Saako tuon Bitwardenin toimimaan siis samalla tavalla kuin Chromen sisäisen passunhallinnan eli jos tulen sivustolle, johon Bitwardenista löytyy tunnus ja passu niin se ehdottaa niitä automaattisesti eikä niin, että pitää erikseen avata jokin erillinen ohjelma ja sieltä käydä kopioimassa tunnus ja salasana?
Se on siis selain lisäosa jonka kautta voi hallinnoida sitä koko tietokantaa. Auto fill on (oletuksena pois päältä muistaakseni) eli parhaassa tapauksessa ei tarvitse painaa kuin kirjaudu. Sivujen tunnistettavuus ja kenttien täyttömahdollisuus riippuu sivusta.
Ehkä kokeilisin Lastpassia jos tähän asti oot käyttänyt selaimen sisäistä, kun tuo Bitwarden on edelleen vähän kehityksessä. Muuten ne toimii aika samalla tavalla.
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, and then another similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, database logs showed no evidence of a non-administrator user being elevated to administrator privileges), but neither could they determine the root cause of the anomalies. Furthermore, given the size of the anomalies, it is theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass decommissioned the "breached" servers so they could be rebuilt and, on May 4, 2011, they requested that all users change their master password. However, the resulting user traffic overwhelmed the login servers and, temporarily, administrators were asking users to refrain from changing their passwords until further notice, having judged that the possibility of the passwords themselves being compromised was trivially small. LastPass also stated that while there was no direct evidence any customer information was directly compromised, they preferred to err on the side of caution.[22][23]
2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team discovered and blocked suspicious activity on their network on the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised. LastPass encrypted user vault data were not taken in this incident. The blogpost was quoted as saying, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[24][25]
2016 incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[26] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[27]
2017 incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[28]
On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[29][30]
Se on siis selain lisäosa jonka kautta voi hallinnoida sitä koko tietokantaa. Auto fill on (oletuksena pois päältä muistaakseni) eli parhaassa tapauksessa ei tarvitse painaa kuin kirjaudu. Sivujen tunnistettavuus ja kenttien täyttömahdollisuus riippuu sivusta.
Ehkä kokeilisin Lastpassia jos tähän asti oot käyttänyt selaimen sisäistä, kun tuo Bitwarden on edelleen vähän kehityksessä. Muuten ne toimii aika samalla tavalla.
En tosin vielä kerennyt löytämään asetusta tolle autofillille vaan context menun kautta testailin toimivuutta. Ihan näppärä noinkin ja toimi myös sivustoilla joilla Chrome ei itse jostain syystä osannut tarjota salasanaa.
Ihan tyytyväinen näin alkuun, nyt vaan sitten vaihtamaan joka paikkaan salasana ja pitäisi joku fiksu master password keksiä.
Vaihdoin Lastpassista Bitwardeniin ja tällä kertaa varmaan lopullisesti. Lastpassiin verrattuna:
+ Sivumatching paljon yksinkertaisempi, entryyn tallennetaan URI (URL) tai useampia ja niiden matching-säännöt ne näkee heti muokatessa. Lastpass tallentaa joskus hirveän määrän eri nimillä eri kenttiä jos katsotte sinne "Edit Form Fields" ja niitä on vaikea muokata arvaamalla. Lastpassin tapa tuntuu nyt aika typerältä.
+ yllä mainitusta syystä käytännössä myös Bitwardenin matchaus toimii paremmin
+ pidän enemmän Bitwardenin web vaultin käyttöliittymästä sekä lisäosan toimintatavasta, etenkin se että selainlisäosa toimii kokonaan siinä omassa ikkunassaan ilman että availee joka toista toimintoa uuteen tabiin (niin kuin Lastpass tekee ainakin Chromessa)
() ei custom format secure noteseja muuta kuin valmiit luottokortille ja henkilöille, mutta tavallisiin entryihin voi lisätä vähän samalla tavalla lisäkenttiä
- Android-sovellus vähän tahmea... UI ei ole vissiin natiivi vaan osittain web app
- ei "roskakoria" (Lastpassin "deleted items")
Yksi aiemmin vaivannut puute oli salasanahistoria (vai oliko se ennen premium-ominaisuus?). Alaosassa jossa lukee edellinen päivitys numeroa klikkaamalla näkee. Hyvin piilotettu.
