A Bitwarden mennyire biztonságos?

Van aki semmi másban nem tárolja a böngésző saját beállításain kívül, és már azokat is mesterjelszóval szokták védeni. Az amit ettől védettebb módon csinálsz, még biztonságosabb.

Egy másik nézet szerint a böngésző saját tárhelye azért nem elég biztonságos, mert azt célzottan tudják támadni (tudják hol és mit kell keresni), de mióta mesterjelszavasok lettek ezek, az is egy újabb védelmi réteg. És alapból sem csak úgy egy szövegfájlban tárolják a jelszót amit ki lehet lopni a gépről és azonnal látható a tartalma - szintén titkosítva van a fájl.

Ha offline, helyileg tárolod az adatbázist és úgy férsz csak hozzá, az biztonságosabb mint az online megoldás. Ettől még az online tárolás is biztonságos, csak ott próbálkozhatnak a megszerzésével, emiatt sérülékenyebb. A Lastpass is ilyen online jelszókezelő, és őket kétszer is feltörték az elmúlt években. Elvileg nem tudták visszafejteni az ellopott adatbázisokat sem a titkosítás miatt, de ez akkor is bizalomvesztés a szolgáltatóval szemben, hogy fel tudták őket törni.

A papír noteszre visszalépés lábon lövés lenne, túl sok kényelmi szolgáltatást vesztenél vele, és ugyanúgy megvan az elvesztés, lopás, sérülés, megsemmisülés veszélye, hacsak nem zárod páncélszekrénybe. Ha már van digitális alternatívája a módszernek, akkor azt érdemes használni, erre vannak a jelszószéfek mint a Bitwarden.

A böngésző Mesterjelszava csak a gép elé beülők ellen véd a vírusok ellen nem.

Talán jó fél éve a Chrome 128 verziójában próbálkozott egy „Chrome-App-Bound-Encryption-Decryption” nevű megoldással. Ami a belépési sütiket és jelszavakat próbálta az eddigieknél jobban védeni. Talán egy hónap sem telt a hackerek megtalálták az ellenszert.

A Bitwarden illetve más dedikált jelszókezelők egyértelműen biztonságosabbak mint a böngésző jelszókezelője.

Viszont a dedikált jelszókezelőben sem túl jó ötlet bent tárolni a 2fa hitelesítést, mert ha esetleg mégis probléma akadna. Akkor minden egy helyen van a belépéshez.

Aki még emlékszik a LastPass botrányra hozzáfértek a felhasználók fiókok belépési adataihoz a hackerek. De csak annak tudtak belépni a fiókjába aki a 2fa hitelesítést is ott tárolta.

Minden fontos személyes fiókban van lehetőség a 2fa beállítására. Akad ahol csak egy SMS kód de van ahol több lehetőség is. Egy mezei webshop ahol nincs az meg a hackernek sem ér semmit.

Egyetlen dolog van ahol a kétfaktoros hitelesítés sem ér már semmi.

Amikor egy fiókba belépsz megadod az adataid (emailcím+jelszó+2fa). Képződik egy sütifájl (session cookie) ami tartalmazza a belépési adataidat Bizonyos vírusok képesek ezt a sütifájlt ellopni és klónozni. A hacker beülteti saját gépén és mivel a sütifájl minden belépési adatot tartalmaz imitálni tudja a szerver felé hogy te vagy és még hitelesítenie sem kell magát simán belép a fiókodba. Olyan fiókokat amit ritkán használsz érdemes kiléptetni mert ha kilépsz a fiókból a sütifájl a tárolt adatokkal törlődik. Ezért kell mindig odafigyelni mit töltünk le mit nyitunk meg.Nem ez a leggyakoribb vírus de létezik. A jelszólopók adatkódoló vírusok a jellemzőek.

A kétfaktoros hitelesítésnél ne feledd legyen más lehetőséged is pl ha telefont elveszted, ellopják. Helyreállító kód legyen mentve, helyreállító emailcím megadva. Nehogy kizárd magad a fiókodból. Bitwarden készíts biztonsági mentést.

Ha egyszer beléptél egy fiókba az megjegyzi mint biztonságos eszközt. Van hogy kérdezi is hogy mentse e az eszközt fiók függő. Van ahol belépésnél te kipipálhatod hogy ezen az eszközön x ideig ne kérje.

A fiókba mentett biztonságos eszközökön nem kell minden belépésnél a 2fa hitelesítés, csak ha ki is lépsz a fiókból. Viszont minden a fiók számára idegen eszközön belépésénél kérni fogja.