Nu cybersecurity een topprioriteit is, implementeren veel bedrijven en ondernemingen single sign-on (SSO) om het aantal login-ID’s en wachtwoorden van medewerkers te verminderen. Naast het vergroten van de veiligheid helpt toegang met één klik via SSO de gebruikerservaring te verbeteren en de productiviteit te verhogen.
Bitwarden begrijpt waarom ondernemingen voor SSO kiezen en biedt meerdere authenticatieopties om voor de behoeften van elk bedrijf de juiste configuratie te leveren.
Deze implementatieopties sluiten aan bij de fundamentele ontwerpdoelen van Bitwarden en onze technische aanpak, die begint bij het concept van zero-knowledge-encryptie.
Aanvullende bronnen
Gids: Enterprise-naslaggids voor Bitwarden-authenticatie
Help-artikel: Login met SSO en door klant beheerde encryptie implementeren met een Key Connector
Blog: Hoe zero knowledge de weg vrijmaakt voor end-to-end-encryptie
Ontdek Bitwarden Login met SSO en door klant beheerde encryptie met een gratis zakelijke proefperiode van 7 dagen.
Zero-knowledge-encryptie: de definitieve beveiligingsaanpak
Bitwarden bouwt voort op het principe van zero-knowledge-encryptie. Dit betekent dat alles wat je in een Bitwarden-kluis opslaat, versleuteld is en door niemand kan worden bekeken, behalve door jezelf of geautoriseerde gebruikers binnen je bedrijf. De meeste wachtwoordbeheerders passen een zero-knowledge-encryptieaanpak toe, zij het in verschillende mate. Bitwarden combineert end-to-end-encryptie met volledige zero-knowledge-encryptie, zodat niemand toegang heeft, zelfs Bitwarden niet.
Snel overzicht
Bij end-to-end-encryptie, encryptie en decryptie vinden plaats op apparaatniveau. Kluisgegevens worden versleuteld voordat ze de telefoon of computer verlaten en op de bestemming ontsleuteld. Bitwarden gebruikt AES-CBC 256-bits encryptie, salted hashing en PBKDF2 SHA-256 om alle kluisgegevens te beschermen.
Met zero-knowledge-encryptie, hebben Bitwarden-teamleden geen toegang tot uw gegevens. Uw gegevens blijven in plaats daarvan end-to-end versleuteld met uw e-mailadres en hoofdwachtwoord. Natuurlijk zijn niet alle commerciële toepassingen en diensten met dit framework gebouwd, of hoeven ze daarmee gebouwd te worden. In niet-versleutelde toepassingen bieden gebruikersnamen en wachtwoorden toegang. Zonder encryptieprotocol kunnen softwareaanbieders toegang krijgen tot alle gebruikersgegevens die in de toepassing zijn opgeslagen.
Wanneer een gebruiker inlogt bij Bitwarden, een versleutelde toepassing, gebeuren er twee dingen: authenticatie en decryptie. De gebruiker moet zich eerst authenticeren om toegang te krijgen tot versleutelde kluisgegevens, die vervolgens lokaal worden ontsleuteld met de sleutel van de gebruiker, afgeleid van diens hoofdwachtwoord. Voor de meeste Bitwarden-gebruikers maakt hun hoofdwachtwoord beide stappen mogelijk. Het dient zowel als authenticatiemiddel als decryptiesleutel.
Bedrijven die SSO met Bitwarden willen benutten, doen er goed aan de flexibele opties van Bitwarden te overwegen.
Een unieke aanpak voor SSO met versleutelde toepassingen
Met SSO en niet-versleutelde toepassingen authenticeren gebruikers zich met één set inloggegevens om toegang te krijgen tot meerdere toepassingen. In veel gevallen is dat alles wat zakelijke eindgebruikers nodig hebben. SSO verzorgt in deze gevallen alleen de authenticatie, omdat er geen versleutelde informatie is.
