Bitwarden is een wachtwoordmanager zonder veel poespas en wint mede daarom de laatste tijd aan populariteit, zeker onder tweakers. Er zijn twee dingen waarmee Bitwarden zich onder die doelgroep onderscheidt: het is open source en het is mogelijk om het zelf te hosten.
Prijzen en pakketten
Bitwarden werkt met een freemiummodel en heeft zowel persoonlijke als zakelijke pakketten. Het is een goedkope manager die voor een enkele gebruiker slechts 8,85 euro per jaar kost. Dat is een stuk minder dan LastPass en zeker 1Password. Bij de gratis versie worden je bovendien weinig beperkingen opgelegd. Gratis gebruikers kunnen alle basisfuncties gebruiken, maar met een betaald pakket is het ook mogelijk om bestanden te versturen via Bitwarden, om tweetrapsverificatie met een securitysleutel in te stellen en een totp-app te gebruiken, en om noodtoegang te krijgen.
Bitwarden heeft ook een Family-pakket waaraan maximaal zes gebruikers kunnen deelnemen. Dat kost 40 euro per jaar.
/i/2004424246.png?f=imagenormal)
Welke apps?
Bitwarden kan behalve in iOS en Android ook in de browser worden gebruikt, maar er zijn ook apps beschikbaar voor Windows, macOS en, redelijk uniek, Linux. De AppImage is geschikt voor 'de meeste distributies', stelt Bitwarden. Ook zijn er veel extensies beschikbaar. Die zijn er niet alleen voor Chrome, Firefox en Safari, maar ook voor Opera, Brave, Vivaldi en zelfs de Tor-browser.
Uniek aan Bitwarden is dat er zelfs een cli of commandline-interface beschikbaar is. Daarmee kunnen gebruikers de dienst via een terminal bedienen, bijvoorbeeld om wachtwoorden te bewerken of te synchroniseren. De cli kan ook worden ingezet om wachtwoorden te genereren en simpelweg een wachtwoord uit een kluis te halen. Hij kan zowel native worden geïnstalleerd als via npm, mits een gebruiker Node.js heeft geïnstalleerd. De cli is zowel bruikbaar met de cloud- als met de zelfgehoste versie.
| Desktop | Windows / macOS / Linux |
| Mobiel | Android / iOS |
| Browser | Chrome / Firefox / Edge / Safari Opera / Vivaldi / Brave / Tor |
| Commandline | Documentatie |
| Web | vault.bitwarden.com |
Zo werkt Bitwarden
Bitwarden is een populaire wachtwoordmanager onder tweakers, onder andere vanwege de lage prijs en het feit dat de broncode openbaar is. Wie een gratis account of een individueel betaald abonnement neemt, ziet een vrij standaard wachtwoordmanager waarbij je gegevens over verschillende apparaten worden gesynchroniseerd. De software werkt zoals je zou verwachten, met een lijst met al je credentials en de mogelijkheid om die in mappen onder te verdelen. Het enige dat je kunt aanmerken op de basisfunctionaliteit van Bitwarden, is dat de browseradd-on meer moeite heeft om sommige inlogpagina's te herkennen, zeker als het om multipage-inlogs gaat.
Voor de wat meer technisch onderlegde gebruikers is Bitwarden vooral interessant vanwege de mogelijkheid om het zelf te hosten via Docker. Dat is wel iets ingewikkelder dan gewoon een bestand kopiëren en plakken zoals je dat doet bij KeePass, maar je hebt het snel genoeg aan de gang.
Hoe kun je de software beveiligen?
Het masterwachtwoord van Bitwarden is in principe de standaardbeveiliging van de software. De desktop-app wordt standaard vergrendeld na een herstart. Dat geldt in ieder geval voor de desktop-apps als de browserextensie. De eerste keer dat je daarop inlogt, wordt gevraagd naar de tweetrapsverificatiecode als je 2fa hebt ingesteld, maar daarna niet meer. Je kunt in de instellingen van zowel de desktopsoftware als de browserextensie instellen hoe vaak je wilt dat de Vault weer wordt vergrendeld. Je kunt verschillende periodes kiezen tot maximaal vier uur, maar ook bij een herstart van de software of van de browser, of na het ontwaken uit de slaapstand van de pc.
