de sleutelgegevens opslaat maar hoeveel inloggegevens je gebruikt, de 2FA beveiliging stel je in bij de website die deze functionaliteit ondersteunt, bijv. Facebook.

De deskundige instituten hebben al aangetoond dat 2FA ook kwetsbaar is, met name de verificatie via SMS is gemakkelijk te hacken.

Nu is er een nieuwe wachtwoordloze oplossing met Passkeys geïntroduceerd, die is veelbelovend voor veilig inloggen en anti Phishing
Dat kan je dan weer eenvoudig omzeilen door je wachtwoorden " onvolledig" op te slaan in je vault. Ik genereer de wachtwoorden automatisch met de ingebouwde Generator, maar typ er op de websites zelf altijd nog een (vast) stukje voor of na. Dat ene stukje zit niet in mijn vault, dus ook al krijg je toegang tot mijn wachtwoordmanager, dan nog zijn al mijn wachtwoorden onbruikbaar (want onvolledig).

Ik merk vooral dat het toegenomen gebruiksgemak van TOTP via Bitwarden er bij mij voor heeft gezorgd dat ik 2FA nu echt overal activeer waar het mogelijk is, waar ik dat vroeger enkel voor de hoogstnoodzakelijke dingen deed. Ik durf dus wel zeggen dat het mijn accounts over het algemeen veiliger heeft gemaakt, ook al zit TOTP bij mijn wachtwoorden opgeslagen.

Trouwens: Mijn Bitwarden-vault zelf is natuurlijk wel met aparte 2FA beveiligd, dus ook die kan je niet zomaar kraken met enkel mijn master password :Y)
Ik genereer de wachtwoorden automatisch met de ingebouwde Generator, maar typ er op de websites zelf altijd nog een (vast) stukje voor of na. Dat ene stukje zit niet in mijn vault, dus ook al krijg je toegang tot mijn wachtwoordmanager, dan nog zijn al mijn wachtwoorden onbruikbaar (want onvolledig.
Dat vind ik een erg slim idee! Voor mezelf is nu een beetje laat om daar nog mee te beginnen, maar voor belangrijke inloggegevens ga ik dit zeker doen.
Dat had ik destijds ook bij Lastpass, maar als een hacker toegang krijgt tot de bitwarden infrastructuur, dan heeft de 2fa op je vault weinig waarde. En iemand bij bw hoeft maar een menselijke fout te maken/social engineering/phishing… en bingo. Ik hou mijn totp buiten bitwarden, en met Authy is dat makkelijk te managen.
Maar dan nog: Mijn vault bevat niet mijn volledige wachtwoorden, dus wat ben je ermee als je erin geraakt? Begin maar te puzzelen wat je erbij moet typen, en dan nog weten waar (vooraan of achteraan het opgeslagen wachtwoord). Ik varieer zelfs welk stukje dat je erbij moet typen naargelang de website :+

Bitwarden gaat er trouwens prat op dat hun volledige serverinfrastructuur op zero-knowledge gebaseerd is. Verschillende audits hebben daar nog geen gaten in gevonden. Dus zonder die aparte 2FA kan ook hun gehackte server mijn vault niet zomaar decrypten.

Ik weet ook wel, alles is kraakbaar. Maar het extra gemak dat 2FA via Bitwarden me geeft zorgt ervoor dat ik het overal activeer, wat sowieso elk account afzonderlijk veiliger maakt dan zonder. Als ergens een wachtwoord-database van een willekeurige website gehackt wordt (die kans is nog steeds groter dan dat Bitwarden zelf gehackt wordt), dan kunnen ze nog steeds niets met enkel mijn username+wachtwoord. Dat stukje van de 2FA-bescherming blijft wel nog intact.
Waar gebruik je TOTP voor?
Waar gebruik je het niet voor... heb minstens 20 tokens er in zitten toch. Blij dat Authy dit op al mijn pc's beschikbaar maakt. Nuja... tot voor kort, op chromebooks niet meer :(
Je kunt gewoon de seed codes in een andere app douwen. Goede totp apps zoals Aegis en Otp auth kunnen ook qr codes genereren van de seed.
?? Werkt de android authy app niet meer op chromebook?? Toegegeven, al een tijdje niet meer gebruikt maar volgens mij heb ik ze daar wel op geconfigureerd staan.

Met chromiumbooks is er wel een issue maar dat is omdat daar geen android apps draaien, in ieder geval niet op mijn oude laptops.

