Bitwarden: храните пароли безопасно

Еще один хороший парольный менеджер

Если у вас есть хотя бы пять паролей к разным аккаунтам, держать их в голове становится непросто. На помощь приходят менеджеры паролей. Это небольшие программные решения, которые позволяют хранить пароли (а иногда и другие ценные данные) в защищенной базе. Парольные менеджеры очень популярны, их много. Сегодня мы поговорим про Bitwarden.

Общая информация

Проект Bitwarden стартовал в 2016 году. Разработчик – Bitwarden Inc., юрисдикция – Флорида, США. Вот некоторые свойства Bitwarden.

  • Десктопные версии есть для Windows, macOS, Linux. Для Windows предусмотрен вариант без установки (можно запускать программу с флешки).
  • Есть приложения для Android и iOS.
  • Можно установить браузерные расширения. Поддерживаются все популярные браузеры: Google Chrome, Mozilla Firefox, Safari, Edge, а также браузеры на основе Chromium (например, Brave).
  • Продукт локализован (интерфейс переведен на русский язык). 
  • Открытый код, доступен на Github. В 2018 году Bitwarden успешно прошел аудит безопасности (аудит был выполнен сторонней компанией по заказу разработчика).
  • Полнофункциональная бесплатная версия (также есть платная премиум-версия).
  • Встроенный генератор паролей.
  • Простой импорт паролей из других менеджеров, а также из браузеров Chrome и Firefox.
  • Хранение паролей в собственном облаке.
  • Легкая синхронизация между разными устройствами.
  • Сквозное шифрование: ваши пароли шифруются на вашем же устройстве, разработчики Bitwarden и третьи лица их не видят.
  • Поддержка двухфакторной аутентификации, например, с помощью генераторов кодов Google Authenticator или Authy.

Bitwarden, KeePassХС, LastPass

Парольные менеджеры часто сравнивают друг с другом.

Я люблю KeePassXC и обычно советую именно его. В этом парольном менеджере база хранится у самого пользователя. На жестком диске, на флешке, на сайте – по выбору.

Bitwarden и некоторые другие (например, Lastpass) предлагают иной подход. Здесь пароли хранятся в облаке провайдера. Благодаря этому, в частности, упрощается синхронизация между устройствами. Но за удобство приходится платить. Облачное хранение фактически означает, что пользователь не имеет полного контроля над своей парольной базой. Он доверяет ее хранение владельцу сервиса. У Bitwarden есть два главных преимущества перед LastPass. 

Первое – открытый код Bitwarden. Любой специалист может изучить приложение «изнутри» и убедиться, что в нем нет ошибок или преднамеренных «закладок». Конечно, значение открытого кода не следует возводить в абсолют. Например, код периодически меняется в связи с появлением новых версий продукта. Но вообще открытый код – преимущество, когда речь идет о цифровой безопасности. Программа с закрытым кодом (проприетарная) – «черный ящик». Безопасность такого «черного ящика» сложнее оценить.

По умолчанию Bitwarden хранит ваши пароли в облаке Microsoft Azure. Если вам это по каким-то причинам не нравится, можно хранить базу на собственном ресурсе (self-hosted). Вы не привязаны к серверам провайдера. Это второй существенный плюс.

Кроме того, на момент написания этой статьи Bitwarden был переведен на русский язык, а LastPass нет. Для некоторых пользователей это может быть важно при выборе парольного менеджера.

Четыре инструмента Bitwarden

С Bitwarden можно работать четырьмя способами.

  • Десктопное приложение. В ежедневной работе приложение Bitwarden может оказаться удобнее всего. Здесь вам доступен самый полный функционал Bitwarden. Некоторые настройки, например, автоматическая очистка буфера обмена, куда копируются логины и пароли, доступны только в приложении.
  • Аккаунт на сайте bitwarden.com. На мой взгляд, этот способ менее удобен. Однако некоторые опции, например, включение двухфакторной аутентификации, возможны только на сайте. Работать через сайт логично, если требуется открыть парольную базу на чужом компьютере. (Лучше, конечно, это не делать, но всякое бывает.) Вы также можете захотеть использовать сайт, если ваша модель угроз вынуждает скрывать сам факт использования программы для защиты данных.
  • Браузерное расширение. Поддерживает основные функции. Позволяет быстро вставлять логины и пароли в формы на сайтах.
  • Мобильное приложение.

Как создать аккаунт Bitwarden

Зайдите на bitwarden.com. В верхнем меню выберите «Create account». Откроется окно-форма создания аккаунта. Заполните поля.

Создание нового аккаунта
Создание нового аккаунта. Источник: скриншот сайта Bitwarden.

Мастер-пароль нужен для входа в аккаунт и защиты вашей парольной базы. Это должен быть хороший, надежный пароль. Вы сможете в любое время поменять его в настройках. Запомните мастер-пароль, а лучше на первое время запишите где-нибудь, пока не запомните. По соображениям безопасности в менеджерах паролей нет возможности восстановить мастер-пароль, если вы его забудете.

Сразу после нажатия на кнопку «Подтвердить» мелькнет зеленое окошко со словами об успешно созданном аккаунте.

Теперь для входа в аккаунт Bitwarden в любое время нужно открыть браузер, зайти на https://vault.bitwarden.com/, ввести адрес email и мастер-пароль.

