Если у вас есть хотя бы пять паролей к разным аккаунтам, держать их в голове становится непросто. На помощь приходят менеджеры паролей. Это небольшие программные решения, которые позволяют хранить пароли (а иногда и другие ценные данные) в защищенной базе. Парольные менеджеры очень популярны, их много. Сегодня мы поговорим про Bitwarden.

Общая информация

Проект Bitwarden стартовал в 2016 году. Разработчик – Bitwarden Inc., юрисдикция – Флорида, США. Вот некоторые свойства Bitwarden.

• Десктопные версии есть для Windows, macOS, Linux. Для Windows предусмотрен также вариант без установки (можно запускать программу с флешки).
• Есть приложения для Android и iOS.
• Можно установить браузерные расширения. Поддерживаются все популярные браузеры: Google Chrome, Mozilla Firefox, Safari, Edge, а также браузеры на основе Chromium (например, Brave).
• Продукт локализован (интерфейс переведен на русский язык).
• Открытый код, доступен на Github. В 2018 году Bitwarden успешно прошел аудит безопасности (аудит был выполнен сторонней компанией по заказу разработчика).
• Полнофункциональная бесплатная версия (также есть платная премиум-версия).
• Встроенный генератор паролей.
• Простой импорт паролей из других менеджеров, а также из браузеров Chrome и Firefox.
• Хранение паролей в собственном облаке.
• Легкая синхронизация между разными устройствами.
• Сквозное шифрование: ваши пароли шифруются на вашем же устройстве, разработчики Bitwarden и третьи лица их не видят.
• Поддержка двухфакторной аутентификации, например, с помощью генераторов кодов andOTP, Google Authenticator или Authy.

Bitwarden, KeePassХС, LastPass

Парольные менеджеры часто сравнивают друг с другом.

Например, в KeePassXC база хранится у самого пользователя. На жёстком диске, на флешке, на сайте – по выбору.

Bitwarden и некоторые другие (например, Lastpass) предлагают иной подход. Здесь пароли хранятся в облаке провайдера. Благодаря этому, в частности, упрощается синхронизация между устройствами. Но за удобство приходится платить. Облачное хранение фактически означает, что пользователь доверяет её хранение владельцу сервиса. У Bitwarden есть два главных преимущества перед LastPass.

Первое – открытый код Bitwarden. Любой специалист может изучить приложение «изнутри» и убедиться, что в нем нет ошибок или преднамеренных «закладок». Конечно, значение открытого кода не следует возводить в абсолют. Например, код периодически меняется в связи с появлением новых версий продукта. Но вообще открытый код – преимущество, когда речь идет о цифровой безопасности. Программа с закрытым кодом (проприетарная) – «черный ящик». Безопасность такого «черного ящика» сложнее оценить.

По умолчанию Bitwarden хранит ваши пароли в облаке Microsoft Azure. Если вам это по каким-то причинам не нравится, можно хранить базу на собственном ресурсе (self-hosted). Вы не привязаны к серверам провайдера. Это второй существенный плюс.

Кроме того, на момент написания этой статьи Bitwarden был переведен на русский язык, а LastPass нет. Для некоторых пользователей это может быть важно при выборе парольного менеджера.

Четыре инструмента Bitwarden

С Bitwarden можно работать четырьмя способами.

• Десктопное приложение. В ежедневной работе приложение Bitwarden может оказаться удобнее всего. Здесь вам доступен самый полный функционал Bitwarden. Некоторые настройки, например, автоматическая очистка буфера обмена, куда копируются логины и пароли, доступны только в приложении.
• Аккаунт на сайте bitwarden.com. На мой взгляд, этот способ менее удобен. Однако некоторые опции, например, включение двухфакторной аутентификации, возможны только на сайте. Работать через сайт логично, если требуется открыть парольную базу на чужом компьютере. (Лучше, конечно, это не делать, но всякое бывает.) Вы также можете захотеть использовать сайт, если ваша модель угроз вынуждает скрывать сам факт использования программы для защиты данных.
• Браузерное расширение. Поддерживает основные функции. Позволяет быстро вставлять логины и пароли в формы на сайтах.
• Мобильное приложение.

Как создать аккаунт Bitwarden

Зайдите на bitwarden.com. В верхнем меню выберите «Get started». Откроется окно-форма создания аккаунта. Заполните поля.

Мастер-пароль нужен для входа в аккаунт и защиты вашей парольной базы. Это должен быть хороший, надёжный пароль. Вы сможете в любое время поменять его в настройках. Запомните мастер-пароль, а лучше на первое время запишите где-нибудь, пока не запомните. По соображениям безопасности в менеджерах паролей нет возможности восстановить мастер-пароль, если вы его забудете.

Сразу после нажатия на кнопку «Подтвердить» мелькнёт зеленое окошко со словами об успешно созданном аккаунте. Подтверждения по email не требуется.

Теперь для входа в аккаунт Bitwarden в любое время нужно открыть браузер, зайти на https://vault.bitwarden.com/, ввести адрес email и мастер-пароль.

