När mer av våra dagliga och professionella liv rör sig online, beror både personlig och företagssäkerhet på oss alla. Cyberattacker och dataintrång fortsätter tyvärr, och lösenordshantering nämns ofta som ett enkelt steg för att minska risken.
Men hur kan du lita på att ett företag håller alla dina hemligheter hemliga? Svaret ligger i end-to-end-kryptering, som lägger grunden för applikationer med "noll kunskap"-arkitekturer.
I en ny artikel om Tech Radar, noterade författaren Christian Rigg,
Noll kunskap hänvisar till policyer och arkitektur som eliminerar möjligheten för en lösenordshanterare att komma åt ditt lösenord.
Även om detta är en perfekt förklaring av noll kunskap för en bred publik, kommer säkerhetsexperter att skilja sig åt i tolkningen av noll kunskap. Vi vet att vi vill ha noll kunskap när det gäller att säkert hantera krypterade lösenord med lösenordshanterare, men vad betyder det exakt?
Zero knowledge refers to policies and architecture that eliminate the possibility for a password manager to access your password.
Börja med stark end-to-end-kryptering
Grunden för en säker arkitektur börjar med kryptering, närmare bestämt end-to-end-kryptering. På Bitwarden krypterar vi din känsliga data omedelbart så snart du anger den i en Bitwarden-klient. Innan du lagrar data på din enhet är den krypterad. Det finns inget som heter okrypterad Vault-data, förutom när du har kontroll, när du ser informationen i en Bitwarden-klient där du har angett din e-postadress och ditt huvudlösenord.
Därifrån förblir all Vault-data krypterad när den skickas till Bitwarden-molnet eller en självvärd Bitwarden-server. Vid synkronisering av data till andra klienter förblir den krypterad tills den unika e-postadressen och huvudlösenordet skrivs in igen.
Detta innebär att Bitwarden som företag inte kan se dina lösenord, de förblir krypterade från början med din individuella e-postadress och ditt huvudlösenord. Vi lagrar aldrig och kan inte komma åt ditt huvudlösenord.
För Vault-data använder Bitwarden AES 256-bitars kryptering, en industristandard som anses vara nästan okrossbar. För ditt huvudlösenord används PBKDF2 SHA-256 för att härleda nyckeln som krypterar dina valvdata. För att läsa mer om Bitwarden säkerhet, vänligen besök vår säkerhet FAQ.
Förståeligt nog är den viktiga detaljen i end-to-end-kryptering nyckeln till att dekryptera. Så länge detta bara finns hos slutanvändaren kan en lösning utvecklas till en noll kunskapsarkitektur.
Det finns fall där programvaru- och tjänsteleverantörer främjar kryptering men behåller nyckeln. Dessa fall kvalificerar inte som noll kunskap ur vårt perspektiv eftersom mjukvaran och tjänsteleverantörerna tekniskt sett har förmågan att dekryptera data.
Ge användarna nyckelkontroll för noll kunskapskryptering
När användare har kontroll över krypteringsnyckeln kontrollerar de åtkomsten till datan och kan tillhandahålla krypterad data till en lösenordshanterare utan att lösenordshanteringsföretaget har tillgång till eller kunskap om den datan.
Detta är den grundläggande utgångspunkten för vilken väldesignade lösenordshanterare arbetar. De underlättar starka och unika lösenord som bara du kan komma åt. Att göra det kräver noll kunskap om den hemliga datan, och därför måste användare kontrollera krypteringsnyckeln. Vi hänvisar till detta som noll kunskapskryptering.
Men det finns information bortom den hemliga Vault-datan som kan delas med en programvara eller tjänsteleverantör. Till exempel kan en e-postadress fungera som en unik kundidentifierare. Man skulle kunna hävda att detta inte är noll kunskap, och det skulle vara korrekt.
Minst noll kunskap måste avse hemlig data. I fallet med en lösenordshanterare betyder det all information i lösenordsvalvet. Samtidigt är det viktigt att inse verkligheten av programvara, tjänster och användare, och att för att en kommersiell relation ska kunna existera, måste deras sannolikt vara viss kunskap som utbyts mellan parterna.
I lösenordshanterarens värld kan den linjen bli suddig. Till exempel finns det vissa lösenordshanterare (inte Bitwarden) som behåller okrypterade webbadresser och webbplatser som du lagrar lösenord för. Även om de hävdar att detta gynnar användarna, ger det i slutändan dessa företag detaljerad information om vilka webbplatser användare besöker, när de gör det och varje inloggning.
Bitwarden har en mer konservativ syn på vad som utgör känslig data och krypterar därför all information i ditt valv, inklusive de webbplatser du besöker, även namnen på dina individuella objekt och mappar. Vi använder termen noll kunskapskryptering eftersom bara du behåller nycklarna till ditt valv, och hela ditt valv är krypterad. Bitwarden kan inte se dina lösenord, dina webbplatser eller något annat som du lägger i ditt valv. Bitwarden känner inte heller till ditt huvudlösenord. Så ta väl hand om den, för om den försvinner kan Bitwarden-teamet inte återställa den åt dig.
Noll förtroende som ett skyddande tankesätt
Nollförtroendemodellen uppstod initialt som ett sätt för organisationer att ta sig bortom det traditionella tänkandet om interna och externa hot mot sin IT-verksamhet. Idag behöver företag skydda sig mot hot som kommer både inifrån och utifrån. Zero Trust-modeller använder ofta teknologier som identitets- och åtkomsthantering, kryptering, multifaktorautentisering och drifttillstånd.
Naturligtvis, mellan lösenordshanterare och användare som antar programvara eller tjänster, kommer det sannolikt att finnas åtminstone ett element av förtroende mellan de två parterna. Lösenordshanteringsleverantören litar på att användaren inte kommer att bryta mot användarvillkoren, och användaren litar på att lösenordshanteringsleverantören kommer att leva upp till sitt angivna erbjudande. Men alla har det bättre om gränserna för erforderligt förtroende begränsas, så att även möjligheten att känsliga data äventyras helt elimineras, därav nollförtroendemodellen.
Medan vi står vid sidan av att stödja våra kunder med en pålitlig relation, kan vi minska beroendet av underförstått förtroende genom Bitwardens erbjudande som är självvärd. Denna implementering ger företag större flexibilitet och kontroll över sin infrastruktur. Att köra din egen Bitwarden-instans kan vara på ett airgap-nätverk, vilket ytterligare minskar riskerna genom att kopplas bort från internet.
På Bitwarden tar vi denna pålitliga relation med våra användare på allvar. Vi byggde också vår lösning för att vara säker och säker med end-to-end-kryptering för all Vault-data, inklusive webbadresser, så att din känsliga data är "noll trust" säker.
Förstå och anta säker krypteringsmetoder
Vi vill att våra användare ska vara välinformerade om säkerhetspraxis i allmänhet och med de fördelar Bitwarden ger. Med kryptering, sök en komplett end-to-end-krypteringsarkitektur där endast slutanvändaren behåller nyckeln, och se till att all känslig data krypteras med den arkitekturen.
För många är det lättare att förstå noll kunskap än end-to-end kryptering, och vi gillar lätt! Men vi förstår också krångligheterna i dessa termer och strävar efter att behålla tydliga definitioner. Vi hoppas att den här artikeln hjälper till att förtydliga vår filosofi och vårt tillvägagångssätt.
Om du vill prova en krypteringslösning med noll kunskap idag kan du registrera dig för ett gratis Bitwarden-konto här.