On itselläkin nyt ollut tuo Bitwarden reilun kuukauden käytössä ja ei voi kuin kehua. Ei omassa käytössä ole yhtäkään ongelmaa ollut. Ainoastaan se, että piti vaihtaa n. 200 salasanaa eri paikkoihin mutta toivottavasti ei koskaan enää tarvitse tehdä tuota uudestaan.
Tuosta Android-sovelluksen tahmeudesta sen verran, että ilmeisesti toimii yhtä hyvin (huonosti) kaikissa vastaavissa tuo salasanojen automaattitäyttö esimerkiksi. Eli lienee Androidissa itsessään ongelma.
Osaisikohan joku sanoa, että mitä tuon Bitwarden-ikonin on tarkoitus tehdä tuossa Androidin "ylävalikossa", jossa näkyy WiFi, näytönkääntö, NFC, BT jne.?
Tuosta Android-sovelluksen tahmeudesta sen verran, että ilmeisesti toimii yhtä hyvin (huonosti) kaikissa vastaavissa tuo salasanojen automaattitäyttö esimerkiksi. Eli lienee Androidissa itsessään ongelma.
Se voi hidastaa erikseen mutta se itse sovellus on ilman auto-filliäkin vaan hidas, varmaan siksi kun se on ilmeisesti osittain web app (?). Mulla menee pari vuotta vanhalla Android-tuhnulla useita sekunteja ns. kylmä avaamisesta siihen että salasana/pin on laitettu ja vault avattu.
Tulipas vaihdettua tänään LastPass lähes 10v käytön jälkeen Bitwardeniin.
Tietokannan exporttaus sujui hyvin. Muutamat notesit ja kaikki liitteet katosivat, mutta muuten ei isompia ongelmia. Tuli ostettua samantien premium oikeastaan pelkästään liitteiden vuoksi.
Ihan tyytyväinen olen, mutta muutama itseäni häiritsevä iso puute:
- PC:llä selainlaajennuksessa ei saa täytön pikanäppäimeksi ctrl+nuoli ylös/alas johon olen LastPassin kanssa tottunut. Itseasiassa itse laajennuksen asetuksissa ei ole laisinkaan pikanäppäimien säätöä vaan ne pitää tehdä suoraan selaimesta ja ainakaan Opera tai Vivaldi ei anna valita tuota edellä mainittua komentoa joten piti muuttaa toiseksi. Tottumiskysymys toki, mutta ctrl+nuoli ollut todella nopea näpäyttää oikealla kädellä (autofill ei toimi kaikilla sivuilla enkä jostain ihme syystä edes tykkää käyttää sitä tietokoneella).
- Androidissa autofill ei toimi yhtä sujuvasti kuin LastPassissa. LastPassin kanssa käytin yläpalkin alasvetovalikkoon laitettua LastPass kuvaketta jota painamalla ruudulle tuli pieni popup-ruutu (alla oleva kuva) josta sai täytettyä tai vaihtoehtoisesti pelkästään kopioitua tunnuksen/salasanan.
Bitwardenin kanssa täyttö tehdään ylävasemmalla näkyvän kuvakkeen kautta jota painamalla hypätään hetkellisesti pois selaimesta eri ohjelmaan. Tottumiskysymys tämäkin, mutta hidastaa käyttöä.
Lisäksi joillakin sivuilla ehdottaa Bitwarden todella useasti automaattitäyttöä com.browser.operalle. Saa useamman kerran poistua täytöstä ja palata, että löytää oikean. Esim. Veikkauksen, Osuuspankin, DNA:n ja muutamien muiden sivujen kirjautumisruuduissa esiintyy tätä.
Sitä en tiedä johtuvatko viat Operasta vai Bitwardenista, mutta LastPassin kanssa toimi aina hyvin. PC:llä ei tätä ongelmaa ole esiintynyt.
Chromen kanssa en edes testaa kun en siihen koske pitkällä tikullakaan. Opera on ja pysyy selaimena (koska syncit) niin kauan kunnes Vivaldi ilmestyy Androidille.
- Android-sovelluksesta puuttuu tumma teema PC:llä löytyy sovelluksesta ja laajennuksesta.
