Bitwarden: Admin Password Reset für Unternehmen eingeführt
Der Passwortmanager Bitwarden hat sich mit seinen Funktionen und dem fairen Preismodell in den letzten Jahren in die Herzen vieler unserer Leser gespielt. Die meisten wichtigen Funktionen gibt’s gratis, den Rest für 10 Dollar im Jahr. Bitwarden hat auch Business-Pläne und sofern ihr da der Admin seid, so gibt’s nun Neuerungen. So kündigte Bitwarden die Einführung von „Admin Password Reset“ an.
Mit dem „Admin-Passwort-Reset„, das im Bitwarden-Enterprise-Tarif (5 Dollar pro Monat und Nutzer) verfügbar ist, können Administratoren Endbenutzer-Konten einfach zurücksetzen, wenn ein Mitarbeiter sein Bitwarden-Master-Passwort verliert oder vergisst.
Wenn ein Unternehmen die Funktion aktiviert, haben Endbenutzer die Wahl, ob sie Administratoren das Zurücksetzen ihrer Passwörter erlauben wollen oder nicht.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Xiaomi Handy Redmi Note 13 256GB | 152,00 EUR | Bei Amazon ansehen | |
2 | Xiaomi Redmi 12 4GB RAM 128GB Midnight Black | 105,67 EUR | Bei Amazon ansehen | |
3 | Xiaomi Poco C65 Smartphone 6,74 Zoll AMOLED DotDisplay, 256GB, 8GB RAM, Schwarz | 118,93 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Hm… eine Funktion im Passwortmanager, die das Zurücksetzen des Masterpassworts durch Dritte erlaubt? Ich weiß nicht, was ich davon halten soll. Das erinnert mich an den Skandal mit McAfee vor vielen Jahren, als die bei PGP einen „Corporate Key“ eingeführt haben. Auch wenn es zustimmungsbedürftig ist, alleine die Tatsache, dass es möglich ist, beunruhigt mich.
Da Open-Source müsste mal jemand, der den Code versteht, schauen wie das Ganze implementiert ist. Erst dann kann man erst einschätzen ob es einfach ein einfaches Feature oder doch ein Sicherheitsrisiko darstellt.
Na dann müssten sich ja duzende Leute alleine hier melden. Wir doch hier bei nahezu jedem Beitrag über irgendeinen Passwortmanager behauptet, dass Bitwarden so toll ist, weil sich jeder den Source anschaut. Ich bin gespannt.
Es wäre doch zumindest ein Anfang, sich erstmal die Dokumentation der Funktion durchzulesen – ob die so auch im Code implementiert ist, lässt sich dann ja auch deutlich besser prüfen, als wenn man einfach im Code rumstochert.
Als Kurzfassung:
– Die Funktion ist für bestehende Nutzer deaktiviert, Neue *Unternehmensaccounts* können diesen Prozess auch automatisch aktivieren, wenn der Administrator sich dazu entscheidet, bestehende Nutzer müssen die Funktion für eine Organisation explizit aktivieren.
– Die Funktion erlaubt es nicht, dass bisherige Masterpasswort einzusehen.
– Bei Bitwarden sind die Passwörter nicht mit einem Passwort, sondern einem Schlüssel geschützt, welcher beim Client generiert wird und mit dem Masterpasswort verschlüsselt wird (der Prozess ist etwas komplexer, aber dokumentiert: https://bitwarden.com/images/resources/security-white-paper-download.pdf)
– Wird das Rücksetzen aktiviert, dann wird vom Client eine Kopie des Schlüssels erstellt und mit einem Schlüssel der Organization verschlüsselt und dort gespeichert.
– Setzt ein Administrator nun das Passwort zurück, wird diese verschlüsselte Kopie heruntergeladen und lokal mit dem Schlüssel der Organization entschlüsselt. Der Schlüssel kann nun neu mit einem anderen Passwort verschlüsselt werden, wodurch wieder der Zugriff auf die Daten möglich ist, jedoch jetzt nur mit dem neuen Passwort.
Diese Implementierung kann auch im Code nachvollzogen werden:
– Aktivierung durch den Nutzer: https://github.com/bitwarden/web/blob/master/src/app/settings/organizations.component.ts#L106
– Reset durch den Administrator: https://github.com/bitwarden/web/blob/master/src/app/organizations/manage/reset-password.component.ts#L94
Die eigentliche Kryptographie dahinter zu prüfen ist natürlich etwas aufwändiger, jedoch hat sich an dieser grundlegend nichts durch die neue Funktion geändert. Wichtiger ist in diesem Fall deswegen, wie die neue Funktion implementiert ist. Soweit ich das sehe, ist diese relativ unkritisch, da sie eben nur Unternehmensaccounts betrifft und vom Nutzer explizit aktiviert werden muss (bzw. der Nutzer über eine Organisation beitreten muss, damit die Auto-Aktivierung greif).
Sicherlich kann diese Implementierung auch Risiken birgen, ich bin mich nich sicher, ob der Organisationsschlüssel der gleiche ist, auf den jeder Nutzer Zugriff hat, aber durch den Server wird ein Zugriff auf die Nutzerschlüssel ja unterbunden und für einen Angriff bräuchte es dann schon einen Nutzer in der entsprechenden Organisation. Möglicherweise besteht dieses Risiko aber auch nicht, weil es sich hier nur um einen Schlüssel für Administratoren handelt, ansonsten wird dies sicherlich in einem zukünftigen Audit behandelt.
Zusammengefasst: Wer die Funktion nicht aktiviert, hat dadurch keinen Sicherheitsnachteil. Ein Aktivieren im Hintergrund ist nicht einfach möglich.
Warum sollte das beunruhigen? Ich finde das gut und notwendig, da die IT ja häufig aus mehreren Personen besteht und der ein oder andere schnell das Unternehmen verlässt/verlassen muss.
Natürlich muss es richtig implementiert sein. Aber das ist ja nichts Neues!
Es sollte beunruhigen, da das Masterpasswort einer der wesentlichen Sicherheitsfaktoren eines Passwortmanagers darstellt. Dass nur Du dieses kennst und nicht einmal der Hersteller Dir bei Vergessen des Masterpassworts weiterhelfen kann, ist ein Sicherheitsfeature. Und dass das Masterpasswort nun offenbar abrufbar zentral gespeichert werden kann, beunruhigt mich schon. Denn das ist eine Abkehr von der bisherigen Sicherheitsarchitektur.
Hier steht doch nur, dass der Admin das Konto zurücksetzen kann. Es steht nirgendwo irgendwas, dass das der Admin das Masterpasswort weiß. Oder stehe ich gerade auf dem Schlauch?