De instellingen worden niet met de data tussen verschillende apparaten gesynchroniseerd
Het is ook mogelijk om inloggen met het masterwachtwoord te vervangen door een pincode. De apps op iOS en Android zijn te beveiligen met biometrische inlogmethodes, waaronder een vingerafdruk en FaceID.
Een klein irritant punt is dat de instellingen van Bitwarden niet worden gesynchroniseerd. Je moet voor iedere aparte installatie opnieuw instellen dat je daar liever een pincode voor wilt gebruiken. Ook instellingen zoals de automatische time-out worden niet gesynchroniseerd tussen bijvoorbeeld de desktop-app en de wachtwoordmanager, en er is geen optie om dat te doen.
Kun je Bitwarden zelf hosten?
Met de mogelijkheid om het zelf te hosten onderscheidt Bitwarden zich het meest van de meeste wachtwoordmanagers. Voor sommige gebruikers is het fijn dat je Bitwarden zelf kunt hosten, omdat je zo niet afhankelijk bent van een clouddienst, maar uiteraard heeft het handmatig hosten van zulke gevoelige gegevens ook de nodige risico's. Het hosten van Bitwarden gaat via Docker. Gebruikers kunnen een Docker-installatie op hun eigen server draaien en kunnen daar op afstand toegang toe krijgen via het aanpassen van de dns-instellingen. Dat vergt wat moeite voor de gemiddelde gebruiker, meer dan bijvoorbeeld bij KeePass, waarbij je simpelweg een bestand krijgt dat je zelf kunt bewaren waar je wilt.
/i/2004424248.png?f=imagegallery)
Wat voor wachtwoorden kun je aanmaken?
Wachtwoorden in Bitwardens generator kunnen van 5 tot 128 tekens lang zijn. Daarmee is de maximale wachtwoordlengte een stuk groter dan die van andere diensten, die vaak maar tot 50 tekens gaan. De extra sprong in beveiliging die dat oplevert, is overigens minimaal, maar het valt wel op. De wachtwoordgenerator van Bitwarden doet verder grotendeels hetzelfde als de meeste managers. Het is mogelijk in te stellen of hoofdletters of kleine letters gebruikt worden, of cijfers en speciale tekens. Bitwarden gebruikt automatisch geen gelijke tekens zoals de hoofdletter i of een kleine L, of een o en 0, maar je kunt ervoor kiezen dat de generator die wel meeneemt. Uniek aan Bitwarden is ook dat je het minimale aantal cijfers en het minimale aantal speciale tekens kunt aanpassen. Voor beide geldt een maximum van 9 tekens.
Een andere optie die je niet vaak ziet, is dat Bitwarden wachtwoordzinnen kan maken. In plaats van een lange reeks tekens is het mogelijk een aantal woorden achter elkaar te gebruiken, die makkelijker te onthouden zijn. Het gaat om maximaal twintig woorden, waarbij je zelf kunt bepalen met welk teken die moeten worden gescheiden. Het is mogelijk woorden van hoofdletters en cijfers te voorzien. Bitwarden genereert alleen Engelstalige woorden.
Kun je naast wachtwoorden ook extra velden opslaan?
Naast wachtwoorden kun je in Bitwarden drie verschillende extra zaken opslaan: 'kaarten', 'identiteiten', en beveiligde notities. Bij kaarten gaat het om bankpassen of creditcards, bij identiteiten om persoonsgegevens, zoals je bsn. Die bevatten vooraf ingevulde velden die je niet kunt wijzigen. Wel kun je extra velden toevoegen, die je alsnog een unieke naam en waarde kunt geven. Je kunt ook een beveiligde notitie maken met tekst erin, maar zonder bijlagen.
Sinds begin 2021 heeft Bitwarden een eigen dienst om bestanden beveiligd te versturen. Bitwarden Send maakt het mogelijk om stukken tekst te versturen, maar betalende gebruikers kunnen ook bestanden versturen van maximaal 100MB. Send heeft de mogelijkheid om bestanden na een bepaalde periode automatisch te laten verwijderen of er een wachtwoord aan toe te voegen. De bestanden worden in 'een send' geplaatst en kunnen vervolgens via een link worden gedeeld. Dat kan met iedere gebruiker en niet alleen met andere Bitwarden-gebruikers.