- LastPassissa oli paljon enemmän asetuksia jolla sai säädetty käyttökokemuksen mieleisekseen. Bitwarden on aikalailla pakotettu siihen miten kehittäjät sitä haluavat käyttää. Toki tämä varmasti helpottaa bugien korjaamista, koska ei ole useita eri asetuskomboja jotka voivat mahdollisesti yhdessä ja erikseen aiheuttaa outoja ongelmia.
- Bitwardenin Android-sovellus on hitaampi kuin LastPassin. Ei mitenkään hirvittävästi, mutta kuitenkin niin, että näin käytön alkuvaiheessa pistää silmään joka tilanteessa.
Joka tapauksessa tyytyväinen olen toistaiseksi, jatketaan testaamista...
Lievä ot: tuli samalla vaihdettua LastPass Authenticator -> Microsoft Authenticatoriin kun olin uskossa, että siinä olisi nykyisin backup/restore, mutta pettymykseksi huomasin, että lupauksista huolimatta sitä ei ole vieläkään Androidille tuotu, ainoastaan iOS:lle. Kai se pitää sama rumba tehdä taas ja vaihtaa Authyyn.
Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.
Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.
csv- tai json-tiedoston voit exportata (https://vault.bitwarden.com/#/tools/export).
Jos tarkotit sen varsinaisen salatun kokonaisen tietokannan itse hostaamista, niin että siihen pääsee käsiksi niin kuin KeePassin kanssa niin se on sitten eri juttu ja tarvit siihen ihan oikean Docker-serverin.
ps. Älä laita tuota csv:tä pilveen ellet salaa sitä ensin jollain (vaikka 7zip-pakkaus (.7z) salasanalla). Itse otan varakopion epäsäännöllisin väliajoin.
- PC:llä selainlaajennuksessa ei saa täytön pikanäppäimeksi ctrl+nuoli ylös/alas johon olen LastPassin kanssa tottunut. Itseasiassa itse laajennuksen asetuksissa ei ole laisinkaan pikanäppäimien säätöä vaan ne pitää tehdä suoraan selaimesta ja ainakaan Opera tai Vivaldi ei anna valita tuota edellä mainittua komentoa joten piti muuttaa toiseksi. Tottumiskysymys toki, mutta ctrl+nuoli ollut todella nopea näpäyttää oikealla kädellä (autofill ei toimi kaikilla sivuilla enkä jostain ihme syystä edes tykkää käyttää sitä tietokoneella).
Ainakin Chromium (=Chrome) antaa laittaa ctrl+ylös tai ctrl+alas pikanäppäimeksi joten tuo on Operan ja Vivaldin esto.
Lisäksi joillakin sivuilla ehdottaa Bitwarden todella useasti automaattitäyttöä com.browser.operalle. Saa useamman kerran poistua täytöstä ja palata, että löytää oikean. Esim. Veikkauksen, Osuuspankin, DNA:n ja muutamien muiden sivujen kirjautumisruuduissa esiintyy tätä.
- Bitwardenin Android-sovellus on hitaampi kuin LastPassin. Ei mitenkään hirvittävästi, mutta kuitenkin niin, että näin käytön alkuvaiheessa pistää silmään joka tilanteessa.
Jos Bitwardenin heikkokohta on muutenkin mobiilisovellus niin etenkin siksi koska se on hidas. Entryjen määrästä ja laitteesta riippuen käynnistys (sovelluksen käynnistämisestä siihen kun salasana/pin laitettu ja kohteiden listaus on ruudulla) voi kestää useita sekunteja. Ellen muista väärin niin koko mobiilisovellus oltiin kirjoittamassa uudelleen joten se toivottavasti nopeuttaa.
csv- tai json-tiedoston voit exportata (https://vault.bitwarden.com/#/tools/export).
Jos tarkotit sen varsinaisen salatun kokonaisen tietokannan itse hostaamista, niin että siihen pääsee käsiksi niin kuin KeePassin kanssa niin se on sitten eri juttu ja tarvit siihen ihan oikean Docker-serverin.
ps. Älä laita tuota csv:tä pilveen ellet salaa sitä ensin jollain (vaikka 7zip-pakkaus (.7z) salasanalla). Itse otan varakopion epäsäännöllisin väliajoin.
