Wczoraj pojawiła się informacja, że od 16 marca usługa menedżera haseł Last Pass w wersji darmowej stanie się dość mało użyteczna, bo będzie działać tylko na jednym urządzeniu, czyli bez synchronizacji między różnymi urządzeniami. Może są osoby, dla których będzie to zmiana (relatywnie) mało odczuwalna, ale raczej większość będzie musiała albo przejść na wersję płatną, lub poszukać alternatywy. I nie mam na myśli KeePass (KeepassXC), chyba że ktoś jest nie tylko masochistą, co lubi sobie utrudniać życie (synchronizacja pliku z hasłami między urządzeniami), ale też i hazardzistą, liczącym na to, że to będzie zawsze działać. Nie mówiąc już o tym, że niezłym wyzwaniem jest wyjaśnienie przeciętnemu użytkownikowi komputera/internetu jak to ma działać… ;-)

Menedżer haseł Bitwarden

Mnie akurat ta wiadomość by nie ruszyła, bo choć od kilku już lat korzystam z menedżera haseł (innego niż ten wbudowany w przeglądarkę), to do Last Pass (jak i do 1Password) jakoś nigdy nie mogłem się przekonać. Nie wiem, czy to kwestie wizualne (estetyczne), użytkowe, czy obawa o bezpieczeństwo tych rozwiązań, ale… nie. Po prostu nie.

Stąd długo jedynym menedżerem haseł był dla mnie ten wbudowany w wyszukiwarkę + zaszyfrowany notatnik na telefonie, dla bardziej istotnych haseł. Aż któregoś pięknego dnia, z dwa lub trzy lata temu, trafiłem na serwis/usługę Bitwarden. I można zaryzykować stwierdzenie, że była to miłość od pierwszego wejrzenia, która zresztą trwa do dzisiaj.

Chyba nawet ciężko mi wymienić ten jeden element, który sprawił, że nasze drogi nie tylko się połączyły, ale po krótkim teście zeszły się raczej na stałe. Pasuje mi pod względem wizualnym, większość funkcji dostępna jest w najlepszej z możliwych cen, czyli bezpłatnie, a do tego obsługa Bitwarden jest na tyle prosta, że za moją radą korzystają z niego nie tylko znajomi, ale też niektórzy członkowie rodziny. A jedyne, na co potencjalnie wymagało mojego nadzoru, to zwrócenie uwagi na to, by hasło główne było bezpieczne (np. przysłowie lub fragment wiersza), oraz by w ustawieniach usługi aktywowali sobie logowanie dwustopniowe (dwuskładnikowe, 2FA):

Reszta jest chyba banalniejsza niż obsługa poczty e-mail. I opieram się tu nie na swoich wrażeniach, ale właśnie osób “mniej technicznych”, których przekonałem do usługi Bitwarden i… są zachwycone. Również prostotą obsługi.

Tak np. wygląda dodawanie nowego rekordu z poziomu strony internetowej usługi Bitwarden:

Nie mogło jednak zabraknąć wtyczki do praktycznie każdej liczącej się (mniej lub bardziej) przeglądarki: Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Safari, Vivaldi, Brave i Tor Browser. A takie połączenie sprawia, że dodawanie do sejfu nowych elementów, generowanie haseł, czy korzystanie z już zapisanych elementów jest bajecznie proste.

Choć dla mnie prawdziwą petardą jest wtyczka dla mobilnej wersji przeglądarki Firefox, dzięki czemu nawet w przeglądarce na telefonie mogę wygodnie korzystać z usługi:

Oczywiście jest też pełnoprawna aplikacja mobilna na telefony (Android i iOS):

Mamy też aplikację dedykowaną dla systemu Windows, macOS i Linux. Zarówno w wersji “okienkowej”, jak i command-line tools (CLI), co ucieszy nie tylko wszelkiej maści konsolowców (nie, nie chodzi o tych grających na konsolach ;-)).

Awaryjny dostęp do konta

Całkiem ciekawą opcją jest też awaryjny dostęp do konta, gdzie możemy wskazać innego użytkownika Bitwarden, który w razie czego będzie mógł uzyskać dostęp do naszego konta.

Jest to na tyle fajna opcja, że w dużej mierze właśnie dla niej zdecydowałem się na pakiet rodzinny, po to, by z jednego konta zrobić swego rodzaju kapsułę bezpieczeństwa, np. na wypadek mojej śmierci. Tak, by zaufany kontakt mógł uzyskać dostęp do niezbędnych elementów (loginy, hasła, kody 2FA, linki…).