Kun je wachtwoorden makkelijk delen?
Het delen van wachtwoorden is het voornaamste minpunt van Bitwarden. Het is het enige onderdeel waarin de dienst significant minder goed is dan andere wachtwoordmanagers. Individuele gebruikers kunnen hun wachtwoorden met precies één andere gebruiker delen, ook als ze een betaald Premium-abonnement hebben. Dat werkt bovendien omslachtig. Gebruikers kunnen een wachtwoord alleen delen met een 'Organisatie'. Zakelijke gebruikers vallen binnen zo'n organisatie, maar ook gebruikers met een betaald Familie-abonnement kunnen een organisatie aanmaken. Binnen een organisatie moeten gebruikers dan weer een 'Collectie' aanmaken. In zo'n collectie kunnen wachtwoorden worden gedeeld, maar ook notities.
Voor individuele gebruikers is het mogelijk een organisatie te maken, maar daarin kunnen maximaal twee leden worden gezet, inclusief de gebruiker zelf. Bovendien kunnen er in een gratis organisatie maximaal twee collecties worden gedeeld. Daar komt bij dat als een item eenmaal tot een collectie behoort, de originele uploader die permissie niet meer kan intrekken of veranderen. Als je veel wachtwoorden deelt met anderen, zit je bij Bitwarden niet goed.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden uit Bitwarden exporteren in csv- en in json-formaat. In dat laatste geval is het ook mogelijk een versleutelde export te maken die je later weer in een andere Bitwarden-software kunt importeren. Aan die export heb je trouwens niet altijd evenveel; bij het importeren in verschillende managers, zoals LastPass, herkende de nieuwe dienst verschillende records niet om onbekende reden en werden dus niet alle wachtwoorden geïmporteerd.
Vanuit LastPass of een andere dienst overstappen naar Bitwarden is dan weer wel erg makkelijk. Bitwarden biedt voor het importeren een lange lijst met de meestgebruikte wachtwoordmanagers. Daarbij gaat het importeren dan weer elke keer goed. Het is ook mogelijk om platte tekst te importeren. Importeren lukt alleen in de browserkluis en niet in de desktop-app.
Zijn er audits beschikbaar en wat weten we daarvan?
Bitwarden heeft verschillende auditrapporten online staan. Het recentste is van juli 2020 en daarvan is een samenvatting openbaar. Het bedrijf liet ook in 2018 een audit doen. De 2020-audit werd uitgevoerd door securitybedrijf Insight Risk Consultation en daarvoor door Cure53, dat ook audits heeft gedaan van chat-app Threema. De recente audit zelf is niet openbaar; het gaat alleen om een samenvatting.
Eigenlijk gaat het in dit geval niet zozeer om een audit, maar om een pentest. In dat laatste geval krijgen de testers alleen de opdracht om te kijken of ze het systeem kunnen binnenkomen. De manier waarop maakt, tot op beperkte hoogte, niet uit. Bij een securityaudit wordt vooral getoetst aan bepaalde industriestandaarden, maar in dit geval heeft het bedrijf alles geprobeerd wat mogelijk was om bij Bitwarden in te breken.
Bitwarden heeft verschillende auditrapporten online staan
In de audit werd gekeken naar de wachtwoordenkluis, serverinfrastructuur, database en hostinginfrastructuur. Ook werd de website bekeken. Volgens de samenvatting van de audit werden er twee potentieel gevaarlijke kwetsbaarheden gevonden. Zo was er een probleem waarbij de Cross Origin Resources Sharing-configuratie in de server-api kon worden uitgebuit. Met die functie kunnen zelf-gehoste Bitwarden-bestanden de api aanspreken. Bij een phishingaanval kon een aanvaller via de api toegang krijgen tot een kluis. Een tweede kwetsbaarheid zat in de Content Security Policy, die het mogelijk maakte de css van een online kluis aan te passen. Een aanvaller kon daarmee een gebruiker in theorie ergens anders op laten klikken dan de bedoeling was. Beide kwetsbaarheden kregen de classificatie 'severe' mee, maar zijn inmiddels opgelost.