Saa. Voit avata tekstieditoriin (mieluummin muu kuin Windowsin Notepad joka todennäköisesti näyttää sen päin helvettiä) tai formatoidummassa muodossa näkee jos avaa Exceliin tai Libreoffice Calciin niin näet mitä siellä on eli kaikki paitsi Bitwardenin omat tyypit "identity" ja "cards". Eli siis ne jotka siirtyy on Logins ja Secure Notes ja niiden kansiot. Miten importtaus tapahtuu ja mitä siirtyy riippuu sitten täysin siitä toisesta palvelusta.
csv on se tavallinen import/export formaatti, json on muuta varten.
Saa. Voit avata tekstieditoriin (mieluummin muu kuin Windowsin Notepad joka todennäköisesti näyttää sen päin helvettiä) tai formatoidummassa muodossa näkee jos avaa Exceliin tai Libreoffice Calciin niin näet mitä siellä on eli kaikki paitsi Bitwardenin omat tyypit "identity" ja "cards". Eli siis ne jotka siirtyy on Logins ja Secure Notes ja niiden kansiot.
csv on se tavallinen import/export formaatti, json on muuta varten.
Itsellä ainoa ongelma tuon mobiilisoftan kanssa on ollut että usein se ei tarjoa vaihtoehtoa käydä hakemassa salasana vaan pitää manuaalisesti käydä avaamassa appi, etsiä oikea salasana ja copy-paste. En ole vielä löytänyt mitään yhdistävää tekijää, että millon toimii, ei toimi.
Itsellä ainoa ongelma tuon mobiilisoftan kanssa on ollut että usein se ei tarjoa vaihtoehtoa käydä hakemassa salasana vaan pitää manuaalisesti käydä avaamassa appi, etsiä oikea salasana ja copy-paste. En ole vielä löytänyt mitään yhdistävää tekijää, että millon toimii, ei toimi.
Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.
Otin kanssa Bitwardenin testiin, jos tuo desktop-appi ei menis yhtä usein rikki kuin LastPassin selainplugari verkon vaihtuessa tms, jaksaisi joka sekunti kaivaa yubikeyta esille.
Olen jo ties kuinka pitkään käyttänyt joka sivustolla eri salasanaa puhtaasti muistiin perustuvalla salasanalogiikalla, mutta nyt ajattelin vihdoinkin valjastaa käyttöön jonkin salasanamanagerin ja päivittää vähitellen kaikki salasanat uudelle aikakaudelle. Muutamia eri salasanamanagereita olen joskus pikaisesti testannut, mutta pidempää käyttökokemusta ei ole mistään. Lastpassiin päädyin nyt googletuksen perusteella, mutta ei tämä kyllä jaksa vakuuttaa.
Miinusta Lastpassin kohdalla mm. näistä:
- Käyttöliittymä on jotenkin sekava ja Windows-clienttikin on joku Storesta ladattava raakile-appi
- Ainakaan Firefoxilla sovellus ei täytä salasanoja aina automaattisesti sivuille, eli monta kertaa pitää kirjauduttaessa valita mitä tunnusta käyttää, vaikka niitä ei olisi ko. sivulle kuin yksi vaihtoehto. Toisinaan se taas kirjoittaa suoraan tunnuksen ja klikkaa myös ok-painiketta. Mikähän tämän logiikka oikein on?
- Yksittäisiltä sivustoilta ei ilmeisesti saa ohitettua salasanatallennusta edes halutessaan, eli vaikka en jonkin sivuston osalta haluaisi tallettaa tietoja Lastpassiin, niin joka saakelin kerta se silti kinuaa, että haluatko tallentaa tunnuksen ja siitä ei voi klikata edes ohi samalla tavalla huolettomasti kuin esim. Firefoxin vastaavaa dialogia missä tahansa kohdassa ruutua, vaan pitää oikeasti klikata sitä "ei nyt" -painiketta joka kerta.