Działa to w taki sposób, że podczas dodawania takiego kontaktu definiujemy poziom dostępu (dostęp lub całkowite przejęcie zasobów) oraz czas, jaki musi upłynąć, od momentu zgłoszenia awaryjnego dostępu do faktycznego uzyskania dostępu. Akurat w razie czego mamy czas, by anulować dostęp, gdyby zaufany kontakt okazał się nadgorliwy… ;-)

Pakiety i ceny

Jak już wspomniałem, Bitwarden w podstawowej wersji jest bezpłatny. Choć w sumie określenie “w podstawowej wersji” jest krzywdzące dla usługi, bo w tej wersji otrzymujemy właściwie wszystko, co niezbędne – brak limitów dla zapisanych serwisów (rekordów) i notatek, aplikacje na różne urządzenia oraz wtyczki do przeglądarek internetowych.

To, co dodatkowo daje wersja płatna, to np. szyfrowany magazyn na pliki, czy wsparcie dla kodów jednorazowych (Bitwarden działa wtedy również jako programowy token). Do tego otrzymujemy wsparcie dla YubiKey, U2F, Duo, bo w wersji bezpłatnej jest “tylko” programowy token (np. Authy lub Google Authenticator) i e-mail.

Ale dla mnie wersja płatna, to przede wszystkim wsparcie projektu. Zwłaszcza gdy spojrzeć na to, ile kosztuje abonament:

Bo wersja płatna kosztuje 10 $ rocznie. Tak, rocznie! Alternatywnie, gdy zaprosimy do usługi kilkoro znajomych, to koszt ten można jeszcze zbić, wykupując za 40 $ rocznie wersję rodzinną, dla 6 użytkowników.

Oprócz tego mamy plany dla firm/zespołów:

Mały, 2-osobowy zespół może korzystać z usługi bezpłatnie. W przypadku większych drużyn mamy 3 i 5 $ miesięcznie za użytkownika. W zamian otrzymujemy dodatkowe opcje, przydatne w firmach, takie jak delegowanie dostępu do konkretnych katalogów z loginami, czy bardziej zaawansowane mechanizmy kontroli dostępu.

Bitwarden na własnym serwerze

Przy wtyczce do mobilnej wersji Firefoksa napisałem, ze dla mnie to prawdziwa petarda. To w takim razie tutaj mamy do czynienia chyba z bombą, bo serwer Bitwarden można postawić również na swoim serwerze (Docker).

Niestety, ale opcja ta nie pozwala na uzyskanie płatnych funkcje bez płacenia, więc jeśli już, to zainteresuje głównie prawdziwych paranoików (w pozytywnym znaczeniu tego słowa ;-)), dla których Microsoft Azure i “end-to-end AES-256 bit encryption, salted hashing, and PBKDF2 SHA-256” w połączeniu z “Zero Knowledge Encryption” to (za)mało.

Choć jest też nieoficjalna wersja serwera (Bitwarden_RS), która już zawiera większość płatnych opcji, bez potrzeby płacenia abonamentu:

This is a Bitwarden server API implementation written in Rust compatible with upstream Bitwarden clients, perfect for self-hosted deployment where running the official resource-heavy service might not be ideal.

Features

Basically full implementation of Bitwarden API is provided including:

• Organizations support
• Attachments
• Vault API support
• Serving the static files for Vault interface
• Website icons API
• Authenticator and U2F support
• YubiKey and Duo support

Większość, bo też i nie zawsze wszystkie opcje/funkcje są od razu dostępne (np. dostęp awaryjny jest jeszcze w trakcie wdrażania).

To, co istotne, to to, że niezależnie czy wybierzemy wersję “w chmurze” Bitwarden (Microsoft Azure), czy zainstalowaną na własnym serwerze – zarówno oficjalną, jak i zmodyfikowaną, to można korzystać z oficjalnych aplikacji i rozszerzeń. Wystarczy w ustawieniach (ikona/link jest na ekranie logowania) wpisać adres swojego serwera Bitwarden.

Ale w tym artykule tylko sygnalizuję taką możliwość, bo jest on raczej skierowany do przeciętnego (potencjalnego) użytkownika usługi Bitwarden. A tym tematem – hostingiem Bitwarden na swoim serwerze – zajmiemy się niebawem… ;-)