Buiten de pentest slash audit om heeft Bitwarden twee beveiligingscertificeringen gekregen. Dat zijn SOC 2 Type II, waarover het een blogpost heeft geschreven, en SOC 3, waarvan het hele rapport online staat.
Welke vormen van tweetrapsverificatie zijn mogelijk?
Bitwarden ondersteunt verschillende vormen van tweetrapsverificatie. Totp via een authenticatieapp is natuurlijk een optie, maar het is ook mogelijk om codes via e-mail te krijgen. Dat is uiteraard iets minder veilig. Bitwarden ondersteunt ook beveiliging via Duo, een securityproduct waaronder weer verschillende beveiligingsopties vallen. Tweetrapsverificatie via sms is native geen optie bij Bitwarden, al kan dat wel via Duo. Daar moet je wel voor betalen. Tot slot is het mogelijk een account te beveiligen met een fysieke beveiligingssleutel, maar ook dat is een Premium-feature. Bitwarden heeft een menu om direct een Yubikey in te stellen, maar toont even verderop dat alle Fido2 U2F-sleutels worden ondersteund. Ook met je SoloKey zit je bij Bitwarden dus goed, mits je betaalt.
Bitwarden heeft ook een eigen authenticator ingebouwd in de mobiele apps. Die is alleen beschikbaar voor betalende gebruikers. Het is daarmee mogelijk de Bitwarden-app als vervanger van bijvoorbeeld Google Authenticator te gebruiken. Daarmee leg je het risico wel bij één app, dus pas daarmee op!
Heeft Bitwarden een bugbountyprogramma?
Omdat Bitwarden open source is, kun je het bugbountyprogramma als overbodig beschouwen. Er is een programma op HackerOne, maar whitehathackers krijgen niet betaald voor vondsten. Ook is er weinig activiteit; gemiddeld komt er iedere tien dagen een melding binnen en de meeste daarvan vallen buiten de scope.
Bitwarden verwijst ook liever naar de specifieke issuetrackers op GitHub voor het melden van bugs. De meeste beveiligingsproblemen zijn daar wel onzichtbaar gemaakt en ook achteraf niet te tracken. Op GitHub staat hetzelfde bugbountybeleid als op HackerOne. Er zijn daar weinig opvallende zaken die buiten de scope vallen, al kun je beargumenteren dat social engineering van werknemers daar in zou moeten vallen als daarmee persoonlijke data kan worden gestolen.
Hoe worden de wachtwoorden versleuteld?
Bitwarden versleutelt de data in de kluis met AES-256-encryptie waarop Cipher Block Chaining wordt toegepast. De encryptiesleutel die daarvan wordt afgeleid, heeft twee salts. De eerste salt is het e-mailadres van de gebruiker. Vervolgens wordt SHA-256 met Pbkdf2 gebruikt om een hash te maken. Dat gebeurt met 100.000 iteraties, maar gebruikers kunnen dat handmatig verhogen. Na het client side-hashen wordt server side nog een salt toegevoegd met een willekeurige waarde en daarna nogmaals met 100.000 iteraties gehasht.
Bitwarden maakt er ook een punt van dat het zelf geen cryptografie schrijft, maar dat het alleen bestaande cryptografische libraries gebruikt. Dat zijn voor de browser specifiek Web Crypto van de W3C, de library van Node.js, en de tls-implementatie Forge. Voor de mobiele apps gaat het om Apples CommonCrypto, Oracles javax.crypto, en Bouncy Castle voor Android.
Kun je de software met een pgp-checksum downloaden?
In de installer van Bitwarden zit een checksum waarmee je de integriteit van de download kunt controleren.
Kun je zelf de vorm van versleuteling kiezen?