- Kaikilla sivuilla salasanojen täyttö ei toimi lainkaan. Mm. cdon.comissa Lastpass kyllä tunnisti kirjautumisen ja antoi tallettaa tunnustiedot, mutta seuraavalla kerralla se kuitenkin sanoo ettei ko. sivulle ole yhtään tunnusta talletettuna. HBO Nordicin kohdalla kirjautuminen toimi kerran ja nyt se osaa täyttää sinne vain tunnuksen, mutta ei salasanaa. Pari muutakin sivustoa on tehnyt samaa ja välistä sinne ei tarjota mitään tunnusta muuten kuin manuaalisesti.
- Automaattisen täytön puuttumisen lisäksi välillä kestää yllättävän pitkään ennen kuin tulee edes sitä painiketta login-kenttään, josta voisi valita tunnuksen manuaalisesti.
Joihinkin noista saattaa löytyä korjaus jostakin sieltä valikoiden syövereistä, mutta lähtökohtaisesti on sellainen fiilis, että on tähän tarpeeseen oltava olemassa parempiakin sovelluksia. Saa suositella.
Bitwarden voisi olla ainakin esittelyvideon perusteella testaamisen arvoinen.
- Kaikilla sivuilla salasanojen täyttö ei toimi lainkaan. Mm. cdon.comissa Lastpass kyllä tunnisti kirjautumisen ja antoi tallettaa tunnustiedot, mutta seuraavalla kerralla se kuitenkin sanoo ettei ko. sivulle ole yhtään tunnusta talletettuna. HBO Nordicin kohdalla kirjautuminen toimi kerran ja nyt se osaa täyttää sinne vain tunnuksen, mutta ei salasanaa. Pari muutakin sivustoa on tehnyt samaa ja välistä sinne ei tarjota mitään tunnusta muuten kuin manuaalisesti.
Tämä ainakin toimii Bitwardenissa huomattavasti paremmin. Syynä on varmaan Lastpassin ainakin Bitwardeniin verrattuna typerä tapa tallentaa joka sivulta lomakenttien nimet ja niihin erilliset arvot. Jos menet sinne "edit form/login fields" tms. niin näkee mitä on tallennettu. Pahimmassa tapauksessa siellä on tuplana niitä jos on muokannut tai sivu muuttunut, eikä ne rekisteröintisivun kentät aina olekaan samat kuin itse kirjautumissivulla.
Tuohon voi myös lisätä useita eri osoitteita eri matching tavalla. Yksinkertaisempi ja toimii paremmin, Bitwardeniin vaihdon jälkeen ei ole tullut usein vastaan sivuja joihin tallennus ei onnistuisi.
Autofill ei kyllä toimi aina (oletuksena pois päältä koska edelleen "experimental feature"), mutta pikanäppäimen painaminen ei ole itselle ongelma.
En tiedä onko vain tottumusta, ja että tunnen aika hyvin LastPassin kotkotukset (lisätessä uutta tietoa käyn korjaamassa millä sivuilla ko. tunnukset pitäisi olla käytössä, korjaan tarvittaessa väärät kentät), niin ei jaksa kokeilla uusia. Varsinkin kun LastPass toimii em. juttujen jälkeen luotettavasti. En ehkä suosittelisi LastPassia enää. Mutta jos tulet sen kanssa toimeen, niin en tiedä paraneeko vaihtamalla. Siis jos ei ole ongelmia. Työpöytäkäytössä Vivaldi (ja Edge joskus).
En tiedä onko vain tottumusta, ja että tunnen aika hyvin LastPassin kotkotukset (lisätessä uutta tietoa käyn korjaamassa millä sivuilla ko. tunnukset pitäisi olla käytössä, korjaan tarvittaessa väärät kentät), niin ei jaksa kokeilla uusia. Varsinkin kun LastPass toimii em. juttujen jälkeen luotettavasti. En ehkä suosittelisi LastPassia enää. Mutta jos tulet sen kanssa toimeen, niin en tiedä paraneeko vaihtamalla. Siis jos ei ole ongelmia. Työpöytäkäytössä Vivaldi (ja Edge joskus).
Toki sen kanssa toimeen tulee, mutta onhan se aika vanhanaikainen ja hidas bugikasa verrattuna vaikka nyt sitten edes Firefoxin omaan salasanahallintaan. Jotenkin hassua, jos nämä kaikki ovat tällaisia paskoja. Bitwardenissakin näyttäisi olevan omat omituisuutensa/puutteensa.