Om zero-knowledge-encryptie te behouden, scheidt Bitwarden authenticatie en decryptie voor SSO in twee afzonderlijke stappen: authenticatie via de SSO-provider, gevolgd door decryptie en toegang tot de kluis via een hoofdwachtwoord. Daardoor lopen decryptiesleutels nooit via Bitwarden-servers en behouden gebruikers inloggegevens voor SSO en hun eigen decryptiesleutel voor Bitwarden.
Zero-knowledge-encryptie behouden met SSO
Om uiteenlopende ondernemingen met verschillende IT-middelen en ecosystemen optimaal te bedienen, biedt Bitwarden twee implementatieopties om zijn oplossing met SSO te integreren.
SSO met vertrouwde apparaten
Deze optie biedt medewerkers een wachtwoordloze ervaring voor ondernemingen via een model met vertrouwde apparaten, wat het algemene loginproces eenvoudiger, sneller en schaalbaarder maakt. Zodra ze een login op een nieuw apparaat (Bitwarden-client/app) hebben goedgekeurd en deze is bevestigd, hoeft een gebruiker alleen via SSO geauthenticeerd te zijn om toegang te krijgen tot versleutelde kluisgegevens. Een encryptiesleutel die wordt gebruikt als onderdeel van het decryptieproces, wordt veilig opgeslagen als onderdeel van de appbestanden op het apparaat. Zodra de SSO-service de gebruiker authenticeert, kan het apparaat de gegevens dus ontsleutelen zonder extra invoer van de gebruiker.
Lees meer over SSO met vertrouwde apparaten hier
Login met SSO
Login met SSO gebruikt de SSO-provider voor authenticatie en vervolgens een Bitwarden-hoofdwachtwoord van de gebruiker om diens gegevens te ontsleutelen. Dit is de eenvoudigste implementatieoptie voor IT-teams om het SSO-authenticatieproces te behouden en een uniek wachtwoord voor decryptie te handhaven met een zero-knowledge-encryptiemodel.
Lees meer over login met SSO hier
Login met SSO en door de klant beheerde encryptie
Deze optie integreert de stappen om gebruikersgegevens te ontsleutelen, waarbij IT-beheerders een key-connector-toepassing (of een sleutelbeheerserver) implementeren en beheren om de encryptiesleutels van gebruikers voor Bitwarden-kluizen te bewaren.
Via een zelfgehoste sleutelserver slaan bedrijven de sleutels op, beheren ze deze en leveren ze deze automatisch om gegevens van gebruikers te ontsleutelen wanneer zij zich via SSO aanmelden bij Bitwarden. Het proces behoudt zero-knowledge-encryptie aan de kant van Bitwarden en is naadloos voor gebruikers: ze loggen in via SSO en krijgen direct toegang tot hun ontsleutelde Bitwarden-kluis, allemaal in één stap.
Omdat de sleutelserver gevoelige gebruikersgegevens bevat, is het cruciaal dat bedrijven begrijpen hoe ze de server moeten implementeren, back-uppen en onderhouden, en hoe ze strenge beveiligingsbeleidsregels moeten invoeren. Het beheer van cryptografische sleutels is uiterst gevoelig en wordt alleen aanbevolen voor ondernemingen met een team dat infrastructuur gebruikt waarop al veilig een sleutelserver is geïmplementeerd en beheerd.
De meest uitgebreide beschikbare opties voor SSO-integratie
Bitwarden zet zich in om bedrijven te beschermen en wachtwoordbeveiliging eenvoudig te maken voor eindgebruikers. De SSO-opties van Bitwarden bevorderen en stimuleren gebruikersacceptatie en vereenvoudigen de gebruikerservaring, terwijl ze trouw blijven aan de aanpak van zero-knowledge-encryptie.
Wanneer u voor Bitwarden kiest, krijgt u de flexibiliteit om elke identiteitsprovider te gebruiken die SAML- of OpenID-standaarden ondersteunt. De unieke combinatie van het kiezen van uw eigen identiteitsprovider en de SSO-opties die Bitwarden biedt, betekent dat bedrijven het juiste authenticatie- en decryptiemodel kunnen implementeren met een vertrouwde, opensource aanpak.