Security-Champion im Porträt: Open-Source-Mitwirkender macht vergessenen Passwörtern ein Ende

Name: Bryce Bounds

Bitwarden-Benutzer seit: 2021

Standort: Fort Lauderdale, Florida

Branche: Öffentlicher Sektor

Im Jahr 2021 hatte Bryce Bounds Schwierigkeiten, sich die Hunderte von Passwörtern zu merken, die er zwischen persönlichen Konten und seiner Rolle als Architekt für die lokale Bezirksverwaltung jonglierte. Bryce erinnert sich: „Es kam an den Punkt, an dem keine noch so große Anzahl von Varianten desselben Passworts mit angehängten Sonderzeichen ausgereicht hätte, um alles abzudecken, was ich brauchte. Es war zu viel, um den Überblick zu behalten.“ Bryce erkannte, dass er einen Passwort-Manager brauchte. 

Als engagiertes Mitglied der Open-Source-Software-Community und regelmäßiger Mitwirkender an verschiedenen Open-Source-Projekten wusste Bryce, dass er einen Passwort-Manager wollte, der Open Source genauso schätzte wie er. „Ich habe im Laufe der Jahre an etlichen Projekten mitgewirkt, vom Hardware-Debugging bei OpenWRT bis hin zu frühem Code für Blogger“, sagte Bryce. „Ich schätze Open-Source-Lösungen, die auditierbar sind und bei Bedarf angepasst werden können, wobei die Kontrolle durch die Benutzer im Vordergrund steht.“ 

Auf Reddits beliebtem Self-Hosting-Subreddit fand er einen inoffiziellen Fork eines Drittanbieters, der den Open-Source-Code von Bitwarden nutzte, und setzte eine Docker-Instanz auf, um seine Passwörter zu organisieren. Damit begann seine Reise mit dem Bitwarden Passwort-Manager.

Während Bryce seine Passwörter im Berufs- und Privatleben erfolgreich verwalten konnte, hatte das Familienunternehmen Schwierigkeiten, seine Passwörter in einer Unternehmensumgebung zu verwalten.

Bounds Law Offices nutzte eine Lösung für Privatnutzer, um Passwörter zu verwalten, doch die Software hatte gravierende Mängel. „Sie war nicht für mehrere Benutzer ausgelegt“, sagte Bryce. „Das verhinderte jede Art von Passwort-Audit, wenn Mitarbeiter das Produkt missbrauchten, da jeder Rechner bei demselben Konto angemeldet war.“

Bryce erklärt: „Ein Mitarbeiter vergaß ein Passwort, klickte also auf ‚Passwort zurücksetzen‘, änderte es und speicherte dann das neue Passwort im System. Das führte dazu, dass immer wieder mehrere Datensätze desselben Kontos mit unterschiedlichen Passwörtern entstanden, bis die Passwortdatenbank über 300 Einträge umfasste“, so Bryce. 

Da die Kanzlei viele Mitarbeiter ohne technische Erfahrung hatte, war es Bounds Law Offices wichtig, eine Lösung zu finden, mit der sich Zugangsdaten von Konten einfach automatisch ausfüllen lassen. „Die Aufgabe, die mir gestellt wurde, bestand darin, ein alternatives System zu finden, das automatisch ausfüllen und uns mitteilen kann, wenn ein Passwort aktualisiert oder geändert wurde“, sagte Bryce.

Bryce Bounds dachte sofort an den Bitwarden Passwort-Manager, der Unternehmensfunktionen bot, die über das hinausgingen, was mit dem inoffiziellen Drittanbieterprojekt verfügbar war – einschließlich Integrationen für Single Sign-On (SSO) und organisatorischer Sammlungen mit administrativer Kontrolle und Auditing. 

Das Unternehmen „stellte bereits von der Anmeldung aller Mitarbeitenden mit lokalen Workstation-Konten auf Microsoft Azure AD um. Die Integration von Bitwarden Single Sign-On (SSO) machte den Wechsel des Passwort-Managers für Endbenutzer daher nahtlos.“

Das Engagement für Compliance, Transparenz und Sicherheit war ebenfalls ein wichtiges Verkaufsargument für Bitwarden. „[Bounds Law Offices] verfügt über Unmengen an HIPAA- und PII-Daten. Man kann diese nicht einfach mit einem Passwort in einer Excel-Tabelle oder mit Haftnotizen unter der Tastatur absichern“, sagte Bryce. 

Die Sicherheits- und Datenschutz-Compliance von Bitwarden, etwa SOC 2, DSGVO und HIPAA, entsprach den Compliance-Anforderungen der Ethikrichtlinien der American Bar Association für Anwälte. Zusätzlich zur Open-Source-Transparenz von Bitwarden und zu Audits durch Drittanbieter halfen diese Compliance-Anforderungen der Kanzlei, darauf zu vertrauen, dass Bitwarden ihre sensiblen Informationen schützt.

Schluss mit schlechten Passwortpraktiken

Mit Bitwarden konnte Bounds Law Offices sofort Problembereiche bei seinen Passwörtern erkennen, die mit der vorherigen Lösung übersehen worden waren.

Da mehrere Mitarbeitende von Bounds Law bei jeder Anmeldung bei Konten ein neues Passwort erstellt hatten, anstatt die bereits in ihrer vorherigen Verbraucherlösung vorhandenen Einträge zu nutzen, gab es in Bitwarden anfangs viele doppelte Einträge. Die Bitwarden-Audit-Protokolle „ermöglichten uns zu sehen, wer sich weiterhin anmeldete und Passwörter änderte“, sagte Bryce. Etwa 70 % der 300 importierten Passwörter waren nicht mehr gültig und waren inzwischen geändert worden. Mit Bitwarden verhinderte Bounds Law Offices, dass diese schlechten Passwortpraktiken fortgesetzt wurden.

Gewähren Sie Zugriff auf Zugangsdaten nur denjenigen, die ihn benötigen

Mit Bitwarden-Sammlungen konnte Bounds Law Offices seine Zugangsdaten nach Funktion organisieren und Zugriffsberechtigungen rollenbasiert nach Bedarf zuweisen. „Wir haben alles aus einem monolithischen Container in organisierte Container mit unterschiedlichen Zugriffsrichtlinien überführt, je nachdem, wer Zugriff auf welche Kombinationen aus Passwort und Benutzername benötigte“, sagte Bryce. So konnte die Kanzlei sicherstellen, dass nur diejenigen Zugriff auf ein bestimmtes Passwort oder einen bestimmten Benutzernamen erhielten, die ihn benötigten.

Teilen Sie Bitwarden mit Ihren Kollegen, Ihrem IT-Team, der Führungsebene oder allen Genannten mithilfe dieser E-Mail-Vorlagen, die die wichtigsten Gründe für die Nutzung eines Passwort-Managers wie Bitwarden erläutern! 

Wenn Sie bereit sind, mit dem Open-Source-Passwort-Manager loszulegen, dem Millionen vertrauen, starten Sie eine kostenlose 7-Tage-Testversion noch heute!