En ole testannut kuin uusimmalla Firefoxilla, mutta sillä ainakin tuntuu välillä kestävän ihmeen kauan niiden painikkeiden ilmaantuminen tunnuskenttiin. Ei aina, mutta kuitenkin.
Toki sen kanssa toimeen tulee, mutta onhan se aika vanhanaikainen ja hidas bugikasa verrattuna vaikka nyt sitten edes Firefoxin omaan salasanahallintaan. Jotenkin hassua, jos nämä kaikki ovat tällaisia paskoja. Bitwardenissakin näyttäisi olevan omat omituisuutensa/puutteensa.
Jaa että nämä listatut ongelmat ovatkin "kitisemistä".
Siltähän se tosiaan vähän näyttää että kaikki salasanahallintatuotteet ovat enemmän tai vähemmän kompromissitoteutuksia ja se on kovin erikoista, kun huomioi millaisessa maailmassa eletään ja kuinka paljon hyvälle tuotteelle olisi kysyntää.
Ei minua sinäänsä haittaisi maksaa hyvästä tuotteesta, mutta vielä ei ole sellaista kohdalle osunut. Lastpassista on nyt käytössä maksullisen premiumin trial ja sen perusteella en siitä ainakaan maksaisi mitään ja se on kuitenkin voittaja tai ainakin kärkijoukossa aina kun tämän kategorian sovelluksia jossakin testaillaan. Se laittaa väkisinkin pohtimaan, että kuinkahan huonoja ne loppupään sovellukset oikeasti ovatkaan.
Tämä ketju on tarkoitettu nimenomaan keskustelulle password managereista enkä kutsuis tuota kitisemiseksi. Olen itsekkin käynyt läpi näitä softia (mm. Lastpass ja Bitwarden) ja todennut monen olevan paskaa tai itselle tärkeitä ominaisuuksia puuttuu. En olis pannu pahakseni jos olisin lukenut niistä puutteista esim. täältä ennen ku tarvii lähteä säätämään koko softan kanssa.
Itsellä atm käytössä KeePass ja olen ollut tyytyväinen. Ei yksinkertaisimmasta päästä, mutta pidän turvallisena.
Tuo macOS, iOS salasana juttu (iCloud) pelaa ihan kohtuullisen hyvin. Vaatii sitten Safarin. Ainoat mitkä itsellä bugittaa niin https://trueimage.acronis.com/login
Gigantti
cdon (ei täytä kenttiä vaan se on haettava erikseen)
QNAP Nas (ei täytä salasana kenttää jos käytössä Touch ID (Safari AutoFill) ja macOS
Mutta joo menee vähän ohi aiheen kun ei toimi kuin macOS ja iOS käyttöjärjestelmissä joissa Safari
Itse en ole Bitwardeniin siirtymisen jälkeen pitänyt päällä tuota automaattistä täyttöä päällä ollenkaan vaan jos johonkin kirjaudun niin klikkaan tuolta selaimen ylälaidasta lisärin ikonia ja sen jälkeen sitä vaihtoehtoa, jolla haluan kirjautua. Toki myös jokaisen selaimen sulkemisen jälkeen joudun kirjaamaan master passwordin erikseen joten jos on ekaa kertaa sen päivän aikana tarvetta niin annan salasanan. En ole erityisesti edes kaivannut automaattista täyttöä varsinkin kun Chromen oma salasananhallinta oli paisunut monilla sivuilla käyttöökelvottomaksi ja antoi vääriä salasanoja johtuen juuri noista tupla-entryistä ja muusta tauhkasta.
Eniten juuri tuo selkeä hallittavuus tuossa Bitwardenissa miellytti Chromesta siirtyessä. Ja jos ei halua tallentaa salasanaa niin voi valita "Never" niin ei kysele enää samalle sivustolle uudestaan.
Ainoat ongelmat Bitwardenin kanssa ovat lähinnä Androidin puolella ja sielläkin vain se, että ei aina ehdota automaattisesti, että haetaanko tähän kirjautumiseen vaultista tunnukset vaan pitää erikseen availla. Joskus toimii, joskus ei. En tiedä miksi.