Вход в аккаунт
Вход в аккаунт. Источник: скриншот сайта Bitwarden.

Как добавить логины и пароли в базу

В этом разделе последовательность шагов и скриншоты приводятся для сайта. Но вы можете сделать то же самое в приложении для компьютера, браузерном расширении, мобильном приложении.

После входа в свой аккаунт на сайте вы увидите примерно такую картину:

Главное окно на сайте
Главное окно на сайте. Источник: скриншот сайта Bitwarden.

Нажмите кнопку «+ Добавить элемент». Откроется окно, в котором следует указать данные для конкретного аккаунта.

Поля записи
Поля записи. Скриншот сайта Bitwarden.

Вот некоторые элементы.

  • Тип элемента. По умолчанию это «Логин» – информация для входа на сайт. Bitwarden позволяет хранить и другие типы данных. Например, информацию о банковских картах.
  • Имя. По этому слову (фразе) запись будет видна в базе.
  • Папка. Для удобства пользователь может создать папки и распределить записи по ним. Например, «Почта», «Веб-сайт», «Соцсети», «Банки».
  • Имя пользователя. То же, что логин в форме входа на сайт.
  • Ключ проверки подлинности (есть у некоторых сервисов).
  • URL. Адрес страницы, где происходит вход. Bitwarden позволяет сохранить несколько адресов на случай, если к ресурсу возможен доступ с разных страниц.
  • Обнаружение совпадений. Параметр важен для автозаполнения полей «логин» и «пароль» на сайтах. Для каждой страницы можно указать не только точный адрес страницы, но и домен или маску.
  • Заметки. Это поле для любой дополнительной информации.
  • Есть возможность добавить к записи другое поле, если не хватает имеющихся.

Как работать из приложения на компьютере

Самый простой способ работы с логинами/паролями на сайтах – через буфер обмена. 

Приложение Bitwarden
Приложение Bitwarden. Источник: скриншот приложения.

Откройте программу Bitwarden. Выберите нужную запись (щелкните по названию). В правой части экрана есть поле «Веб-сайт». Там же – синяя кнопка «Перейти». Нажмите эту кнопку. В браузере откроется страница входа. 

Вернитесь в программу Bitwarden. В поле «Имя пользователя» есть синяя кнопка. Нажмите ее, чтобы скопировать в память логин. 

На сайте: установите курсор в поле «Логин» («Имя пользователя») и вставьте логин из памяти.

Тем же способом можно скопировать и вставить пароль.

Как работать из браузерного расширения

Расширение позволяет вставлять логины и пароли быстрее, парой щелчков мыши.

После установки расширения нужно войти в аккаунт Bitwarden (понадобятся адрес email и мастер-пароль). 

Браузерное расширение
Браузерное расширение. Источник: скриншот расширения.

Для каждого ресурса вы можете видеть три значка: перейти по ссылке, скопировать логин, скопировать пароль. Можно входить на сайты, копируя логин и пароль в память и вставляя их оттуда. Но давайте попробуем упростить.

Вставка имени пользователя из контекстного меню
Вставка имени пользователя из контекстного меню. Источник: скриншот браузерного расширения Bitwarden.

Откройте нужный сайт. Установите курсор мыши в поле для логина. Щелкните правой кнопкой мыши. В выпадающем окне выберите «Bitwarden – Скопировать имя пользователя – Название соответствующей записи». Проделайте то же самое с паролем.

Автозаполнение
Автозаполнение. Источник: скриншот браузерного расширения Bitwarden.

Вы также можете просто щелкнуть правой кнопкой мыши и выбрать «Bitwarden – Автозаполнение – Название соответствующей записи». Bitwarden автоматически вставит на сайт и логин, и пароль.

Как использовать генератор паролей

Не хотите ломать голову над придумыванием новых паролей? Можно использовать удобный генератор паролей. В приложении Bitwarden эту функцию можно найти в меню «Вид» или в виде кнопки при редактировании конкретной записи.

Генератор паролей
Генератор паролей. Источник: скриншот приложения Bitwarden.

Генератор позволяет задавать желаемую длину пароля и выбирать множество символов. При желании вы можете создать парольную фразу, задав число слов (на английском языке) и разделительный символ. 

Другие опции

Bitwarden обладает дополнительными возможностями. Импорт/экспорт данных и двухфакторная аутентификация уже упоминались. Можно регулировать время нахождения логинов и паролей в буфере памяти. По умолчанию этот параметр установлен в «Никогда», но лучше поменять его на 20 или 30 секунд. Есть опция блокирования доступа к парольной базе при продолжительном бездействии (время тоже можно выбрать самостоятельно).

Есть любопытная функция «Организации». С ее помощью члены семьи или рабочей команды могут использовать пароли совместно. Правда, функция платная. В бесплатной версии число участников ограничено двумя.

Наконец, в Bitwarden есть кнопка, при нажатии на которую ваш пароль будет проверен по «базам утечек». Сервис подсчитает, сколько раз ваш пароль обнаружен в «слитых» ранее и опубликованных в Интернете базах паролей. Функция полезная, но ее использование имеет смысл, если вы доверяете разработчику.

Bitwarden – симпатичный парольный менеджер с хорошим функционалом, достойная альтернатива «ветеранам» в своем классе.

Еще по теме

Автор благодарит консультанта по цифровой безопасности Игоря Колчинского (Санкт-Петербург) за содействие при написании статьи.