Bitwarden: Admin Password Reset für Unternehmen eingeführt

Der Passwortmanager Bitwarden hat sich mit seinen Funktionen und dem fairen Preismodell in den letzten Jahren in die Herzen vieler unserer Leser gespielt. Die meisten wichtigen Funktionen gibt’s gratis, den Rest für 10 Dollar im Jahr. Bitwarden hat auch Business-Pläne und sofern ihr da der Admin seid, so gibt’s nun Neuerungen. So kündigte Bitwarden die Einführung von „Admin Password Reset“ an.

Mit dem „Admin-Passwort-Reset„, das im Bitwarden-Enterprise-Tarif (5 Dollar pro Monat und Nutzer) verfügbar ist, können Administratoren Endbenutzer-Konten einfach zurücksetzen, wenn ein Mitarbeiter sein Bitwarden-Master-Passwort verliert oder vergisst.

Wenn ein Unternehmen die Funktion aktiviert, haben Endbenutzer die Wahl, ob sie Administratoren das Zurücksetzen ihrer Passwörter erlauben wollen oder nicht.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Hm… eine Funktion im Passwortmanager, die das Zurücksetzen des Masterpassworts durch Dritte erlaubt? Ich weiß nicht, was ich davon halten soll. Das erinnert mich an den Skandal mit McAfee vor vielen Jahren, als die bei PGP einen „Corporate Key“ eingeführt haben. Auch wenn es zustimmungsbedürftig ist, alleine die Tatsache, dass es möglich ist, beunruhigt mich.

    • Da Open-Source müsste mal jemand, der den Code versteht, schauen wie das Ganze implementiert ist. Erst dann kann man erst einschätzen ob es einfach ein einfaches Feature oder doch ein Sicherheitsrisiko darstellt.

      • Na dann müssten sich ja duzende Leute alleine hier melden. Wir doch hier bei nahezu jedem Beitrag über irgendeinen Passwortmanager behauptet, dass Bitwarden so toll ist, weil sich jeder den Source anschaut. Ich bin gespannt.

        • Es wäre doch zumindest ein Anfang, sich erstmal die Dokumentation der Funktion durchzulesen – ob die so auch im Code implementiert ist, lässt sich dann ja auch deutlich besser prüfen, als wenn man einfach im Code rumstochert.
          Als Kurzfassung:

          – Die Funktion ist für bestehende Nutzer deaktiviert, Neue *Unternehmensaccounts* können diesen Prozess auch automatisch aktivieren, wenn der Administrator sich dazu entscheidet, bestehende Nutzer müssen die Funktion für eine Organisation explizit aktivieren.
          – Die Funktion erlaubt es nicht, dass bisherige Masterpasswort einzusehen.
          – Bei Bitwarden sind die Passwörter nicht mit einem Passwort, sondern einem Schlüssel geschützt, welcher beim Client generiert wird und mit dem Masterpasswort verschlüsselt wird (der Prozess ist etwas komplexer, aber dokumentiert: https://bitwarden.com/images/resources/security-white-paper-download.pdf)
          – Wird das Rücksetzen aktiviert, dann wird vom Client eine Kopie des Schlüssels erstellt und mit einem Schlüssel der Organization verschlüsselt und dort gespeichert.
          – Setzt ein Administrator nun das Passwort zurück, wird diese verschlüsselte Kopie heruntergeladen und lokal mit dem Schlüssel der Organization entschlüsselt. Der Schlüssel kann nun neu mit einem anderen Passwort verschlüsselt werden, wodurch wieder der Zugriff auf die Daten möglich ist, jedoch jetzt nur mit dem neuen Passwort.

          Diese Implementierung kann auch im Code nachvollzogen werden:
          – Aktivierung durch den Nutzer: https://github.com/bitwarden/web/blob/master/src/app/settings/organizations.component.ts#L106
          – Reset durch den Administrator: https://github.com/bitwarden/web/blob/master/src/app/organizations/manage/reset-password.component.ts#L94

          Die eigentliche Kryptographie dahinter zu prüfen ist natürlich etwas aufwändiger, jedoch hat sich an dieser grundlegend nichts durch die neue Funktion geändert. Wichtiger ist in diesem Fall deswegen, wie die neue Funktion implementiert ist. Soweit ich das sehe, ist diese relativ unkritisch, da sie eben nur Unternehmensaccounts betrifft und vom Nutzer explizit aktiviert werden muss (bzw. der Nutzer über eine Organisation beitreten muss, damit die Auto-Aktivierung greif).
          Sicherlich kann diese Implementierung auch Risiken birgen, ich bin mich nich sicher, ob der Organisationsschlüssel der gleiche ist, auf den jeder Nutzer Zugriff hat, aber durch den Server wird ein Zugriff auf die Nutzerschlüssel ja unterbunden und für einen Angriff bräuchte es dann schon einen Nutzer in der entsprechenden Organisation. Möglicherweise besteht dieses Risiko aber auch nicht, weil es sich hier nur um einen Schlüssel für Administratoren handelt, ansonsten wird dies sicherlich in einem zukünftigen Audit behandelt.

          Zusammengefasst: Wer die Funktion nicht aktiviert, hat dadurch keinen Sicherheitsnachteil. Ein Aktivieren im Hintergrund ist nicht einfach möglich.

    • Blacky Forest says:

      Warum sollte das beunruhigen? Ich finde das gut und notwendig, da die IT ja häufig aus mehreren Personen besteht und der ein oder andere schnell das Unternehmen verlässt/verlassen muss.
      Natürlich muss es richtig implementiert sein. Aber das ist ja nichts Neues!

      • Es sollte beunruhigen, da das Masterpasswort einer der wesentlichen Sicherheitsfaktoren eines Passwortmanagers darstellt. Dass nur Du dieses kennst und nicht einmal der Hersteller Dir bei Vergessen des Masterpassworts weiterhelfen kann, ist ein Sicherheitsfeature. Und dass das Masterpasswort nun offenbar abrufbar zentral gespeichert werden kann, beunruhigt mich schon. Denn das ist eine Abkehr von der bisherigen Sicherheitsarchitektur.

        • Hier steht doch nur, dass der Admin das Konto zurücksetzen kann. Es steht nirgendwo irgendwas, dass das der Admin das Masterpasswort weiß. Oder stehe ich gerade auf dem Schlauch?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.