Lukaisin tämän ketjun läpi, olen tähän mennessä ollut vähän laiska ja käyttänyt Keepassia (v1) vain läppärillä ja ajatus oli nyt jumpata sen verran, että saisi sen muihinkin laitteisiin.
Aika paljon on viestejä Bitwardenista joten piti vähän sitä vilkaista. Vaikuttaa ihan hyvältä, client-side-encryption palvelu, tosin "yhden-miehen-paja" epäilyttää ja maksullisuus tulevaisuudessa. Muutama kysymys:
1) Ilmeisesti on lokaalisti (joka laitteella) myös aina vault tallessa, ainakin vaikuttaa siltä tämän perusteella? Olisi hyvä saada, kaiken varalta, versioiva backup johonkin toiseen pilvipalveluun.
2) Ilmeisesti ilmaisversiolla ei saa esim. pankin tunnuslukutaulukosta tai passista kuvaa liitettyä vaulttiin?
Itsellenikin voisin tuota miettiä, luulisin että olisi helpompi esim. androidilla auto-fill systeemit kuin keepassin kanssa.
Onko kukaan laittanut Bitwardenia "vanhemmalle väelle" jotka eivät tajua mistään puhelimista/tableteista/tietokoneista oikein mitään? Ainakin suomenkieli näyttäisi löytyvän joten ainakin olisi kunnossa se puoli.
Vai olisiko se applen (kaikki vehkeet sitä ekosysteemiä, ainakin nyt) oma "avainnippu"-systeemi parempi/helpompi vanhemmalle väelle? Luulisin, että siinäkin tietoturva-asiat on kunnossa.
1) Ilmeisesti on lokaalisti (joka laitteella) myös aina vault tallessa, ainakin vaikuttaa siltä tämän perusteella? Olisi hyvä saada, kaiken varalta, versioiva backup johonkin toiseen pilvipalveluun.
2) Ilmeisesti ilmaisversiolla ei saa esim. pankin tunnuslukutaulukosta tai passista kuvaa liitettyä vaulttiin?
1. Kuten tolla sivulla viitataan niin tarkoitus on vaan pelastaa data kaatumistilanteissa. Muualle siirrettynä et taida saada sitä salattua dataa auki. Bitwardenin voi myös hostata itse, mutta siihen tarvit serverin ja säädöt. Nettisivun kautta voi tietenkin exportata .csv ja muissa muodoissa.
2. On rajoitettu vain maksulliseen.
Itsellenikin voisin tuota miettiä, luulisin että olisi helpompi esim. androidilla auto-fill systeemit kuin keepassin kanssa.
Bitawarden taitaa maksaa 10€ vuosi ei mitenkään paha hinta jos esim vertaa vaikka 1Password lähemmäs 40 hintaa. Mitä parempaa 1Password tarjoaa tuon korkeamman hinana kateeksi?
Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".
Joo tällainen on mutta ei selvästi ole niin kätevä käyttää, esim. vaatii "Integrated Soft-Keyboard: Switch to this keyboard for entering user credentials. This shields you from clipboard based password sniffers (see below)" käyttöä. Videolla näkee kuinka hidasta ja vaivalloista sen käyttö on, pitää vaihtaa keyboardia eestaas ja vielä lopuksi lukita keepass tietokanta.
Onko tietoa miten Bitwarden hoitaa auto-fillit? Ettei vaan clipboardin kautta?
EDIT: Joutuu varmaan sitten laittamaan testit molemmista tulille että näkee ja kokee itse miten hommat toimii.
Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".
Joo tällainen on mutta ei selvästi ole niin kätevä käyttää, esim. vaatii "Integrated Soft-Keyboard: Switch to this keyboard for entering user credentials. This shields you from clipboard based password sniffers (see below)" käyttöä. Videolla näkee kuinka hidasta ja vaivalloista sen käyttö on, pitää vaihtaa keyboardia eestaas ja vielä lopuksi lukita keepass tietokanta.
Onko tietoa miten Bitwarden hoitaa auto-fillit? Ettei vaan clipboardin kautta?
EDIT: Joutuu varmaan sitten laittamaan testit molemmista tulille että näkee ja kokee itse miten hommat toimii.
Kyllä pitäs toimia autofill ilman tuota näppäimistöäkin. Lisäksi jos vault on auki niin se antaa ilmoituspalkkiin ilmoitukset joita klikkaamalla voi kopioida hetkeksi clipboardille tunnukset.
Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".
Webvaultissa on siis .csv import/export. Otan silä itsekin silloin tällöin varakopion muualle talteen, mutta se on tietenkin salaamatonta plain textia.
En nyt tajunnut mitä "En luota synkkauksiin yhtään, tai "web-vault:iin"" tarkoitti. Bitwardenia et voi käyttää ilman nettiä ja web-palvelimelle synkkaamista, oli se palvelin sitten Bitwardenin tai oma.
Kyllä pitäs toimia autofill ilman tuota näppäimistöäkin. Lisäksi jos vault on auki niin se antaa ilmoituspalkkiin ilmoitukset joita klikkaamalla voi kopioida hetkeksi clipboardille tunnukset.
Se erillinen keyboard on juuri siksi, että clipboardin kautta ei ole turvallista tehdä auto-filliä.
EDIT: Ja aikaisemman linkkaamani artikkelin perusteella Oreossa tullut uusi auto-fill-systeemikään ei ole ihan turvallinen ja vaatii appsin tekijältä erilaisia toimenpiteitä, että saa turvallisemmaksi.
En nyt tajunnut mitä "En luota synkkauksiin yhtään, tai "web-vault:iin"" tarkoitti. Bitwardenia et voi käyttää ilman nettiä ja web-palvelimelle synkkaamista, oli se palvelin sitten Bitwardenin tai oma.
Synkkaus ei ole varmuuskopiointia. Jos jotain ilkeää tapahtuu se tapahtuu kaikille synkkauskohteille. Sama juttu kuin RAID:in kanssa. En luottaisi supertärkeitä user/pw-tietoja pelkästään synkkauksen taakse.
Sen help center artikkelin perusteella Bitwarden kyllä tallentaa aina lokaalisti tiedot. Oli desktop/mobile/browser/cli.
Where is my data stored on my computer/device?
You data is also automatically synced to our cloud servers.
Ja sellaista ilkeää voi jopa käyttäjä itse tehdä Bitwardenin kanssa!
Rotating your account’s encryption key
...
Because your account’s encryption key changes, any old sessions with a Bitwarden application that you may be logged into with your account will still have the old, incorrect encryption key. If you make any changes to your account’s vault data with an old encryption key, that data will become corrupted and unrecoverable.
Tietenkin tallentaa, mutta periaatteessa väliaikaisesti. Desktop-sovelluksen saa auki ilman nettiäkin, mutta muutoksia ei voi tallentaa.
Katsoin tuonne hakemistoon ja siellä on useita tiedostoja, ei mitään yhtä tietokantatiedosta tyyliin KeePass. Varmaan onnistuu hätätapauksessa siirto (kaatuu tms.), mutta tuskin kannattaa sitä hakemistoa kopioida talteen vaan exportata se .csv tiedosto (sen voi myös tehdä tolla sovelluksella = pari klikkausta).
Jos varmuuskopiointi pitää tehdä manuaalisesti, se ei varmaan lähes kaikkien kohdalla tule toimimaan, se pitää tapahtua automaattisesti. Lisäksi tuollaisen salaamattoman tiedoston kanssa on omat ongelmat, pitää salata ja sitten vasta saada siitä versioiva varmuuskopio (kun kyseessä supertärkeää tietoa, sitä ei voi varmuuskopioida vain lokaalisti vaan se periaatteessa täytyy saada myös johonkin pilveen (versioivaan)). Eikä tuo exportti ainakaan saa talteen liitteitä, lisäksi taisi olla niin, että .csv on suppeampi kuin .json export.
Pistän tulille testiä Keepassista ja Bitwardenista (kun aikaa löytyy), testaan myös Bitwardenin lokaalin kopion varmuuskopiointia ja palauttamista.
We do not use the clipboard when performing autofill operations. We use
native functions provided by the OS to handle this. For example, on
Android we use accessibility services and Oreo's autofill services.
These do not use the clipboard.
The article that you linked in quite old, and Android's documentation
implementing autofill services covers the best practices concerning
these issues. We follow Android's documented best practices with regards
to Oreo autofill services. Specifically, we do partition data and check
package ids on all autofill operations.