Как добавить логины и пароли в базу

В этом разделе последовательность шагов и скриншоты приводятся для сайта. Но вы можете сделать то же самое в приложении для компьютера, браузерном расширении, мобильном приложении.

После входа в свой аккаунт на сайте вы увидите примерно такую картину:

Нажмите кнопку «+ Добавить элемент». Откроется окно, в котором следует указать данные для конкретного аккаунта.

Вот некоторые элементы.

• Тип элемента. По умолчанию это «Логин» – информация для входа на сайт. Bitwarden позволяет хранить и другие типы данных. Например, информацию о банковских картах.
• Имя. По этому слову (фразе) запись будет видна в базе.
• Папка. Для удобства пользователь может создать папки и распределить записи по ним. Например, «Почта», «Веб-сайт», «Соцсети», «Банки».
• Имя пользователя. То же, что логин в форме входа на сайт.
• Ключ проверки подлинности (есть у некоторых сервисов).
• URL. Адрес страницы, где происходит вход. Bitwarden позволяет сохранить несколько адресов на случай, если к ресурсу возможен доступ с разных страниц.
• Обнаружение совпадений. Параметр важен для автозаполнения полей «логин» и «пароль» на сайтах. Для каждой страницы можно указать не только точный адрес страницы, но и домен или маску.
• Заметки. Это поле для любой дополнительной информации.
• Есть возможность добавить к записи другое поле, если не хватает имеющихся.

Как работать из приложения на компьютере

Примитивный способ работы с логинами/паролями на сайтах – через буфер обмена. 

1. Откройте страницу, где нужно выполнить вход.

2. Откройте программу Bitwarden и выберите соответствующую запись.

3. Скопируйте логин из поля «Имя пользователя» с помощью кнопки справа от поля.

4. На сайте: установите курсор в поле «Логин» («Имя пользователя») и вставьте логин из памяти.

Тем же способом можно скопировать и вставить пароль.

Этот вариант простой, но требует заметных ручных действий, многие считают его неудобным. Чтобы автоматизировать процесс, установите браузерное расширение Bitwarden.

Как работать из браузерного расширения

Расширение позволяет вставлять логины и пароли парой щелчков мыши.

1. Сначала установим расширение.

• Расширение Bitwarden для Google Chrome 
• Расширение Bitwarden для Mozilla Firefox 
• Расширение Bitwarden для Safari

2. При первом запуске расширения нужно войти в аккаунт.

Нажмите кнопку «Войти».

3. В открывшемся окне нужно ввести email и пароль к аккаунту Bitwarden.

4. Теперь вам достаточно открыть нужный сайт и щёлкнуть по значку Bitwarden в браузере. Bitwarden найдёт запись в парольной базе по доменному имени и предложит варианты. (Это важно, потому что у одного пользователя вполне может быть несколько аккаунтов на одном и том же сайте).

Выберите нужный, и Bitwarden автоматически подставит в поле формы и логин, и пароль. Останется только нажать кнопку «Войти» на сайте.

Генератор паролей

В Bitwarden встроен удобный генератор паролей. Его можно найти в меню «Вид» или в виде кнопки при редактировании конкретной записи. Если вы используете браузерное расширение, достаточно щёлкнуть по значку Bitwarden в панели браузера, и в выпадающем окне вы увидите генератор в нижнем меню.

Нажмите «Генератор».

Генератор позволяет задавать желаемую длину пароля и выбирать множество символов. При желании вы можете создать парольную фразу, задав число слов (на английском языке) и разделительный символ. 

Другие опции

Bitwarden обладает дополнительными возможностями. Импорт/экспорт данных и двухфакторная аутентификация уже упоминались. Можно регулировать время нахождения логинов и паролей в буфере памяти. По умолчанию этот параметр установлен в «Никогда», но лучше поменять его на 20 или 30 секунд. Есть опция блокирования доступа к парольной базе при продолжительном бездействии (время тоже можно выбрать самостоятельно).

Есть любопытная функция «Организации». С ее помощью члены семьи или рабочей команды могут использовать пароли совместно. Правда, функция платная. В бесплатной версии число участников ограничено двумя.

Существуют шаблоны для хранения данных банковских карт (очень удобно). А ещё Bitwarden позволяет хранить небольшие текстовые заметки. Так что если вы ищете какой-нибудь небольшой блокнот с хранением данных в облаке, но «чтобы понадёжнее», возможно, это ваш выбор.

Наконец, в Bitwarden есть кнопка, при нажатии на которую ваш пароль будет проверен по «базам утечек». Сервис подсчитает, сколько раз ваш пароль обнаружен в «слитых» ранее и опубликованных в Интернете базах паролей. Функция полезная, но ее использование имеет смысл, если вы доверяете разработчику.

Автор благодарит консультанта по цифровой безопасности Игоря Колчинского (Санкт-Петербург) за содействие при написании статьи. Впервые было опубликовано на сайте «Теплицы социальных технологий».