Van het masterwachtwoord kun je bij Bitwarden alleen het aantal iteraties van de key derivation function of kdf veranderen. Standaard is dat Pbkdf2 met 100.000 iteraties. Hoewel Bitwarden met een dropdownmenu lijkt te suggereren dat je Pbkdf2 kunt wijzigen, is dat niet het geval. Het gaat nadrukkelijk alléén om het aantal iteraties. Er lijkt geen minimum of maximum te zitten aan het aantal iteraties dat je kunt instellen.
Controleert Bitwarden op zwakke of gestolen wachtwoorden?
Bitwarden heeft een ingebouwde wachtwoordenchecker die het 'Vault Health' noemt. Dat maakt gebruik van de api van Have I Been Pwned van Troy Hunt. Daarmee zijn de resultaten wat beperkt. Vault Health geeft een paar verschillende conclusies; het controleert of wachtwoorden zijn gestolen, hergebruikt of zwak zijn. Bij dat eerste wordt alleen gekeken of een wachtwoord in een datalek voorkomt, maar niet bij welk datalek. Hetzelfde geldt voor hergebruik. Have I Been Pwned slaat namelijk niet op bij welke dienst een uitgelekt wachtwoord hoort. De sterktecheck controleert gewoon hoelang een wachtwoord is en hoeveel speciale tekens het bevat.
Bitwarden controleert ook of een e-mailadres in een datalek voorkomt, maar de gebruiker moet zijn e-mailadres zelf invullen en kan daardoor net zo goed direct naar Have I Been Pwned gaan.
Ook controleren andere wachtwoordmanagers op websites die in de kluis zijn opgeslagen en die geen https-verbinding hebben, én op websites waar tweetrapsverificatie kan worden ingeschakeld. Bitwarden is de enige manager in deze test die dat niet doet.
Wat is het verdienmodel van Bitwarden?
Bitwarden is het enige product van Bitwarden Incorporated. Dat is een Amerikaans bedrijf dat de wachtwoordmanager als enig product heeft. De makers hebben in het verleden gezegd dat het bedrijf leeft van het freemium-model, zonder dat het funding hoeft te vragen.
Welke data verzamelt Bitwarden?
Bitwarden maakt onderscheid tussen twee soorten data. Kluisdata zijn de versleutelde gegevens in de kluis, waar het bedrijf zelf niet bij kan. 'Administratieve data' zijn gebruikersgegevens. Die worden uiteraard alleen verzameld als je Bitwarden als clouddienst gebruikt en niet als je het lokaal host. De administratieve data bestaat onder andere uit gebruikersgegevens van de app, maar Bitwarden maakt niet erg duidelijk waar het precies om gaat. Die data wordt verzameld omdat het bedrijf 'een gerechtvaardigd belang' heeft en wordt onder andere gebruikt om de dienst te verbeteren.
Niet essentieel, maar wel prettig om te noemen is dat bij een eerste bezoek op de website geen cookies worden verzameld. Je moet met een opt-in toegang geven, zelfs voor analytische cookies.
Incidenten in het verleden
Bitwarden heeft geen noemenswaardige beveiligingsincidenten gehad. De meest nieuwswaardige gebeurtenis was juist toen LastPass naar een freemiummodel overstapte en Bitwarden er veel nieuwe gebruikers bij kreeg.
Waar wordt data opgeslagen?
Bitwarden is kort over de servers die het gebruikt. Het bedrijf zegt dat de gebruikersdata wordt opgeslagen op Amerikaanse servers die op Azure draaien. Het lijkt ook te gaan om Europese gebruikers. Bitwarden zegt ook letterlijk dat als gebruikers dat niet willen, ze de dienst zelf kunnen hosten.
Is het AVG-compliant?
Bitwarden zegt in het privacybeleid dat het aan de AVG voldoet, maar verwijst voor privacyonderdelen voornamelijk naar de uitwisseling van gegevens via Privacy Shield en de standaardclausules waarmee data van Europese gebruikers mag worden uitgewisseld met Amerika.
:strip_icc():strip_exif()/i/2004530670.jpeg?f=fpa_thumb)
/i/2003839830.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003681392.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003142940.jpeg?f=fpa_thumb)
/i/2006258950.png?f=fpa)
/i/2005284546.png?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004857332.png?f=fpa)
/i/2004646818.png?f=fpa)
/i/2004761386.png?f=fpa)