En dan is er op chromebooks nog de mogelijkheid van linux apps. Misschien kan je hier iets mee: https://authy.com/blog/an...lity-authy-desktop-linux/

[toevoeging]: In de voorloper van bovenstaand bericht wat meer info over authy op ChromeBooks en zo: https://authy.com/blog/au...ilable-in-beta-for-linux/

[Reactie gewijzigd door beerse op 22 juli 2024 13:53]

De Android app wel nog denk ik... dus op zich valt het mee. Enkel mijn flex os systemen hebben dan een probleem
rens-br Forum Admin IN & Moderator Mobile @PdeBie28 september 2023 21:45
Voor ongeveer alle diensten waar ik het maar kan activeren. Outlook, Facebook, tweakers.net, PayPal, Amazon, TransIP, Dropbox, Github, LinkedIn, etc.
rens-br Forum Admin IN & Moderator Mobile @JayWheel28 september 2023 18:40
Voor TOTP gebruik ik dan weer een andere app, namelijk authy. Om precies de reden die @RobertMe aangeeft.
Authy is ook al een keertje gekraakt. Wil je zeker zijn gebruik dan iets Offline, zoals Aegis, en backup naar nextcloud of iets dergelijks.
Het gaat niet om gekraakt of niet gekraakt. Het gaat er om ' als het gekraakt is, wat dan...'
Als je mfa gebruikt en je stopt de multi-factors in 1 kluis en die kluis wordt gekraakt, dan is alles binnen. Hou je de multi factors gescheiden in multi-kluizen of zo, dan kan 1 kluis gekraakt worden en ben je nog veilig.

Daarmee voor mij: Ja: bitwarden is wel met mfa beveiligd. Bitwarden bevat de wachtwoorden maar daar langs laat ik niet de otp genereren, dat laat ik aan authy. Ja, in authy zit ook mijn bitwarden-otp.
Ik las onlangs dat Bitwarden $100m kapitaal heeft opgehaald. Ik vraag me af wat dat voor gevolgen gaat hebben. Moet dat ooit weer terug, en hoe gaat dat gebeuren? En ik vind 100 miljoen wel erg veel voor zo'n kleine tool.
Kleine tool? Besef even hoeveel data zij beheren en hoe veilig dat moet worden opgeslagen
Goede vraag voor followers money. PSG heeft nauwe banden met de media wereld. Misschien een investment juist om journalisten te kunnen beschermen
10 euro per jaar is prima te overzien. Ik gebruik bitwarden al een hele tijd met veel plezier. Dus betaal er graag voor.
Zelfde hier, alleen.... betaal ik alsnog niet. Wil ik met een zelfgehoste instantie m'n wachtwoorden bijhouden, kom ik alsnog een account bij hun aan te maken voor het beheren van een licentie. Vind het onlogisch en dubbelop. Daarom alsnog de stap gezet voor Vaultwarden. Jammer dat donaties ook niet kunnen om op die manier waardering voor het project zelf uit te spreken.
Ik dus ook al jaren.
Ik reageer hier gemengd op. Zijn er meer mensen die (ja, heel cliché) hierdoor bang zijn dat je in de toekomst wellicht zelf het product wordt? Of dat dit iets met de veiligheid gaat doen? Ik vind dat op z’n minst iedere Tweaker dit een tientje waard moet vinden… als je Bitwarden als wachtwoordmanager gebruikt tenminste.
Ik vind dat op z’n minst iedere Tweaker dit een tientje waard moet vinden…
Een tweaker gebruikt KeePassXC. Gratis.
edit:
quote toegevoegd

[Reactie gewijzigd door Sando op 22 juli 2024 13:53]

Ik zou kunnen zeggen: touché. Maar ik wil toch even naar de scheidsrechter kijken. :+

Een Tweaker is toch iemand die graag vergelijkt en experimenteert met hard- en softwaregerelateerde technologie om het maximale potentieel uit hun apparatuur en hun portemonnee te halen? Het aanbevelen van een gratis en open source alternatief lijkt me vrij objectief meer in lijn met het gedachtegoed van Tweakers dan betalen voor gevoelsmatig gemak.

Als iemand generaliserend stelt dat "op zijn minst iedere Tweaker" zou moeten willen betalen voor iets wat ook gratis kan, dan vind ik dat mijn generaliserende reactie in de context vandeze community toch een goede comeback was.

[Reactie gewijzigd door Sando op 22 juli 2024 13:53]

Als dat het geval wordt, dan migreer je toch even snel weer weg als je gekomen bent? ;)

Bij mijn weten is alles bij Bitwarden tot nu toe netjes gegaan, voorlopig krijgen ze het voordeel van de twijfel. Zolang er genoeg mensen betalen betalen, zal het hopelijk zo ver niet komen.
Het premium model verdwijnt niet. Ik blijf gewoon mijn 10tje betalen.
Dit is gewoon een afweging tussen "Wij vinden goede MFA belangrijk" en "We moeten wel een cashflow houden". Als dit ze toch harder in de portemonnee raakt dan ze hebben ingeschat zie ik eerder dat ze deze verandering terugdraaien en niet opeens besluiten om dan maar gebruikersdata te verkopen.
Ik vindt dat jij niet moet bepalen wat Tweakers wel of niet moeten.
We leven hier gelukkig nog in een relatief vrije regio, laat de gedachtenpolitie maar ver weg.
Die TOTP generator is geen groot gemis. Er zijn genoeg gratis apps die dat ook aanbieden, zoals Google Authenticator.
Die TOTP generator is geen groot gemis.
Klopt. Is gewoon beschikbaar met Vaultwarden, die met Bitwarden clients werkt. :)

