Bitwarden-säkerhetsgrunderna och multifaktorkryptering

Lösenordet du använder för att logga in på ditt Bitwarden-konto spelar en central roll för att skydda ditt valv genom att aktivera kryptering och dekryptering. I en ny video diskuterade Tom Lawrence från Lawrence Technology Services vikten av "högentropi huvudlösenord." I klartext betyder det ett huvudlösenord med en ovanlig kombination av tecken och ord som är långa och komplexa.

Lösenordsentropi gör det svårare för illvilliga aktörer att gissa ditt lösenord och få tillgång till ditt valv genom att göra det betydligt svårare och bearbetningsintensivt för en dator att gissa. Kort sagt, "att ha ett bra huvudlösenord ökar entropin exponentiellt" - och därför det opraktiska i att knäcka huvudlösenordet som krypterar ditt valv.

Ditt valv är krypterat med början med huvudlösenordet tillsammans med din e-postadress. Ett starkt huvudlösenord ger den första och viktigaste skyddsnivån. Utöver detta lägger Bitwarden till ytterligare lager av kryptering och skydd – kallad multifaktorkryptering – när ditt valv lagras i Bitwarden-molnet. Detta gör det praktiskt taget omöjligt för en dålig skådespelare att bryta sig in i ditt valv, även om de kunde få tillgång till dina krypterade valvdata. 

När du använder Bitwarden-molnet lagras dina valvdata på säkra molnservrar för att ge bekväm åtkomst till ditt valv på alla dina enheter. Ditt krypterade valv är skyddat med flera faktorer och lager av kryptering staplade ovanpå den befintliga krypteringen som antas av ditt huvudlösenord.

Molndatabasen Bitwarden lagrar ditt krypterade valv och är värd inom den säkra Microsoft Azure-molninfrastrukturen. Den är konfigurerad med en kryptering-at-vila-teknik från Azure som kallas Transparent Data Encryption (TDE). TDE utför realtidskryptering och dekryptering av hela Bitwardens molndatabas, tillhörande säkerhetskopieringsdata och transaktionsloggfiler när de inte är i bruk. Azure hanterar krypteringsnycklarna för TDE, som endast auktoriserade Bitwarden-serverkomponenter kan komma åt. Läs mer om Azures Transparent Data Encryption här.

Dessutom utför Bitwarden-serverapplikationer sin egen kryptering av känsliga databaskolumner relaterade till ditt användarkonto. Huvudlösenordshaschar och skyddade användarnycklar krypteras i farten när de rör sig in och ut ur Bitwardens molndatabas. Dessa krypteringsoperationer på kolumnnivå utförs med nycklar som Bitwarden hanterar i en strikt kontrollerad nyckelhanteringstjänst (KMS).

Bevakar Bitwardens molninfrastruktur är ett robust molndriftsteam som övervakar webbtrafik, skadlig aktivitet och omkretsstyrka. Teamet säkerställer också hög prestanda och drifttid på plattformen. 

Vid överföring av valvdata använder Bitwarden Transport Layer Security (TLS), ett standardkrypteringsprotokoll som de flesta webbplatser och webbtjänster använder idag, inklusive banker, universitet, telekommunikationsapplikationer och mer. Denna säkra kommunikation mellan datorer hindrar tredje part från att fånga upp information över anslutningen. 

En autentiseringshash, härledd från din e-postadress och ditt huvudlösenord, säkerställer att Bitwarden skickar det krypterade valvet till rätt enhet. Autentiserings-hash genereras på din enhet och skickas säkert till servern, som jämför den med den krypterade posten i filen. Endast om poster matchar kommer det krypterade valvet att skickas till din enhet.

Som ett komplement till kryptering erbjuder Bitwarden tvåstegsinloggning, även känd som 2FA eller MFA, för att skydda ditt konto. Med tvåstegsinloggning aktiverad kommer Bitwarden-servern att be dig bevisa vem du är genom en annan form av autentisering – till exempel en hårdvarunyckel, autentiseringskod eller e-postverifiering. 

Ditt Bitwarden-valv krypteras med hjälp av komplexa kryptografiska algoritmer och låses hårt. Ditt huvudlösenord används för att härleda en huvudnyckel, vilket är det enda som kan öppna ditt valv. Huvudnyckeln genereras av en nyckelavledningsfunktion (KDF) som använder ditt huvudlösenord och e-postadress som indata när du loggar in på Bitwarden. Huvudnyckeln lämnar aldrig din enhet och raderas när du låser eller loggar ut från ditt valv.

Funktionen för nyckelhärledning är en specialiserad datoralgoritm som skapar en lång sträng av tecken (nyckeln) från din e-postadress och ditt huvudlösenord. Resultatet från KDF-algoritmen matas tillbaka till sig själv många gånger, så kallade KDF-iterationer, innan det kommer fram till huvudnyckeln. Denna process är komplex, men inte slumpmässig, och kommer alltid att ge samma resultat med samma ingångar och inställningar.

Hur nyckelhärledningsfunktionen skyddar ditt valv

Nyckelhärledningsfunktionen spelar två roller. Först skapar den en huvudnyckel från din e-postadress och ditt huvudlösenord som är lämpligt för krypteringsändamål. För det andra skapar det ett hastighetshinder för alla som försöker ta sig in i ditt valv. Med ett starkt huvudlösenord skulle en hackare behöva göra miljarder eller biljoner lösenordsgissningar för att försöka komma in i ditt valv, och varje KDF-iteration multiplicerar mängden processorkraft och tid som krävs för att göra dessa gissningar. 

Från och med början av 2023 rekommenderar OWASP 600 000 iterationer för PBKDF2-nyckelhärledningsfunktionen. Bitwarden-användare har alltid haft möjlighet att ange antalet iterationer för sitt konto, och 600 000 är nu standardvärdet för nya konton. Bitwarden har också nyligen lagt till ett annat KDF-alternativ som heter Argon2id, som försvarar sig mot GPU-baserade och sidokanalsattacker genom att öka det minne som behövs för att gissa ett huvudlösenordsinmatning. 

Instruktioner om hur du uppdaterar KDF-iterationer finns här, och kom ihåg att det alltid är bra att ha en export av ditt valv innan du gör några inställningar för kryptografiska operationer. Oavsett antalet iterationer är ett starkt huvudlösenord alltid det bästa sättet att skydda dina valvdata.

"Om ditt lösenord är dåligt är sannolikheten att du är säker dålig. Det spelar ingen roll hur många iterationer du har."

Tom Lawrence, expert på informationssäkerhet

Bitwardens säkerhetsstrategi skyddar dina valvdata med flera lager av kryptering och skydd, där varje lager ger extra skydd mot illvilliga aktörer. Avrundat detta är alternativ för multifaktorautentisering, kärnan i identitet och åtkomstprocedurer. Detta tillvägagångssätt säkerställer att din data är säker när den flyttas från en plats till en annan – från din enhet till Bitwarden-servrarna och vice versa, under transport och i vila. Med Bitwarden noll kunskap end-to-end-kryptering skyddas dina känsliga data med ett mycket effektivt försvar i dagens cybersäkerhetsmiljö.

Läs mer om hur du skapar ett starkt huvudlösenord i den här bloggartikeln. 

Läs hjälpartikeln om kryptering eller Bitwarden Security Whitepaper.

Kolla in lösenordsstyrketestverktyget och Strong Password Generator för hjälp med att skapa starka lösenord. 

Besök bitwarden.com idag för att lära dig mer om lösenordshantering, planer, prissättning och hur Bitwarden kan hjälpa dig att hålla dina inloggningar och annan känslig data säker!