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:53]

Gebruik zelf nu proton pass omdat ik all proton unlimited heb en ik had een paar minor complaints met hoe bitwarden weekt(de auto fill is echt auto inplaats van zo’n box die op komt met wat will je invullen). Maar vindt het zeker een fijn product toen ik het gebruikte en ik zelf vindt dit een goede beslissing want het hoogt ook de security omhoog van de gebruikers die all een security key hebben.
Die autofill kan je instellen, je kan ook eerst een bevestiging laten vragen via de browser plugin als je niet wil dat het direct ingevuld wordt.
O.k. - dit bericht klopt niet helemaal, want je kunt de Yubikey wel gebruiken voor Webauth, maar niet als 2FA in combinatie met een wachtwoord. Voor dat laatste is nog altijd een premium account nodig.
Het is wel 2FA. Je logt eerst in met je bitwarden gebruikersnaam en wachtwoord. Daarna gebruik je een webauth manier voor de 2fa, wat dus een yubikey kan zijn.
Bij mij niet is dat niet zo. Je logt in met gebruikersnaam en dan de key. Zónder wachtwoord dus. Het gaat hier om wachtwoordloos inloggen, niet om de traditionele 2FA manier van inloggen.
Zo staat het niet in de blogpost. Daar staat gebruikersnaam+wachtwoord, en dan de passkey voor 2fa.
Dat staat niet in het originele blogpost, en Tweakers heeft dit zonder deze nuance overgenomen. Het gaat enkel om wachtwoordloos inloggen hier, en het registreren van een sleutel voor wachtwoordloos inloggen. Dit kan dan een Yubikey zijn. Inloggen mét wachtwoord en mét Yubikey als 2FA blijft een premium functie.
Het wachtwoordloos inloggen kan al een tijdje. Dit gaat echt over 2fa, kan zijn dat je in je account wachtwoordloos inloggen gebruikt, maar 2fa nog niet. Immers loopt het steeds meer door elkaar nu wachtwoordloos met passkeys en 2fa met passkeys eigenlijk hetzelfde is.
Is dit ook bruikbaar in een bedrijfsomgeving? Of zijn daar betere oplossingen voor?
Dat is een vraag die niet te beantwoorden is zonder meer informatie. Het hangt van het bedrijf af. Of je een eenmanszaak hebt of een multinational. Wil je vaak wachtwoorden delen met andere mensen, wil je en audit trail hebben, centale beheerfuncties enz enz.

Er zijn enorm veel oplossingen van gratis tot extreem duur. Van Bitwarden tot Cyberark.
Bitwarden werkt erg goed naar mijn mening. Ook erg fijn dat je dit zelf gratis kunt hosten. Ik draai de vaultwarden variant voor thuisgebruik op mijn K3s cluster :)

Binnenkort komt ook de support voor passkeys.
Wat is de meerwaarde van passkeys eigenlijk. In principe maak je met een wachtwoordmanager toch ook sterke unieke wachtwoorden voor elke site.
Hier uitgebreid beschreven door Tweakers zelf.

Voor mij grootste voordeel is: dat de private sleutel van de passkey een pincode kan bevatten, vingerafdruk of face id en staat lokaal op je apparaat.

Daarnaast kan je met een wachtwoord manager alsnog in een phishing site vallen en met passkeys niet

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:53]

Syncthing icm KeepassXC/KeepassXD(android) werkt ook prima. Na de problemen van LastPass heb ik persoonlijk geen zin in een cloud oplossing. Lees dat Bitwarden dat ook kan, maar dan moet je al een service draaien wat niet even makkelijk is.
Mooi voor de mensen die het niet zelf kunnen/willen hosten :)
@FerronN Hier draait vaultwarden als add-on in Home Assistant. In docker omgeving zou ook goed kunnen.
En de browser Bitwarden add-ons werken saam met Vaultwarden. Zo ook de mobiele versie.
Een tijd nog samen gedraaid met Lastpass. Maar na een jaar stabiel gedraaid te hebben gestopt met lp.

Wel is het sowieso raadzaam backups te maken. En te testen. Maak voor bijna alles aparte logins en wachtwoorden aan. En dat zijn er echt veel aan het worden... Gecombineerd met two factor.

Help regelmatig mensen met inlog problemen. Die hebben vaak een schriftje vol geschreven. Of allemaal kladjes, Met doorgehaalde verlopen wachtwoorden. Met de vraag wat is een vreemd teken?

Een toepassing zoals Bitwarden, Laat staan Vaultwarden is voor hen een brug te ver.
Mogelijk dat passkey's uitkomst bieden.

Op dit item kan niet meer gereageerd worden.